IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

گوگل

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

درخواست اطلاعات خصوصی کاربران از شرکت های بزرگ تکنولوژی مانند گوگل

 

شما در حال ملاحظه صندوق ورودی جیمیل خود هستید و ایمیلی با موضوعی عجیب مشاهده می کنید: یک رشته اعداد به دنبال "اعلان از طرف گوگل".

به نظر می رسد کلاهبرداری فیشینگ یا به روزرسانی شرایط خدمات جیمیل باشد. اما این می تواند تنها فرصتی باشد که می توانید گوگل را از به اشتراک گذری اطلاعات شخصی خود با سازمان ها منصرف کنید.

شرکت های فناوری که دارای دیتابیس ارزشمندی از اطلاعات شخصی هستند، به اهداف رایج اجرای قانون و درخواست های دولت تبدیل شده اند. بزرگترین نامهای این صنعت مانند گوگل، فیسبوک، توییتر، لینکدین و غیره درخواستهای داده را دریافت می كنند (از اعلام احضاریه تا نامه های امنیت ملی) برای كمك و در کنار آنها سایر اقدامات مانند تحقیقات جنایی و غیركیفری و همچنین دادخواستها.

ایمیلی مانند این ایمیل فرصتی نادر است که کاربران می توانند در زمانی که سازمان های دولتی به دنبال داده های آنها هستند، متوجه آن بشوند.

در مورد گوگل، این شرکت به طور معمول به کاربران اطلاع می دهد که کدام آژانس اطلاعات آنها را جستجو می کند.

در یک ایمیل که لس آنجلس تایمز آنرا بررسی کرد، گوگل به گیرنده اعلام کرد که این شرکت درخواستی را از وزارت امنیت داخلی برای تحویل اطلاعات مربوط به حساب گوگل خود دریافت کرده است. (گیرنده ایمیل را به شرط ناشناس ماندن به دلیل نگرانی در مورد اجرای قوانین مهاجرت به اشتراک گذاشت). این حساب ممکن است به جیمیل، یوتوب، تصاویر گوگل، پرداخت های گوگل، تقویم گوگل و سایر سرویس ها نیز مرتبط و پیوست باشد.

این ایمیل که از تیم پشتیبانی تحقیقات حقوقی گوگل ارسال شده است، به گیرنده اطلاع می دهد که گوگل ممکن است اطلاعات شخصی وی را به DHS تحویل دهد، مگر اینکه ظرف هفت روز نسخه ای از دادخواست مهر دادگاه را برای لغو درخواست دریافت کند.

پارومیتا شاه، یکی از بنیانگذاران و مدیر اجرایی شرکت حقوقی حقوق مهاجرت با نام جاست فیوچرز، گفت: این درخواست بسیار بزرگی است که باید در مدت زمان کوتاهی حذف شود.

شاه گفت: "آنچه گوگل از شما انتظار دارد این است كه احضاریه را لغو كنید و این شما را ملزم می كند كه به دادگاه فدرال بروید". وی افزود: "من می خواهم بدانم که چه تعداد از مردم متوجه این موضوع هستند که فقط هفت روز فرصت دارند تا یک وکیل استخدام کنند تا استیضاح ICE را در دادگاه فدرال لغو کنند".

ایمیل دریافتی از گوگل شامل کپی درخواست قانونی نمی شود. به محض درخواست، گیرنده دریافت که این احضاریه اداری از اداره مهاجرت و امور اداری ایالات متحده است. ICE به دنبال نام ها، آدرس های ایمیل، شماره تلفن ها، آدرس های IP، آدرس پستی، طول خدمت مانند تاریخ شروع و روش های پرداخت حقوق بود که ممکن است به هر روشی به حساب گوگل مرتبط باشند.

چنین درخواست هایی برای گوگل غیر معمول نیست. از ژانویه 2020 تا ژوئن 2020، گوگل نزدیک به 40،000 درخواست اطلاعات کاربر از سازمان های مجری قانون دریافت کرده است - طبق گزارش شفافیت سالانه، بیش از 15500 احضاریه ارسال شده است. از این احضارها، گوگل در 83٪ موارد "برخی داده ها" را ارائه داده است. در همان دوره، فیس بوک بیش از 60،000 درخواست دریافت کرده است که در 88٪ موارد برخی داده ها را ارائه کرده است. توییتر کمی بیش از 3000 درخواست دریافت کرده و گفته است که 59٪ نرخ انطباق دارد.

