Bảo mật Passwords đã lưu trên Internet Explorer

Quản Trị Mạng - Một trong những điều tiện lợi nhất mà công cụ trình duyệt mang lại đó là khả năng tự động lưu trữ mật khẩu người dùng trên các form đăng nhập. Bởi nhiều trang web yêu cầu bạn phải có tài khoản trên đó và cần “login” trước khi có thể sử dụng các tiện ích của họ.
Vậy với người dùng trình duyệt IE của Microsoft và ấn “Yes” để cho phép trình duyệt này ghi nhớ mật khẩu của mình thì làm thế nào để bảo bệ những thông tin đó được an toàn?
Ở bài viết trước chúng tôi đã giới thiệu tới các bạn cơ chế bảo mật Passwords đã lưu trên Google Chrome. Hôm nay chúng tôi tiếp tục hướng dẫn các bạn cơ chế này trên trình duyệt Internet Explorer qua một số vấn đề chính.

Thông tin được lưu lại ở đâu?

Bắt đầu từ Internet Explorer 7, password được lưu giữ trong hệ thống registry (KEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2) và chống lại việc các user khác đăng nhập vào Windows có thể sử dụng được mật khẩu này bằng Data Protection API với kỹ thuật mã hóa Triple DES.

Những dữ liệu này có được bảo vệ?

Cho đến hiện tại, Triple DES vẫn chưa có cách phá vỡ bởi bất kỳ thuật toán nào từ bên ngoài. Tuy nhiên, khi bạn đã đăng nhập được vào Windows thì cơ chế này không còn được an toàn như trước. Nơi mà dữ liệu mật khẩu được lưu trữ sẽ bị giả định rằng đây là môi trường an toàn và cho phép các ứng dụng có thể truy cập vào.
Giống như kết quả của việc IE không sử dụng master password (như những gì Firefox cung cấp) để bảo vệ các mật khẩu đã lưu, lúc này password để vào tài khoản của Windows tương ứng chính là chìa khóa để giải mã Triple DES.
Đơn giản là nếu bạn đăng nhập vào Windows với tài khoản và mật khẩu thành công, bạn có thể save password trên trình duyệt. Bằng cách sử dụng một tiện ích có sẵn của NirSoft có tên IE PassView, bạn có thể xem và export tất cả các mật khẩu mà IE đã lưu.

Malware có thể truy cập vào vùng dữ liệu này?

Sau khi bạn có thể dễ dàng xem được những dữ liệu dạng password này, câu hỏi tiếp theo được đặt ra là liệu những phần mềm độc hại cũng có thể xâm nhập để xem chúng? Không có lý do gì là không thể cho câu hỏi này. Nếu bạn sử dụng Virus Total để quét tiện ích IE PassView, bạn sẽ thấy có tới hơn 55% máy quét phát hiện đây là phần mềm độc hại (trong đó có Security Essentials).

Tuy nhiên có trường hợp tiện ích này vẫn được phép hoạt động ngay cả khi bạn đã cài phần mềm anti-virus, có nghĩa là các phần mềm độc hại khác vẫn có thể xâm nhập mà không bị phát hiện. Ngoài ra, bởi do các dữ liệu được mã hóa cũng sẽ không bị cảnh báo bởi UAC khi nó bị truy cập.

Trường hợp máy tính bị đánh cắp

Những dữ liệu này được bảo mật giống như mật khẩu của tài khoản Windows. Nếu người nào đó đăng nhập được vào trong Windows bằng tài khoản thì tất cả các dữ liệu đều có thể bị truy cập dễ dàng. Nếu bạn không có mật khẩu đồng nghĩa với việc bạn không được bảo vệ.
Thử nghiệm bằng việc reset lại password của Windows, sau đó chúng tôi tiến hành lưu trữ mật khẩu của tài khoản Gmail (blah@gmail.com). Tiếp theo sử dụng tiện ích IE PassView để kiểm tra. Kết quả cho thấy chỉ có thể xem được password vừa lưu lại, còn những tài khoản khác đã lưu trước đó (myemail@gmail.com) vẫn được bảo vệ an toàn. Nguyên nhân là do master password được sử dụng để lưu trữ các dữ liệu khác nhau, nó không thể giải mã toàn bộ mật khẩu được lưu trước đó trong IE.

