StarForce представила бета-версию публичного почтового сервиса sfletter.com
Главная » Новости

StarForce представила бета-версию публичного почтового сервиса sfletter.com

Александр Панасенко 02 Июля 2014 - 12:54
...

Компания StarForce представила бета-версию публичного почтового сервиса sfletter.com. Новый сервис позволяет обеспечить сохранность личной переписки и конфиденциальность корпоративных данных благодаря встроенным механизмам защиты писем и вложений. 


Почтовый сервис предотвращает пересылку, печать, копирование и использование функции Print Screen при просмотре защищенного письма и вложений. Отправителю в режиме реального времени доступна информация о том, когда и с какого IP-адреса получатель открыл письмо. 

«Бесплатный почтовый сервис, разработанный компанией StarForce, позволяет в один клик защитить письмо и прикрепленные к нему документы», – комментирует Наталья Яшенкова, руководитель маркетинга и PR компании StarForce. – «Действия по использованию нашего сервиса ничем не отличаются от использования других почтовых служб – с помощью него можно также отправлять и незащищенные письма. Другим преимуществом можно назвать то, что получателю защищенного письма нет необходимости регистрироваться на сервисе – он может использовать свой стандартный почтовый клиент, а для доступа к защищенным документам достаточно один раз скачать и установить специальную программу-просмотрщик».

«Сервис sfletter.com был создан для частных и корпоративных пользователей, желающих сохранить конфиденциальный характер всех отправляемых по электронной почте данных», – говорит Александр Зацепин, исполнительный директор компании StarForce. – «Решение построено на базе российского продукта StarForce E-m@il и обладает всеми его достоинствами, но при этом предоставляет совершенно бесплатный доступ ко всем разработанным компанией StarForce технологиям защиты электронной почты. Сейчас мы запускаем сервис в режиме бета-тестирования для того, чтобы собрать статистику и пожелания. В дальнейшем сервис будет активно развиваться за счет расширения функционала и введения дополнительных платных услуг».

Следующая главная новость »
AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу
Татьяна Никитина 04 Февраля 2026 - 21:18
Уязвимости программ Домашние пользователиКорпорации
Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий:

  • 144.0.7559.97 (Stable)
  • 145.0.7632.18 (Beta)
  • 146.0.7647.4 (Dev)
  • 146.0.7653.0 (Canary)

В Google подтвердили возможность подобной атаки по стороннему каналу, но заявили, что решить проблему нереально.

AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »
Microsoft встраивает Sysmon прямо в Windows 11, пока для бета-тестеров
Новость
Microsoft встраивает Sysmon прямо в Windows 11, пока для бет...
Пользователи нашли способ ускорить WhatsApp
Новость
Пользователи нашли способ ускорить WhatsApp
Microsoft навсегда отключила активацию Windows по телефону
Новость
Microsoft навсегда отключила активацию Windows по телефону

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.