اگرچه ممکن است شرکت ها در توانایی خود در مبارزه با صدور احکام قضایی و احضار احکام قضایی دارای محدود باشند، اما شاه و مدافعان مهاجرت معتقدند که صنعت فناوری در پاسخ به درخواست های قانونی که مجوز قضایی دریافت نکرده اند، توانایی بیشتری برای جلوگیری از ارائه اطلاعات کاربران دارند.

در بیانیه ای، سخنگوی گوگل، الکس کراسوف گفت که این شرکت "به شدت" از حریم خصوصی کاربران محافظت می کند، "در حالی که از اقدامات مهم در راستای اجرای قانون حمایت می کند".

در این بیانیه آمده است که: "ما یک فرایند کاملاً ثابت برای مدیریت درخواست های نیروهای امنیتی برای داده های مربوط به کاربران خود داریم: وقتی درخواستی را دریافت می کنیم، به کاربران اطلاع می دهیم که درخواست اطلاعات آنها دریافت شده است، برای محافظت از حریم خصوصی کاربران و ارائه درخواست های گسترده تر را برای محافظت از حریم خصوصی کاربران پاسخ نداده و در مورد چنین درخواست هایی در گزارش شفافیت ما در مورد این درخواست ها از خود شفافیت نشان میدهیم".

احضاریه یکی از معدود مراحل قانونی است که دفاتر اجرای قانون برای به دست آوردن اطلاعات کاربر، در برخی مواقع در ارتباط با تحقیقات جنایی یا تحقیقات دیگر، صادر می شوند. بسیاری از این درخواست ها با مطالبات غیرمعقولی ارائه می شود و حداقل تا یک سال پس از صدور درخواست، اطلاعاتی از کاربران ارائه نخواهد شد. برخی دیگر به کاربران زمان یا اطلاعات کمی می دهند تا بتوانند از داده های آنها محافظت کنند.

سازمان های اجرای قانون می توانند اطلاعات کاربر را از راه های دیگر کسب کنند. بعضی از شرکت ها اطلاعات کاربری را به کارگزاران جمع آوری داده می فروشند، که به عنوان مثال اطلاعات را به دفاتر اجرای قانون می فروشند. همه آنها تنها بخشی از سیستمی هستند که به عنوان محصول جانبی وابستگی شرکت های فناوری به مدل تجاری جمع آوری، ذخیره و فروش اطلاعات شخصی و همچنین تمایل اغلب بدون قید و شرط کاربران برای تحویل داده هایشان، در اختیار نیروهای امنیتی قرار بگیرد، شکل گرفته است.

احضاریه های اداری، مانند موردی که کاربر گوگل دریافت کرده است، از منظر نوع اطلاعاتی که آنها می خواهند و همچنین اجرای آنها با حکم یا احضاریه احکام دادگاه متفاوت است. احضاریه اداری خود اجرا نمی شود؛ به این معنی که صرفاً یک درخواست حقوقی است و در صورت عدم رضایت گیرنده از طریق ICE یا دفاتر صادر کننده دیگر، فقط با مراجعه به دادگاه قابل اجرا است. همچنین توسط قاضی امضا نشده است و آن دفتر ملزم است که نشان دهد ارسال این احضاریه اتفاقی یا بر حسب احتمال نبوده است. برخلاف حکم، احضار اداری فقط به مقامات اجازه می دهد تا اطلاعات اولیه مشترک مانند آدرس IP و مدت زمان فعال بودن یک حساب را جستجو کنند.

برخی از گروه های حقوق مدنی و حقوقی نگران هستند که آژانس های فدرال مانند ICE بتوانند از فرآیندهای قانونی مانند احضارهای اداری برای دسترسی به اطلاعات کاربر برای گسترش نظارت بر ساکنان ایالات متحده استفاده کنند.