Kết luận

• Cũng như những lưu ý đối với Google Chrome, việc bảo mật cho trình duyệt IE là do chính người sử dụng thiết lập.
• Sử dụng mật khẩu thật mạnh cho tài khoản Windows. Hãy nhớ rằng có những tiện ích có thể giải mã mật khẩu Windows, nếu ai đó có được mật khẩu này họ sẽ có quyền truy cập vào mật khẩu lưu trên trình duyệt của bạn.
• Tự bảo về mình khỏi những phần mềm độc hại. Nếu tiện ích nào đó có thể dễ dàng truy cập vào mật khẩu đã lưu, vậy tại sao các phần mềm độc hại lại không thể?
• Lưu trữ mật khẩu của mình trên hệ thống quản lý mật khẩu như KeePass. Tất nhiên bạn sẽ mất đi sự tiện lợi khi trình duyệt tự động điền giúp những mật khẩu này.
• Sử dụng một tiện ích của bên thứ ba có tích hợp với IE và sử dụng một mật khẩu chính để quản lý.
• Mã hóa toàn bộ ổ đĩa cứng bằng ứng dụng như TrueCrypt. Đây là giải pháp “siêu bảo vệ” cho toàn bộ dữ liệu của bạn.

Đ.Hải (Nguồn HowtoGeek)

Read more »

Báo động đỏ nạn máy tính Việt bị ăn cắp dữ liệu

Thông tin mà Công ty an ninh mạng Bkav vừa công bố cho thấy, đã có ít nhất 85.000 máy tính tại Việt Nam bị lấy cắp dữ liệu vì nhiễm virus của mạng botnet Ramnit. Đây là tình trạng đáng báo động bởi nhiều thông tin quan trọng của các cá nhân, tổ chức tại Việt Nam có thể đã nằm trong tay tin tặc.

Sơ đồ minh họa sự lây lan của virus Ramnit.

Các chuyên gia của Bkav đã theo dõi và phân tích các biến thể virus, mạng lưới botnet Ramnit được hacker điều khiển bằng giao thức IRC thông qua nhiều máy chủ đặt ở Mỹ, Nga, Đức và Trung Quốc.
Kết quả điều tra cho thấy hacker đã tạo lập botnet Ramnit bằng cách phát tán virus qua tất cả các con đường như: USB, khai thác lỗ hổng phần mềm, gửi email đính kèm virus, gửi link qua các chương trình chat…
Virus Ramnit còn giả mạo các phần mềm phổ biến như: Macromedia Flash Player, Adobe Acrobat Reader, Windows Update… hòng qua mặt người sử dụng. Chính vì thế, chúng dễ dàng lây nhiễm trên số lượng lớn máy tính một cách nhanh chóng.
Khi lây nhiễm vào máy tính và chiếm được quyền điều khiển, virus Ramnit đánh cắp các dữ liệu trên máy tính nạn nhân, từ mật khẩu của các ứng dụng FTP đến cookie của các trình duyệt FireFox, Chrome, Internet Explorer.
Với những thông tin lấy được, hacker có thể kiểm soát được các tài khoản email, tài khoản ngân hàng… của nạn nhân. Đồng thời, tại máy tính nạn nhân, virus còn mở một cổng hậu (backdoor) cho phép hacker lấy bất kỳ file dữ liệu nào trên máy. Điều nguy hiểm là virus Ramnit hoạt động âm thầm, nên người dùng khó phát hiện máy tính của mình có bị nhiễm hay không, hoặc bị nhiễm từ bao giờ.
Sự việc hàng chục nghìn máy tính bị kiểm soát và lấy cắp dữ liệu là một vấn đề hết sức nghiêm trọng, cho thấy tình trạng lộ, lọt thông tin tại Việt Nam đang trở nên đáng báo động. Điều này không chỉ gây ra những thiệt hại cho cá nhân người sử dụng máy tính, mà còn đe dọa sự an toàn an ninh của các tổ chức, doanh nghiệp, gây ảnh hưởng đến an ninh quốc gia.
Theo ông Vũ Ngọc Sơn, Giám đốc bộ phận nghiên cứu của Bkav (Bkav R&D), trước đến nay, chưa gặp virus nào được tổ chức để lây lan một cách bài bản như loại virus này. Chúng có thể lây lan qua tất cả mọi con đường nhằm tối đa sự lây nhiễm vào mục tiêu.
Để ngăn chặn, người dùng máy tính cần tuân thủ nguyên tắc không mở USB bằng cách nháy đúp vào ổ đĩa, cập nhật các bản vá lỗ hổng phần mềm, tuyệt đối không mở file đính kèm và không bấm vào các đường link khi chưa rõ nguồn gốc. Ngoài việc nâng cao ý thức, để bảo vệ toàn diện máy tính cần cài đặt phần mềm diệt virus đủ mạnh.

