来自 应用 2021-05-03 01:01 的文章

游戏盾_香港高防服务器点赞科森网络知名_精准

游戏盾_香港高防服务器点赞科森网络知名_精准

机器翻译可能泄露机密信息与基于云的系统一起处理机密信息的企业面临的一个挑战是,它们必须尽职尽责以确保这些信息保持机密。这些步骤超出了技术博客的范围,但一般来说,它涉及到确保处理机密信息的每个人都理解机密信息是敏感的并同意保护它。对于像企业资源计划(ERP)、人力资源、视频会议等云服务,机密性问题是非常清楚的,但也有例外,如机器翻译。当我们想到数据泄漏时,当我们试图阻止机密数据离开网络时,我们正确地主要关注恶意软件(蠕虫、病毒、来自高级持续威胁(APT)的定制零日攻击等)。 机器翻译工具是"其他"类合法工具中一个有趣的成员,它可以导致机密数据泄漏,而不会引起用户或开发人员的恶意意图。机器翻译工具的范围从简单的网站,如上图中的"youdao"或谷歌翻译(Google Translate),这些网站的信息很明显正在流失,再到集成的桌面应用程序,其中的数据移动并不明显。 Youdao Dictionary应用程序的安装和运行方式与其他应用程序相同,只是翻译引擎是远程的,应用程序通过不安全的HTTP GET以纯文本形式发送其查找。由于翻译工具是在用户PC上运行的应用程序,因此使用它的人不太可能会意识到他们之所以泄露信息,是因为外表是他们的电脑在做翻译,而不是一个网站。在上面对工具检索到的URL的剖析中,我们在"q"字段中看到了"information"一词,但也可能是有人不完全确定"ЛеееиееерресаБббДжеебебебебеберро"是什么意思,并将其高亮显示并单击"翻译"。这一行为导致应用程序生成类似于上面的明文查询的内容,除了俄语块。然后用户将了解到该字符串翻译成"Bob Jones的疱疹治疗不顺利"。不幸的是,请求和翻译是以明文形式传输的,可以通过被动拦截来学习。我们以Youdao(Youdao)为例,该公司是一家中国大型互联网公司,据维基百科(Wikipedia)称(),提供了他们的翻译工具的离线和免费在线版本。通过一些有限的实验,Youdao的站点似乎确实在更安全、加密的HTTPS协议上支持相同的功能。我们观察到在2.2.16到5.4.43版本之间的通信是不安全的,但是不看最新版本就讨论这个工具是不公平的。我们所能找到的Youdao工具的最新版本是6.3.66.1117,点击并在Windows7机器上进行了测试,在行为上没有显著差异。我们的测试版本还默认使用纯文本(HTTP)通信,当鼠标指针附近的单词停止移动时,它会自动在中英文之间进行翻译。它也有一个选项,其中一个小按钮出现,你可以点击(或悬停)来翻译突出显示的文本。使用过这个程序,很容易理解为什么这个工具会受到需要在中英文之间进行翻译的用户的欢迎。除了翻译功能外,它还通过提供额外的广告来防止用户感到无聊。该工具在功能上提供了什么,但在安全性方面绝对没有提供——虽然它按预期工作,而且似乎没有达到任何明显的恶意,但它仍然通过不安全的HTTP协议将所有翻译请求发送到进行翻译的后端服务器。结论对于客户来说,阿里云scdn防御cc,结论很简单:翻译软件可能会将数据发送到您控制范围之外的网络/系统—如果确实如此,那么与基于云的ERP或人力资源系统的情况一样,了解数据的去向、如何到达目的地以及处理信息的第三方是否在其中进行处理非常重要与组织的政策和合同义务相一致的方式。由于要翻译的消息以明文形式发送,非网站cc防御,同一网络上的任何人都可以通过嗅探网络流量轻松地截获通信。翻译的内容可以是温和的短语,也可以是高度敏感的信息。我们还没有答案的问题,比如是否可以"暂停"转换,是否可以通过配置启用HTTPS,如果Youdao的隐私策略阻止了泄露,是否安全地实现了任何HTTPS功能,在机密环境中部署YoudaoDict或类似的基于云的翻译工具之前,ddos攻击有办法防御,应该回答这些问题。我们建议用户在不经意的情况下,至少在不经意间泄露了他们的软件的机密性。细节下面的实验是为了验证是否仍然像以前的版本一样在明文httpget请求中传递流量。这是一封由Nerd,Geek,and Spaz,LLP律师事务所的一位合伙人在记事本上写的一封假信,他正在为一位因某种原因被起诉的客户辩护… 当这两行突出显示时,一个蓝色的小册子弹出,在书上悬停会导致执行翻译。该转换实际上是在远程服务器上执行的,软件会访问以下URL: ?钥匙孔=deskdict.screentrans.http.0.stroke&q=Bill%20Jones%20is%20getting%20sugged%20for%20some%20really%20Unbargasing%0D%0Aporn%20was%20found%20his%20work%20computer。%20%20Please%20advise&pos=-1&doctype=xml&xmlVersion=3.2&dogVersion=1.0&client=desktdict&id=8bba3b7bdf465c61b&vendor=unknown&in=YoudaoDict&appVer=6.3.66.1117&appZengqiang=0&abTest=&le=eng&fytype=AUTO&scrfrom=行程和过程=记事本为了方便起见,我们在解码并转换为打印精美的JSON后查看相同的URL: {"用户名":空,"netloc":dict.youdao.com网站","变量":{"appZengqiang":"0",cc攻击防御方法,"vendor":"未知","fytype":"自动","keyfrom":deskdict.screentrans.http.0.笔划","dogVersion":"1.0","pos":"-1","doctype":"xml","q":"Bill%20Jones%20is%20getting%20Suspeed%20some%20really%20Enbarsaging%0D%0Aporn%20was%20found%20his%20work%20computer.%20%2020please%20advice","le":"英语","appVer":"6.3.66.1117","client":"desktict","in":"有道迪克特","xmlVersion":"3.2","proc":记事本","id":"8bba3b7bdf465c61b","scrfrom":"笔划"},"片段":"","scheme":"http","主机名":dict.youdao.com网站","params":"","查询":"钥匙孔=deskdict.screentrans.http.0.stroke&q=Bill%20Jones%20is%20getting%20sugged%20for%20some%20really%20Unbargasing%0D%0Aporn%20was%20found%20his%20work%20computer。%20%20Please%20advise&pos=-1&doctype=xml&xmlVersion=3.2&dogVersion=1.0&client=desktict&id=8bba3b7bdf465c61b&vendor=unknown&in=YoudaoDict&appVer=6.3.66.1117&appZengqiang=0&abTest=&le=eng&fytype=AUTO&scrfrom=行程和过程=记事本","path":"/fsearch","密码":空,"端口":空}在JSON版本中,我们可以更容易地看到变量的分离,屏幕截图中的句子清晰可见,用"%20"替换空格,用"%0A%0D"替换行尾。解码后,结果如下: 比尔·琼斯因为一些让人难堪而被起诉在他工作电脑上发现的色情片。请告知这是记事本应用程序突出显示区域的确切内容。很明显,公司不能正确拼写"难堪"的事实可能会让他们脸上起鸡皮疙瘩,使之成为一个潜在的极具破坏性的漏洞。该工具还传递有关翻译文本来自的应用程序的信息,这确实是"记事本,版本号,附属机构标识符(为公司分发程序,大概分享广告收入,)和其他杂项信息。

,ddos攻击与防御产品