در یک درخواست آزادی اطلاعات، ائتلافی از گروه ها با اشاره به این که سیستم عامل ها "حاوی مقادیر زیادی از اطلاعات شخصی در مورد کاربران آنها از جمله موقعیت مکانی در زمان واقعی، آدرس و داده های ارتباطی" هستند، از ICE پرسیده اند که چه تعداد از این درخواست ها را به گوگل، فیس بوک و توییتر ارسال کرده است.

دفتر حقوقی جاست فیوچرز و کمیته پشتیبانی میخنته اعلام کرده اند: "درخواست احضار اداری ICE از شرکت های فناوری برای دریافت چنین اطلاعات شامل خصوصی ترین و شخصی ترین اطلاعات در مورد زندگی روزمره ما مانند مکان، آدرس و ارتباطات مطالبه می کند"، این درخواست توسط برنامه مهاجران حقوق بشر و برنامه مهاجرتی انسانی دانشگاه بوستون ارائه شده است.

یک مقام ICE گفت که این آژانس به طور معمول احضاریه اداری را برای اهداف غیرجنایی و مهاجرت مدنی به شرکت های فناوری نمی فرستد. این آژانس همچنین به استفاده قبلی از احضارهای اداری برای مجبور کردن اداره اصلاح و نظارت بر امور اجتماعی نیویورک (در شهری که قوانین پناهندگان، کمک به آژانس ها در تلاش برای اخراج فدرال پناهندگان را ممنوع کرده است)، اشاره کرد که درخواست کرده اند اطلاعات چندین نفر را به ICE ارائه دهد. در اعلامیه مطبوعاتی در مورد استفاده از احضارهای اداری، ICE گفت که از "احضاریه مهاجرتی مجاز برای دریافت اطلاعات به عنوان بخشی از تحقیقات در مورد مهاجران خطرناک احتمالی" استفاده می کنند.

شاه می گوید: "منتقدان ابراز نگرانی می کنند برای کاربرانی که اطلاعات آنها محور احضارهای اداری است، سخت است که شرکت هایی مانند گوگل را از اشتراک آن اطلاعات منصرف و این روند را متوقف کنند".

وی گفت: "گوگل بعید به نظر میرسید که از ارائه اطلاعات اعلام انصراف كند، زیرا آنها با این كار مسئولیت لغو كردن را بر عهده شخص می گذارند". و " این برای شرکت ها بسیار معمول است. برای کاربران بسیار سخت است که از هر چیزی انصراف دهند، مگر اینکه مراحل اضافی را طی کرده یا برای انصراف به پورتال ها و صفحات ویژه ای بروید".

ائتلافی از گروه های حمایت از حقوق مهاجران در نامه ای به مدیر حقوقی گوگل، کنت واکر، استدلال کردند که این شرکت نباید هیچ اطلاعاتی را تحویل دهد مگر اینکه درخواست ICE همراه با دستور قضایی باشد و در سیاست خود تجدید نظر کند تا "مشترک دارای فرصتی برای دریافت و بررسی آن داشته باشد". گوگل به سوالات خاص در مورد اینکه آیا این شرکت در خط مشی خود تجدید نظر می کند پاسخ نداده است.

این نامه که تنها از طرف سازمان حقوق مهاجران، میخنته، جاست فیوچرز و برخی سازمانهای حقوقی مهاجران در دانشگاه ارائه شده، میگوید که: "ارائه اطلاعات مکان به ICE می تواند صدمات جبران ناپذیری ایجاد کند، زیرا ICE از چنین اطلاعاتی برای انجام حمله به منازل، زندانی کردن افراد غیرشهروند، تبعید افراد و خانواده های آنها و از بین بردن جوامع استفاده می کند".

در حالی که استفاده ICE از این فرایند فراقضایی به نگرانی کسانی تبدیل شده است که معتقدند از این روش برای "ایجاد و بروز سردرگمی" در مورد حد قانونی استفاده شده است، احضارهای اداری در واقع یکی از روشهای شفاف است که نیروهای امنیتی می توانند اطلاعات کاربران را از شرکت های تکنولوژی درخواست کنند. ااین تا حدی به این دلیل است که چنین درخواست هایی به صورت یک جانبه با سفارشات و درخواست های غیرمعقول ارائه نمی شوند.