Theo VnMedia

Read more »

10 phím tắt Safari bạn nên biết

Dù đang chạy HĐH Mac Snow Leopard hay Lion, bạn cũng có thể sử dụng các thủ thuật phím tắt trong trình duyệt Safari này để tiết kiệm thời gian.
Với những người thích sử dụng bàn phím hơn là chuột hay trackpad trên MTXT, các phím tắt sẽ giúp tăng tốc khi duyệt web.
Bài viết trình bày 10 thủ thuật cần thiết trong trình duyệt Safari nổi tiếng của HĐH Mac, có thể áp dụng tốt trong cả HĐH Snow Leopard hay Lion.

1. Nhập nhanh địa chỉ trang web

Khi muốn nhập một địa chỉ trang web URL (Uniform Resource Locator), bạn không cần phải di chuyển con trỏ chuột đến thanh địa chỉ (Address Bar), xoá các ký tự và gõ địa chỉ cần truy cập vào đó. Chỉ cần dùng phím tắt Command-L, khi đó toàn bộ các ký tự trong thanh địa chỉ sẽ được đánh dấu chọn, và bạn có thể gõ địa chỉ mới vào đó để truy cập. Khi bạn bắt đầu gõ địa chỉ các trang web yêu thích, Safari có thể tự động hoàn tất bằng cách tìm trong danh sách địa chỉ đã lưu (Bookmarks) hay các địa chỉ đã duyệt (History). Nếu Safari hiển thị một danh sách các địa chỉ, bạn có thể dùng phím mũi tên lên xuống để chọn, sau đó nhấn phím Return để truy cập.

2. Tìm kiếm nhanh

Hầu hết mọi người thường sử dụng dịch vụ tìm kiếm của Google. Trong Safari, bạn chỉ cần nhấn tổ hợp phím tắt Command-Option-F để nhanh chóng di chuyển con nháy đến thanh tìm kiếm của Google bên cạnh thanh địa chỉ. Tổ hợp phím này cũng có thể sử dụng trong nhiều chương trình của Apple như Mail, iTunes, Address Book…

3. Chuyển nhanh đến History

Khi bạn muốn xem danh sách History để tìm một địa chỉ web đã duyệt gần đây, nhưng bạn không thể nhớ chính xác địa chỉ đó, bạn có thể nhấn tổ hợp phím tắt Command-Option-2 để mở danh sách History, đặt con trỏ vào vùng tìm kiếm và nhập từ cần tìm. Nhấn đúp vào một địa chỉ trong danh sách History để mở trang đó, và nhấn Command-Option-2 lần nữa để quay lại trang tìm kiếm danh sách History.

4. Cuộn trang với phím spacebar

Khi đang duyệt một trang web, bạn thường dùng chuột hay trackpad để cuộn trang lên hay xuống. Tuy nhiên, bạn có thể dùng phím khoảng trắng (Spacebar) trên bàn phím để cuộn xuống 1 màn hình khi đang xem. Nếu bạn muốn cuộn lên 1 màn hình, chỉ cần nhấn tổ hợp phím Shift-Spacebar. Thao tác này nhanh và hiệu quả hơn, không gây hoa mắt khi cuộn trang.

