Trang chủ » Thiết kế website giá rẻ
Lỗi ActiveX - cơ hội cho đối thủ của Internet Explorer
Các hãng phát triển trình duyệt Apple, Opera và Mozilla đang liên kết xúc tiến một chuẩn plug-in mở rộng nhằm tăng cường sức mạnh cho scripting trên nền web.
Nhóm công ty trên đã phối hợp với các hãng chế tạo phần mềm bổ trợ (plug-in) như Adobe, Macromedia và Sun để hỗ trợ phiên bản mở rộng của Giao diện chương trình ứng dụng Plug-in Netscape (NPAPI), đang được dùng ở hầu hết các trình duyệt cạnh tranh với Internet Explorer. Giao diện ứng dụng (API) mới sẽ tạo ra một phương thức chuẩn nhằm tăng khả năng tương tác giữa browser và các phần mềm bổ trợ. Chúng sẽ được thiết kế vào trong Safari của Apple, Firefox của Mozilla và Opera.
Mozilla cho biết chuẩn API cập nhật sẽ sớm xuất hiện trong các phiên bản Firefox mà họ chuẩn bị tung ra vào mùa thu này. Tuy nhiên, những tính năng mới sẽ chưa thể sử dụng được cho đến khi nào các công ty phần mềm plug-in bắt đầu hỗ trợ chúng. Những phiên bản tương lai của PDF Reader, Java, Shockwave, Flash và QuickTime đều sẽ tương thích với nó.
An ninh sẽ là mối quan tâm chính khi chuẩn API mới được tung ra. Việc không hỗ trợ ActiveX là nguyên nhân chính khiến các trình duyệt Opera, Safari và Mozilla hiện vẫn an toàn hơn so với Internet Explorer.
ActiveX bị giới chuyên gia an ninh chỉ trích ngay từ khi nó ra đời vào đầu những năm 90 của thế kỷ trước. Họ coi đó chỉ là một con đường thu hút thêm hacker tấn công từ xa. Khác với Java (giới hạn khả năng tương tác giữa applet và hệ điều hành), các ActiveX controls có thể thực hiện bất cứ chức năng nào mà nhà phát triển phần mềm muốn, trong đó có việc cài đặt sâu và Trojan. Ví dụ như năm 1997, một nhóm hacker ở Hamburg (Đức) có tên “Chaos Computer Club” đã biểu diễn một đoạn control có khả năng ăn cắp tiền từ một tài khoản ngân hàng trực tuyến và chuyển số tiền sang account khác, không cần mã truy nhập của người sử dụng.
“ActiveX là một công nghệ web rất tinh vi nhưng cũng dễ bị lạm dụng”, một tài liệu tư vấn của hãng an ninh eEye viết. “Các nhà thiết kế có thể tạo ra một ActiveX với khả năng thực hiện bất kỳ chức năng nào trên máy tính”. Đến gần đây, nguy cơ từ phần mềm này đã trở nên rõ rệt hơn với việc phát hiện ra nhiều lỗ hổng nghiêm trọng trong 2 đoạn phần mềm control của IBM. Bên cạnh đó là một số vụ tấn công thông qua nhiều website thương mại điện tử mà trong đó cũng sử dụng ActiveX controls.
Sau những vụ tấn công gần đây nhất thông qua lỗi trong Internet Explorer, Trung tâm An ninh mạng Mỹ (US CERT) cảnh báo người truy cập tạm thời không nên dùng trình duyệt này. Điều đó đã lập tức làm tăng sự quan tâm của người sử dụng đối với những giải pháp thay thế cho browser của Microsoft (hiện có mặt trên 95% máy tính toàn cầu). Hãng Mozilla cho biết ngay sau khi có khuyến cáo của US CERT, số lượt download trình duyệt Firefox của họ đã tăng từ 100.000/ngày lên 200.000/ngày. Trong khi đó, lượng người tải sản phẩm của Opera xưa nay luôn giảm vào đầu mùa hè thì nay lại bất ngờ tăng.
Những thủ đoạn khai thác lỗi Internet Explorer mà US CERT cảnh báo:
a) Sử dụng quảng cáo pop-up tải một phần mềm vào máy nạn nhân để phát tán spam hoặc cài đặt Trojan để theo dõi những thông tin gõ trên bàn phím.
b) Gửi e-mail lừa đảo (phishing) để thu thập thông tin tài chính bằng cách dùng những địa chỉ Internet giả mạo.
c) Sử dụng một khóa (padlock) xuất hiện trên cửa sổ pop-up, với kỹ thuật tương tự như mục (a) để ăn cắp thông tin.
d) Một số website khiêu dâm dùng Internet Explorer để tải một phần mềm có khả năng thay đổi cài đặt kết nối quay số và tự động thực hiện cuộc gọi tới những dịch vụ đắt tiền.
e) Dùng một quảng cáo pop-up cài đặt chương trình rình xem khách hàng có truy nhập bất cứ website nào trong số 50 địa chỉ ngân hàng trực tuyến hàng đầu, theo dõi các hoạt động trên bàn phím và sau đó gửi thông tin về một trang web ở San Diego (Mỹ).
Chú thích một số thuật ngữ tiếng Anh trong bài: Plug-in: Một đoạn phần mềm nhỏ có vai trò làm giàu thêm cho một phần mềm to hơn bằng cách bổ sung các thuộc tính hay chức năng. Phần mềm plug-in hỗ trợ trình duyệt trong việc chạy hình và tiếng (audio/video). Script: Tính năng làm cho một website hoạt động. Ví dụ, chương trình này có thể gọi thông tin từ cơ sở dữ liệu, làm cho hệ thống gửi thư (mailing) hoạt động và kiểm soát các nội dung trên trang web. ActiveX: là một mã của Microsoft, xác định sự tương tác giữa các máy chủ web, máy khách, các ứng dụng Microsoft Office…ActiveX là công nghệ cạnh tranh của Microsoft đối với Java của Sun Microsystems. ActiveX controls là những bộ phận phần mềm có thể tái sử dụng, được tích hợp trong công nghệ ActiveX. Những đoạn phần mềm này có thể được dùng để bổ sung các tính năng chuyên dụng, như hoạt ảnh (animation) hay danh mục pop-up, vào các trang web, ứng dụng desktop và các công cụ phát triển phần mềm. ActiveX controls được viết bằng nhiều ngôn ngữ lập trình khác nhau, trong đó có C, C++, Visual Basic và Java. Applet: Một chương trình Java nhỏ và có thể được nhúng trong một trang HTML. Applet khác với những ứng dụng Java đầy đủ ở chỗ chúng được phép truy cập những nguồn tài nguyên nhất định trên máy tính nội bộ, chẳng hạn như các file, modem, máy in…và không được liên lạc với hầu hết máy tính khác trong mạng. Nguyên tắc chung là mỗi applet chỉ có thể thiết lập kết nối Internet tới đúng chiếc computer nào đã gửi nó đi. |