آندرو کراکر، وكیل كاركنان بنیاد مرز الکترونیك، گفت: "آژانس مجبور است به دادگاه مراجعه كند تا یك دستور العمل گنگ دریافت كند، اقدامی كه می تواند استیضاح اداری (كه ابزاری ارزان قیمت است زیرا نیازی به مراجعه به دادگاه ندارد) را در معرض چالش هایی قرار دهد". (مقامات می توانند در احضارهای اداری خود درخواست کنند، همانطور که ICE در این مورد انجام داد، یک شرکت اطلاعات را با کاربر به اشتراک نگذارد، اما این فقط یک درخواست است.)

از طرف دیگر، سایر درخواست های اجرای قانون، از جمله ضمانت نامه ها و نامه های امنیت ملی، اغلب با دستورات مضحک همراه هستند زیرا میگویند اطلاع رسانی به کاربر می تواند در تحقیقات تداخل ایجاد کند.

در این موارد، به کاربر اطلاع داده نمی شود. کراکر گفت، نامه های امنیت ملی (نوعی استیضاح اداری که عمدتاً توسط سازمان امنیت فدرال صادر می شود) دارای یک دستور پیش فرض است که لازم است در طی تحقیقات دو بار مورد بازنگری قرار گیرد. نمونه های منتشر شده توسط گوگل نشان می دهد كه یك نامه امنیت ملی كه در ماه ژوئیه سال 2016 برای این شركت ارسال شده بود كه به تازگی در ماه گذشته افشا شد و دیگری در ماه مارس سال 2020 صادر و در ماه فوریه منتشر شد. در هر دو مورد، مشترکی که اطلاعات وی درخواست می شود، تا زمان افشای آن تصوری از نحوه تحویل و ارائه آن ندارد.

کراکر گفت، به همین دلیل، ضروری است برای ارائه دهندگان بزرگی مانند گوگل به عنوان یک عامل کنترل در اجرای قانون عمل کنند.

وی گفت: "در غیر این صورت شما فقط نمی دانید فرآیندی که برای به دست آوردن اطلاعات خصوصی استفاده می شود چیست". ولی افزود: "وقتی این را با روشی که در دنیای واقعی اتفاق می افتد مقایسه می کنید، اگر پلیس بخواهد خانه شما را جستجو کند، مجبور به صدور و دریافت حکم برای این کار است و سپس درب شما را می شکند یا می کوبد. اما با این روند شما می دانید که آنها در خانه شما هستند و در واقع لازم است لیستی از همه آنچه را که می گیرند به شما بدهند".

سوء استفاده گوگل از اطلاعات خصوصی کاربران حتی در حالت ناشناس

 

گوگل با یک پرونده قضایی روبرو است که ادعا می کند غول موتور جستجوی دنیا حتی وقتی کاربران از حالت ناشناس خصوصی خود استفاده می کنند، مخفیانه اطلاعات آنها را جمع آوری می کند.

به گزارش هک‌رید، قاضی منطقه ای ایالات متحده، لوسی کو، در حکم خود نوشته است که غول موتور جستجو، "گوگل جمع آوری داده ها حتی در حالتی که کاربر از حالت وبگردی خصوصی استفاده میکند را به کاربر اطلاع نداده است"؛ هرچند که گوگل خواستار رد پرونده شده است.

در ماه ژوئن گذشته سه کاربر، شکایات ذکر شده را مطرح کرده اند که گوگل "تجارت گسترده ردیابی داده" به راه انداخته است و ردیابی آنها حتی در حالی که کاربران با استفاده از حالت ناشناس در کروم یا وبگردی خصوصی در سافاری و سایر مرورگرها سعی در حفظ حریم خصوصی خود دارند نیز ادامه دارد.

طبق گزارش بلومبرگ، شرکت گوگل در دفاع از خود ادعا کرده است که برای کاربران خود روشن می کند که: "حالت ناشناس به معنای نامرئی شدن نیست و ممکن است فعالیت کاربر در آن session برای وب سایت هایی که بازدید می کند و سایر سایت های تجزیه و تحلیل اطلاعات پشت پرده سایتها و یا خدمات تبلیغاتی که داده های بازدیدکنندگان آنها استفاده می کنند، مشخص و واضح و قابل شناسایی باشد". علاوه بر این، خوزه کاستاندا، سخنگوی گوگل در ایمیلی نوشت که این شرکت ادعاهای دادخواست را رد می کند و اعلام کرد که "ما به شدت در برابر این اتهام آنها، از خود دفاع خواهیم کرد".