5. Mở thẻ chạy nền

Tính năng thẻ (tab) của Safari cho phép người dùng mở nhiều trang web cùng lúc trong cùng một cửa sổ. Phần tuỳ chỉnh thuộc tính Tab của Safari thể hiện các phím tắt mà bạn có thể dùng khi tạo thẻ mới. Trong Safari, chọn trình đơn Safari -> Preferences và nhấn chọn Tabs để xem các tuỳ chỉnh này. Tổ hợp phím Command-Shift-nhấn chọn cho phép mở một thẻ mới chạy nền. Thao tác này thường dùng khi bạn cần mở nhiều thẻ mới mà không cần xem ngay. Để mở một thẻ mới hiện lên trên ngay, bạn có thể chọn Command-nhấn chọn. (Các phím tắt này sẽ bị đảo ngược nếu bạn không chọn “When a new tab or window opens, make it active”).

6. Duyệt các thẻ

Khi có nhiều thẻ đang mở trong Safari, bạn thường muốn chuyển qua lại giữa các thẻ này. Nếu không muốn dùng chuột, bạn có thể dùng tổ hợp phím Command-Shift-mũi tên qua trái/qua phải để di chuyển từ thẻ này sang thẻ khác. Hãy đảm bảo là lúc này con trỏ chuột không nằm trong vùng văn bản hay bất kỳ cửa sổ nào khác.

7. Gửi trang web (hay địa chỉ trang web) cho bạn bè

Đôi khi bạn muốn gửi email một địa chỉ web mà bạn tìm được cho bạn bè. Tổ hợp phím Command-I có thể giúp bạn nhanh chóng làm điều này. Nó sẽ gửi nội dung của trang mà bạn đang mở đến một địa chỉ email bằng ứng dụng Mail, với tiêu đề của email là tựa của trang web đó). Nếu bạn chỉ muốn gửi địa chỉ của trang đó, bạn có thể dùng tổ hợp phím Command-Shift-I.

8. Lưu lại trang web

Trong HĐH Mac OS X Lion mới ra mắt, tính năng Reading List được biết đến như một danh sách bookmark tạm thời, bạn có thể dùng để lưu các trang mà bạn muốn quay lại và đọc sau. Khi nhấn phím Command-Shift-D, bạn có thể thêm trang đang mở vào danh sách Reading List. Bạn sẽ thấy một biểu tượng bay di chuyển từ trong trang web đến biểu tượng cặp mắt kính phía trái của cửa sổ Safari.

9. Lưu lại địa chỉ đường dẫn

Tổ hợp phím tắt Command-Shift-D chỉ có tác dụng khi bạn đang xem một trang. Nếu bạn muốn thêm một đường dẫn nằm trong trang đang xem vào Reading List (một đường dẫn nằm trong kết quả tìm kiếm), chỉ cần giữ phím Shift-nhấn chọn vào đường dẫn đó.

10. Xem danh sách Reading List của Lion

Để xem danh sách Reading List, bạn có thể nhấn vào biểu tượng cặp mắt kính trong thanh Bookmark Bar. Bạn cũng có thể dùng một phương pháp dễ hơn là nhấn tổ hợp phím Command-Shift-L để mở danh sách này, và nhấn tổ hợp phím này một lần nữa để ẩn danh sách Reading List.

Theo PC World VN (Macworld)

Read more »

Những điều cần biết về HTML5

HTML5 sẽ cho phép một lớp ứng dụng web mới ra đời, hỗ trợ nội dung đa phương tiện và các tính năng offline mà không cần đến những công nghệ độc quyền đi kèm.
>>> HTML5 - 'Gã khổng lồ' đã thức giấc
Các đặc tính của HTML5 đã và đang được nói đến rất nhiều. Ngôn ngữ web này sẽ kế tiếp sự nghiệp của HTML4. HTML5 là phiên bản sửa đổi thứ 5 của ngôn ngữ World Wide Web: the Hypertext Markup Language (HTML) – đây được xem là ngôn ngữ chung của web. Nhóm Web Hypertext Application Technology Working Group (WHATWG) đã bắt đầu nghiên cứu về các đặc tính của HTML5 từ tháng 10/2009, dưới dự án Web Applications 1.0.

Năm 2022 mới hoàn thiện

Mặc dù hiện nay HTML5 được nói đến rất nhiều và các công trình nghiên cứu về HTML5 đã bắt đầu từ giữa những năm 2000, song các đặc tính kỹ thuật của nó dự kiến sẽ được hoàn thiện vào tận năm 2022. HTML4 chính thức xuất bản vào năm 1999.

