騙されやすいから注意が必要:Ajax, VOIPThis is a featured page

http://www.wired.com/news/technology/security/0,71902-0.html?w=rss.index

Beguiling but Beware: Ajax, VOIP

最近流行のオンラインテクノロジーであるVOIPとAjaxはセキュリティに重大な問題があり、それが普及するにつれ,事態はより一層悪くなると専門家は言う。
VOIPは主流になりつつある。2チャンネルに分解され、第1の部分は信号処理、第2番目はメディアで、会話の部分である。
大抵のVOIPシステムではこれら2つの部分のいずれも暗号化されていない。このことがVOIPのセキュリティ上の問題を引き起こす。VOIPには、ちゃんとした解決策はないという。

ウェブ上では、Google Mapsの様な対話型サイトはAjaxを使ってウェブアプリケーションの再定義を始めている。
Ajaxは設計手法として、非同期通信とJavascriptを使って、豊かな内容で、同時にセキュリティで問題が有るウェブサイトを作る。セキュリティの専門家によると、Ajaxには、セキュアサイト創造のための現実的な枠組みは存在しないという。しかも、ますます、ウェブページを通じて、デリケートなデータがやり取りされるようになっているという。
Ajaxを実行するブラウザーはブラウザーの所有者が一切、何が起きたか分からない状態で複雑なページをロードし、複雑な書式の間を転々とする。
この専門家は実際に、偽造のサイトに不注意な犠牲者がアクセスしている間に攻撃する側が5000ドルの送金をさせる実演をしてみせた。そのサイト上の隠れたAjaxが被害者のブラウザーのcookieを盗んで送金を行ったが、これはiSEC社が顧客の為に行った侵入実験の一部である。
50以上のAjax プラットフォーム、open-source offerings like SAjax からMicrosoft's Atlasまで、問題は大きくなるばかりである。
ソフト開発側は極めて複雑なAjaxアプリを容易に作成可能だが、彼らは Ajaxがどのように機能するかは理解していない。
アクセスしているネットワークで何が起きているか理解できなければ、ウェブサイトを防衛することはできない。

SAN DIEGO --Some of the slickest new technologies online -- VOIP and Ajax -- are dangerously insecure, and likely to only get worse as they become more prevalent, according to security researchers presenting their findings at the ToorCon security conference.

Voice over internet protocol is going mainstream, a VOIP call is broken into two parts, or channels. The first is signaling, the second part is media, the bit where we talk. In most VOIP systems neither of these channels is actually encrypted.

this leaves most VOIP calls vulnerable.

"In VOIP, many times there's no clear-cut solutions,

" According to Trammell many VOIP vendors have argued that these security flaws are hard to exploit, but he listed more than 20 freely available tools specific to attacking VOIP in his talk, pointing out that the barrier to VOIP hacking is not only low, but getting lower all the time. That's likely to become an issue as VOIP becomes more prevalent.

On the web, interactive sites like Google Maps are re-defining what we think a web app is capable of using Ajax, a design methodology that uses asynchronous communication and Javascript to create richly featured, but often highly insecure, websites.

Alex Stamos, principle for the security firm iSec Partners, said Ajax has no realistic framework for creating secure sites in an environment where increasingly sensitive data is passed through web pages.

An Ajax-capable browser can load up pages and step through complex forms without the browser's owner ever knowing anything has happened.

He showed an example of an attacker managing to transfer $5,000 while his hapless victim browsed a fake news site. Hidden Ajax on that site stole the victim's browser cookie and did the transfer, but that was part of a penetration test performed at iSEC on behalf of a client. Stamos said that the public almost never hears about attacks in the wild. "There's no reason for a company to publicize that they've been broken into.

"more than 50 Ajax platforms, ranging from open-source offerings like SAjax to Microsoft's Atlas, Stamos sees the problem growing. "Developers are able to write very complex Ajax apps very easily," said Stamos, "They don't learn how (Ajax) actually works." You can't defend a website, explains Stamos, if you don't understand what's going on in the network it's talking to.


No user avatar
ishida 		Latest page update: made by ishida , Jan 23 2007, 9:28 AM EST (about this update About This Update ishida Edited by ishida

15 words added
4 words deleted

view changes
- complete history)
Keyword tags: ajax VoIP
More Info: links to this page

Threads for this page

Anonymous  (Get credit for your thread)

There are no threads for this page.  Be the first to start a new thread.