این دادخواست نباید تعجب آور باشد، زیرا در سال 2018 موتور جستجوی متمرکز بر حریم خصوصی DuckDuckGo یک تحقیق گسترده انجام داد که ادعا می کند جستجوها در حالت ناشناس گوگل، اصلا خصوصی و به طور کامل پنهان نیستند.

 

آنچه صفحه حالت ناشناس می گوید

takian.ir google facing lawsuit over tracking users in incognito browsing

با این حال، می توان دریافت که عموم مردم از رفتار و عملکرد واقعی حالت ناشناس آگاهی کافی ندارند. این دادخواست می تواند به گوگل فرصت دهد که با صراحت بیشتری به کاربران خود در مورد آن داده هایی که در حالت ناشناس جمع آوری می کند و آنچه که انجام نمی دهد، توضیح دهد.

این شکایت همچنین انتقاد به شرکتهایی است که اطلاعات مهم خود را در زمینه خدماتی که ارائه میدهند، پنهان می کنند و از آنجا که تعداد بسیار کمی از افراد این توافق نامه ها را از ابتدا تا انتها ئ به طور کامل می خوانند، و این ناآگاهی ها و پنهان کاری ها می تواند باعث ایجاد مشکلات عدیده ای در مسئله حفظ حریم خصوصی شود.

فروش کلید امنیتی تایتان به مبلغ 50 دلار توسط گوگل

به گزارش سایت دهک نیوز، گوگل کلیدامنیتی خود را با نام تایتان (Titan) در فروشگاه گوگل به قیمت 50 دلار عرضه کرده است. این وسیله در ابتدا ماه گذشته در کنفرانس گوگل‌کلود نکس 18 معرفی شد.Takian.ir google titan key

کلید‌امنیتی تایتان یک دستگاه کوچک یو‌اس‌بی و مشابه یوبی‌کی است و دارای احراز هویت دو عاملی (2FA) مبتنی بر سخت‌افزار برای حساب‌های آنلاین با بالاترین سطح حفاظت در برابر حملات فیشینگ می‌باشد.کلید‌امنیتی تایتان در حال حاضر به طور گسترده‌ای در ایالات‌متحده‌آمریکا موجود است و یک بسته کامل 50 دلاری آن شامل موارد زیر می‌شود:

- کلید‌امنیتی یو‌اس‌بی
- کلید‌امنیتی بلوتوث
- تبدیل USB-C به USB-A
- کابل اتصال USB-C به USB-A

کلید‌امنیتی تایتان چیست؟

کلید‌امنیتی تایتان بر اساس پروتکل بر اساس پروتکل FIDO (Fast Identity Online) و U2F(Universal 2nd Factor) بوده و شامل یک وسیله امن و یک سیستم عامل پیشرفته توسط گوگل است که یکپارچگی کلید‌های امنیتی را در سطح سخت‌افزاری تایید می‌کند.

این وسیله یک لایه اضافی احراز هویت در بالای رمزعبور حساب کاربری اضافه می‌کند و کاربران می‌توانند با وارد کردن کلید‌امنیتی  یو‌اس‌بی و فشار دادن یک دکمه به سرعت به حساب‌های خود وارد شوند.

کلیدامنیتی تایتان با مرورگرها از جمله گوگل‌کروم و تعدادی از خدمات آنلاین محبوب مانند جی‌میل، فیس‌بوک، توییتر و دراپ‌باکس سازگار است.

این کلیدهای امنیتی همچنین با برنامه حفاظت پیشرفته، قوی‌ترین امنیت گوگل را برای کاربرانی که خطر قرار دارند به وجود می‌آورد.

مدیران گوگل‌کلود می‌توانند اجرای کلید‌امنیتی را در G Suite، Cloud Identity و پلتفرم گوگل‌کلود فعال کنند تا اطمینان حاصل شود که کاربران از کلیدهای امنیتی برای حساب‌هایشان استفاده می‌کنند.

