Конференция в Дубае может положить конец свободе в Интернете

Предстоящая конференция ООН, на которой пройдет обсуждение вопросов, связанных с интернет-безопасностью, еще даже не началась (она стартует 3 декабря 2012 года), но уже вызвала резкую критику со стороны многочисленных компаний (Google, Microsoft, Amazon), а также правозащитных организаций (ЮНЕСКО). Эксперты опасаются, что решения по введению цензуры веб-контента могут замедлить развитие киберпространства.



Один из вопросов, который будет обсуждаться на конференции в Дубае, будет борьба со спамом и мошенничеством в сети. Однако, кроме этого, в рамках более крупных проектов, будут продвигаться решения, которые должны помочь Ирану и Китаю оправдать свои нападки на блогеров и введение строгой интернет-цензуры.

Без особенного энтузиазма отнеслись эксперты и к новой европейской инициативе, согласно которой контент-провайдеры, вроде Google Inc и Facebook должны будут платить дополнительные деньги за возможность достучаться до пользователей за границей.

Плакат конференции ООН в ОАЭ.

Пока сложно точно говорить, какие предложения будут одобрены, а какие нет. Конференция будет проводиться на протяжении 11 дней и в ней собираются участвовать представители 193 стран, входящих в International Telecommunications Union (ITU). Однако уже сейчас можно сказать, что решения принятые на этом мероприятии повлияют на миллиарды пользователей во всем мире.

Отметим, что правительство ОАЭ буквально недавно значительно ужесточило Интернет-законодательство, дабы предоставить властям право забирать в тюрьму людей за то, что они критикуют руководство страны или пытаются организовать уличные протесты.

Между тем, генеральный секретарь ITU Хамадоун Тоуре еще в мае говорил, что вскоре Интернет будет лишь слегка регулироваться. Представители организации говорят, что они не желают управлять Интернетом или как-то ограничивать самовыражение пользователей. Однако организация уверяет, что устав необходимо обновить, чтобы принять во внимание все технологические изменения, произошедшие с 1988 года.

На конференции в Дубае будут обсуждать: интернет-безопасность, борьбу с мошенничеством, расширение широкополосных сетей в развивающихся странах. Представители ITR говорят, что они не будут содействовать любой цензуре в Интернете или предотвращать свободное распространения информации.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google устранила опасную уязвимость в Java-клиенте OAuth

В прошлом месяце Google выпустила новую сборку клиентской Java-библиотеки, обеспечивающей авторизацию по протоколу OAuth. В продукте закрыта уязвимость, эксплуатация которой позволяет подменить токен для доступа к API и развернуть на атакуемой платформе полезную нагрузку по своему выбору.

Степень опасности проблемы CVE-2021-22573 в Google оценили в 8,7 балла по шкале CVSS. Автору находки было выплачено $5 тыс. в рамках программы bug bounty.

Согласно официальному описанию, причиной появления уязвимости является неадекватная верификация криптографической подписи токенов — удостоверения провайдера полезной нагрузки. В результате автор атаки сможет предъявить скомпрометированный токен с кастомным пейлоадом, и тот успешно пройдет проверку на стороне клиента.

Использование кода OAuth-библиотеки Google позволяет приложению или юзеру войти в любой веб-сервис, поддерживающий этот протокол авторизации. Во избежание неприятностей пользователям рекомендуется обновить пакет google-oauth-java-client до версии 1.33.3.

OAuth-авторизация пользуется большой популярностью у веб-серферов. Протокол избавляет от необходимости доверять приложению логин и пароль, а также позволяет сократить число аккаунтов в Сети, то есть аудиторию с доступом к персональным данным.

К сожалению, спецификации OAuth не предусматривают обязательных функций безопасности, и надежность в этом плане всецело зависит от усилий разработчика, реализующего эту технологию. Небрежная защита клиентского приложения или сервиса с поддержкой OAuth провоцирует атаки и грозит утечкой конфиденциальных данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru