来自 网络 2022-05-29 14:20 的文章

cc防护_ddos高防价格_怎么办

cc防护_ddos高防价格_怎么办

本周的两个故事提出了关于加密挖掘的关键点和一些重大问题。

在Avast,我们的业务是防范影响全球计算机用户的安全风险。随着加密货币的普及——以及随之而来的不可避免的加密挖掘——这是我们致力于密切监控的一个领域。以下是本周引起我们注意的两个故事。

周一,如果您访问了许多官方政府网站之一,包括印第安纳州、美国法院、英国信息专员、英国国家卫生局、澳大利亚政府部门和许多其他网站,由于恶意软件,您很可能无意中挖掘了加密货币Monero。

然而,这不是一个被破坏的特定网站:相反,这是一个名为BrowseLoud的浏览器插件,被黑客攻击后,sdkddos节点防御,Coinhive miner可以在用户不知情或不同意的情况下劫持用户的CPU来挖掘加密货币。

安全研究员Scott Helme发现了这个受损的插件,但它是如何发生的?以下是我们所知道的:合法脚本是在它所在的亚马逊服务器上被黑客攻击的,它构成了代码和技术供应链的一部分,这些代码和技术在您的浏览器中汇集在一起,以提供内容和功能。我们不知道黑客是如何访问代码的,也不知道黑客是谁。

BrowseLoud迅速采取行动,删除受感染的代码,并用安全版本的插件替换。但是连锁反应意味着许多受影响的网站不得不离线,而他们的管理员检查他们的内容和技术堆栈的完整性。

虽然这个特定的漏洞很快被修复,但它仍然指向一个更大的担忧——脚本和插件实现了"现成的","由第三方开发并托管在AWS等公共云基础设施上,将来也可能被劫持,从而传播更具破坏性的恶意软件。

在关于此漏洞的博客文章中,安全研究员特洛伊·亨特(Troy Hunt)提供了两种关键的缓解技术。第一种缓解技术是SRI或子资源完整性,这意味着站点可以通过检查托管脚本的哈希值与验证代码的哈希值来验证其所依赖的第三方脚本的安全性。如果散列不匹配,则脚本不会运行,用户是安全的。

第二种技术是CSP或内容安全策略。正如Helme所描述的,该策略通过将已知的安全内容白名单化来定义浏览器可以加载的资源。任何它不能识别的东西都不会加载。

听起来不错,对吧?好吧,是和否。正如Avast Threat Labs研究员Martin Hron所指出的,"许多内容作者和提供者习惯于以‘老派’的方式做事,有时甚至不知道这些选项。"

"我绝对建议使用CSP或SRI等功能,"Hron继续说。但他很快指出,这是"网站实现和维护的舒适性和易用性与安全性之间的权衡",这意味着有时人们会选择更简单的选项,而不是安全选项。

而且,使用SRI技术意味着每次插件所有者更新其代码时,新的散列必须推送到浏览器上。正如Hron指出的,"每次使用第三方的脚本,你必须考虑你对该源的信任。"随着网站所有者从浏览器的漏洞中恢复过来,重要的是,wayosddos攻击防御,我们要开始一场关于信任的关键对话——特别是关于如何以及在何处开发、托管和实施构成软件供应链的代码位。

加密矿工不一定是恶意软件;正如本周Salon.com的访问者所发现的,有时它们会被故意在网站上实现。

而在之前的故事中,Coinhive被恶意地秘密注入BrowseLoud插件,Coinhive实际上将自己推销给网站,linux下防御ddos,作为阻止广告的访问者赚钱的一种方式。

当然,阻止广告有很多很好的理由:为了降低恶意软件通过毫无戒备的广告技术网络被注入的风险,减少网站上分散注意力的视觉混乱,阻止网站因第三方广告内容和脚本加载而减速,并减少跟踪用户活动和侵犯隐私的脚本数量。

然而,华为DDOS防御做的最好,广告是出版商的经济命脉。因此,当用户发现更高效、更凶猛的广告网站CC攻击防御,使他们与想要阅读的内容之间的无情弹出窗口、声音和警报失效时,ddos怎么知道自己防御了多少钱,出版商同时寻找新的方式来赚钱也就不足为奇了。其中一种方式是为读者提供一个选择:查看广告,或者阻止广告,在他们访问网站时运行Coinhive。

Salon因其定位后一种选择的方式不够透明而受到用户的批评。启用了广告网站CC攻击防御的访问者会遇到一个弹出窗口,该窗口羞涩地提供以下内容:"通过允许沙龙使用您未使用的计算能力来阻止广告。"

批评者很快指出,这不仅仅是让沙龙"使用您未使用的计算能力"。David Gerard,一本关于区块链技术的书的作者,推特上说,沙龙"在电脑如何工作方面撒了一个直截了当的谎。"

沙龙探索这条路线的原因是可以理解的:随着出版商追逐广告和收入,并试图想出办法将其内容货币化,广告屏蔽是一个巨大的问题。毕竟,内容的制作成本很高。