کلیدی امنیتی تیتان چگونه امنیت آنلاین را تأمین می کند؟

به گفته گوگل، کلید‌های امنیتی مبتنی بر سخت افزار FIDO با امنیت بیشتر و ایمن‌تر در جلوگیری از فیشینگ، حملات مرد میانی (MITM) و سایر انواع حملات به حساب‌کاربری از جمله حملات مبتنی بر روش های 2FA که نیاز به ارسال پیام کوتاه(SMS) دارند، ایجاد می کند.Takian.ir google titan key usb

این کار به این دلیل است که حتی اگر یک مهاجم موفق به ایجاد هویت جعلی برای ورود به حساب‌کاربری آنلاین شود، ورود بدون کلید فیزیکی امکان‌پذیر نیست.

در ماه گذشته، گوگل اعلام کرده است که 85000  نفر از کارمند این شرکت  در ماه‌های سال گذشته از این کلیدهای امنیتی استفاده کرده و از آن زمان هیچکدام از آنها قربانی حمله فیشینگ نشده‌اند.

گوگل قبلا در اوایل ماه جولای هنگامی که این شرکت برای اولین بار این پروژه را اعلام کرد، کلید‌امنیتی تایتان را در اختیار مشتریان کلود‌سکوریتی خود قرار داد.

 
 
 
 

کروم به زودی استفاده از HTTPS را در اولویت قرار میدهد

 

اگر کاربران آدرسی را تایپ کرده و فراموش کنند که پیشوند HTTP یا HTTPS را درج نمایند، گوگل کروم به طور پیش‌فرض از HTTPS استفاده خواهد کرد.

مهندسان گوگل در طی چند سال گذشته جز سرسخت ترین ترویج کنندگان و عرضه کنندگان بسته های امنیتی در بین سایر مرورگرها بوده اند و همراه با تیم های پشتیبان مرورگرهای Firefox و Tor، اغلب در پشت پرده بسیاری از تغییراتی بوده اند که باعث شکل دادن مرورگرها به آنچه که امروز هستند، شده اند.

از ویژگی های پیشگامانه و آوانگارد آن مانند ایزولاسیون سایت و کار در پشت صحنه در فروم CA/B تا بهبود وضعیت گواهینامه تجاری TLS، همه ما مدیون تلاش های تیم کروم هستیم.

اما یکی از بزرگترین موارد مورد علاقه مهندسین کروم طی چند سال گذشته، تلاش برای ترویج استفاده از HTTPS، چه در درون مرورگر کروم، و چه در بین گردانندگان و صاحبین وبسایت ها بوده است.

به عنوان بخشی از این تلاش ها، کروم اکنون تلاش می کند تا در صورت در دسترس بودن HTTPS، سایت ها را از HTTP به HTTPS بروزرسانی کرده و ارتقا دهد.

کروم همچنین به کاربرانی که می خواهند رمز عبور یا اطلاعات کارت بانکی خود را در صفحات HTTP نا ایمن وارد کنند، از آنجا که ممکن است درون شبکه به شکل متن ساده ارسال شوند، اخطار و هشدار می دهد.

اگر نشانی اینترنتی صفحه HTTPS باشد، کروم بارگیری از منابع HTTP را نیز، برای جلوگیری از فریب کاربران در مورد ایمنی ظاهری دانلود از آن نشانی ها که در اصل امن نیستند، مسدود می کند.

تغییراتی درOMNIBOX کروم که در نسخهV90 میشوند

اما حتی اگر حدود 82٪ از کل سایت های اینترنتی با HTTPS کار کنند، این تعداد تا زمانی که بتوان ادعای امنیت اکثریت را مطرح کرد، فاصله زیادی دارد. جدیدترین تغییرات اولیه HTTPS در کروم نسخه 90 برقرار میشود که برنامه ریزی شده است تا در اواسط آوریل سال جاری منتشر شود.

این تغییر بر کروم Omnibox تأثیر بسزایی میگذارد (نامی که گوگل از آن برای توصیف نوار آدرس کروم (URL) استفاده می کند).