Chính xác thì các công trình nghiên cứu về HTML5 bắt đầu vào tháng 6/2004, do các tổ chức World Wide Web Consortium HTML Working Group (W3C HTML WG) và WHATWG cùng phối hợp thực hiện.
Ian Hickson, biên tập kỹ thuật của HTML5, nói ông hy vọng những đặc tính kỹ thuật của HTML5 sẽ được trình lên W3C Candidate Recommendation vào năm 2012 và lên W3C Recommendation vào năm 2022. Tuy nhiên, nhiều đặc tính kỹ thuật của HTML5 đã ổn định và có thể được ứng dụng ngay từ bây giờ.

Theo Hickson, khung thời gian đệ trình và thử nghiệm kỹ thuật HTML5 là:

- Dự thảo đầu tiên gửi lên W3C vào tháng 10/2007.
- Dự thảo cuối cùng vào tháng 10/2009.
- Kêu gọi thử nghiệm vào năm 2011.
- Bản Đề cử (Candidate Recommendation) vào năm 2012.
- Dự thảo bộ thử nghiệm đầu tiên vào năm 2012.
- Dự thảo thử nghiệm thứ hai vào năm 2015.
- Phiên bản thử nghiệm cuối cùng vào năm 2019.
- Phát hành lại Dự thảo Last Call Working Draft vào năm 2020.
- Đề cử dự kiến vào năm 2022.
HTML5 sẽ thay thế HTML4, DOM2 HTML và XHTML 1.

Với HTML5, sẽ không cần đến các công nghệ độc quyền

Ngôn ngữ web HTML5 ra đời nhằm mục đích giảm bớt sự phụ thuộc và cần thiết của những công nghệ ứng dụng Internet độc quyền như Adobe Flash, Microsoft Silverlight và Sun JavaFX. Tuy nhiên, phải mất rất nhiều năm nữa mới đạt đến mục tiêu đó. Ngôn ngữ HTML4 không cho phép nhúng hay kiểm soát các nội dung đa phương tiện, trái lại, các yếu tố video và audio mới của HTML5 cho phép các nhà phát triển nhúng và kiểm soát các nội dung đa phương tiện mà không cần đến Flash. HTLM5 còn cho phép giao tiếp 2 chiều với máy chủ, vì thế các nhà phát triển có thể thử nghiệm game, chat, điều khiển từ xa…

Những tính năng của HTML5 như Canvas, lưu trữ nội bộ và Web Workers cho phép các nhà phát triển nâng cấp trình duyệt web theo những cách mà công nghệ trước đó không cho phép. Opera Software được xem là hãng đi đầu trong việc triển khai công nghệ HTML5 trong trình duyệt của hãng.
Tất cả các hãng trình duyệt lớn hiện nay, như Mozilla, Opera, Microsoft, Apple và Google đều đang tham gia định hình các đặc tính kỹ thuật của HTML5 và hỗ trợ ngôn ngữ web mới này, dù các đặc tính vẫn chưa được thông qua cuối cùng.
Trình duyệt Chrome của Google hiện đã có một số tính năng HTML5 như video tag. Vì thế cho đến nay, các trình duyệt Google Chrome, Apple Safari, Opera và Firefox đều hỗ trợ video HTML5. Tuy vậy, Opera và Firefox không hỗ trợ phiên bản mã h.264 dùng cho các video của YouTube và Vimeo. Trong khi đó, Internet Explorer của Microsoft lại chưa hỗ trợ video HTML5. Tuy vậy, người dùng IE có thể sử dụng video HTML5 bằng cách cài đặt thêm plug-in nguồn mở Chrome Frame của Google. Hiện nay YouTube và Vimeo cũng đã tuyên bố hỗ trợ video HTML5. Hệ điều hành webOS của Palm cũng hỗ trợ cơ sở dữ liệu HTML5 và Palm cũng hỗ trợ tính năng bản đồ dựa trên HTML5 trên Palm Pre.
Microsoft đã bắt đầu triển khai HTML5 trong Internet Explorer 8. Đại gia phần mềm đang bổ sung các tính năng HTML5 như lưu trữ nội bộ, điều hướng AJAX.

Theo ICTnews (eWeek)

Read more »