در نسخه های فعلی، وقتی کاربران آدرسی را در Omnibox تایپ می کنند، کروم آدرس تایپ شده را صرف نظر از پروتکل آن، بارگیری می کند. اما اگر کاربران فراموش کنند پروتکل را (HTTP یا HTTPS) تایپ کنند، کروم "http://" را جلوی متن اضافه می کند و سعی می کند دامنه را از طریق HTTP بارگیری نماید.

به عنوان مثال، تایپ چیزی مانند "domain.com" در نسخه فعلی کروم، "http://domain.com" را بارگیری می کند.

طبق گفته مهندس امنیتی کروم، امیلی استارک، این ویژگی در کروم نسخه 90 تغییر خواهد کرد. با شروع عرضه نسخه 90، Omnibox تمام دامنه هایی که بر مبنای HTTP باشند، به جای "http://"، با HTTPS بارگیری و لود خواهد کرد.

استارک این هفته در توییتر خود توضیح داد: "در حال حاضر، این طرح به صورت آزمایشی برای درصد كمی از كاربران کروم با نسخه 89 اجرا می شود و اگر کاملا طبق برنامه پیش برود، در نسخه کروم 90 به طور کامل راه اندازی خواهد شد".

کاربرانی که مایل به آزمایش این ساز و کار جدید هستند، می توانند این کار را در حال حاضر از طریق Chrome Canary انجام دهند. آنها می توانند از طریق آدرس زیر به قسمت Flag کروم مراجعه کرده و این ویژگی را فعال نمایند:

chrome://flags/#omnibox-default-typed-navigations-to-https

takian.ir chrome flags entry

کشف نقض امنیتی در مرورگر Microsoft Edge توسط پروژه صفر گوگل

به گزارش سایت tenforums شرکت مایکروسافت سال گذشته اعلام کرده بود که به منظور بهینه سازی فرایند اجرای کدها در مرورگر اج از ACG استفاده خواهد کرد. ACG که مخفف Arbitrary Code Guard است از اصلاح صفحات کد و اجرای کدهای مخرب در حافظه جلوگیری می کند. این در حالی است که بیشتر مرورگرهای مدرن بر کامپایلرهای JIT متکی هستند و تطبیق آنها با ACG فرایندی پیچیده است.Takian.ir microsoft edge

مایکروسافت برای اطمینان از سازگاری کامپایلر JIT  با مرورگر مجهز به ACG ، کامپایل JIT را در فرایندی جداگانه صورت می دهد که طی آن تابع VirtualAllocEx برای اختصاص حافظه فراخوانی می شود. فرایند JIT  مسئولیت کامپایل جاوا اسکریپت به کد های بومی و نگاشت آنها به فرایند محتوای درخواستی را بر عهده دارد، به عبارت دیگر فرایند محتوا اجازه نگاشت یا اصلاح صفحات کد JIT خودش را ندارد.

مایکروسافت اج

با این حال محققان امنیتی پروژه صفر در فرایند نوشتن داده های اجرایی در فرایند محتوا آسیب پذیری هایی را پیدا کرده اند. بر این اساس فرایند محتوا می تواند آدرسی را که JIT در نظر می گیرد تشخیص داده و کدهای قابل اجرای دیگری را در آن قرار دهد. گوگل وجود این آسیب پذیری را در آبان ماه به مایکروسافت اعلام کرده و پیش از انتشار عمومی 90 روز به این شرکت فرصت داده تا آن را اصلاح کند.

«مرکز پاسخگویی امنیتی مایکروسافت»،  MSRCتاکید کرده مشکل مایکروسافت اج از آنچه در ابتدا به نظر رسیده پیچیده تر بوده و به همین خاطر گوگل 14 روز دیگر به مهلت تعیین شده اضافه کرده است. با این حال تیم امنیتی مایکروسافت در این چهارده روز نیز به نتیجه مطلوبی دست پیدا نکرده و به همین خاطر گوگل این باگ را به صورت عمومی اعلام کرده است.

کمپانی ردموندی مدعی شده که تا 22 اسفند این مشکل را حل کرده و پچ های آن را در قالب یک بسته امنیتی منتشر خواهد کرد.

مسدودسازی حساب های کاربری ایران و روسیه در فیسبوک، یوتیوب، توییتر و گوگل

فیسبوک، توییتر، گوگل و یوتیوب به شکل مشترک صدها حساب کاربری مرتبط با عاملان ایرانی را مسدود کردند. یک مرکز امنیت ‌سایبری در ایالات متحده روز سه شنبه مدعی شد که این حساب ‌های کاربری برای پیشبرد اهداف تبلیغاتی ایران در جهان به کار می‌ رفته است.Takian.ir Facebook and Twitter closed hundreds of classified ads to Iran

بنا بر ادعای شرکت امنیت سایبری «فایرآی»، کارگروه های مرتبط با ایران به وسیله مجموعه ‌ای از اخبار جعلی و کاربران ساختگی شبکه‌ های اجتماعی از جمله فیسبوک، اینستاگرام، توییتر، گوگل پلاس و یوتیوب روایت‌ های مثبت و مورد تایید این کشور را وارد فضای مجازی می‌کردند.

هدف این کارگروه ها، تبلیغاتی گسترده در فضای مجازی بوده که عمدتا کاربران کشورهای ایالات متحده، بریتانیا، آمریکای لاتین و خاورمیانه، مخاطب آن هستند. همچنین وب سایت ‌های عرب زبان که بر کاربران خاورمیانه متمرکز اند بخشی از این مجموعه ها بودند.

همچنین فایرآی مدعی شده است، این شبکه های سایبری، مضامینی «ضد سعودی، ضد اسرائیلی و هوادار فلسطین» منتشر نموده و از سیاست‌ های حامی ایران در موضوع برجام دفاع می‌کرده است.

فعالیت این شبکه ها در آمریکا، چندماه پس از انتخاب دونالد ترامپ با انتشار مطالب و مقالاتی اوج گرفت که برخی از آنها ظاهرا از نشریات معتبر آمریکایی و ایرانی گرفته شده بود.

همچنین در این فعالیت‌ها به برخی وب سایت ‌های جعلی از جمله US Journal یا Liberty Free Press استناد شده بود. به نوشته فایرآی این وب سایت ‌ها که در سال های ۲۰۱۳ و ۲۰۱۴ ساخته شده ‌اند و پیش از این غیرفعال باقی بودند.

این در حالی است که فیسبوک ادعا کرده برخی از صفحات وابسته به کارگروه تبلیغاتی ایران که روز چهارشنبه مسدود شدند، صدها هزار نفر دنبال‌کننده داشته‌اند.

فیسبوک همچنین نمونه ‌هایی از پست‌های حذف شده در این صفحات را منتشر کرده، از جمله کاریکاتوری از یک سرباز اسرائیلی در حال اعدام کردن یک فرد فلسطینی، یا یک پوستر جعلی فیلم که دونالد ترامپ را در حال بغل کردن کیم جونگ اون نشان می ‌دهد.فایرآی مدعی است، این شبکه تبلیغاتی به دفاع از سیاستمداران آمریکایی منتقد ترامپ و خروج آمریکا از برجام پرداخته است.

حساب‌ های کاربری توییتری چنان ساخته شده‌ بودند که به نظر برسد کابرانی واقعی و ساکن آمریکا،‌ بریتانیا یا کانادا آنها را می‌گردانند؛ این حساب‌ ها هشتگ ‌های شناخته شده علیه ترامپ در فرهنگ آمریکایی را به کار می ‌برده‌اند. توییتر در مجموع ۲۸۴ حساب کاربری را در این رابطه بسته است و فیسبوک نیز ۲۵۴ صفحه و ۳۹۲ حساب کاربری را در مجموعه کاری خود و اینستاگرام مسدود کرده است.

شرکت‌های فناوری اعلام کرده‌اند انتساب حساب ‌های کاربری به ایران براساس شماره تلفن‌ها، آدرس‌های ایمیل‌، تاریخچه ثبت وب سایت و تطابق زمان فعالیت این حساب ‌ها با ساعات کاری ایران صورت گرفته است.

گرچه این یافته‌ ها به نگرانی درباره احتمال دخالت خارجی در انتخابات ماه نوامبر در ایالات متحده دامن زده، اما فایرآی اعلام کرده به نظر نمی‌رسد فعالیت سایبری ایران به تأثیر گذاری بر روند انتخابات آمریکا مربوط شود.