Nguồn mở ngày càng bảo mật

By Công Ty Truyền Thông Số iGO

Chất lượng cũng như độ bảo mật của các phần mềm nguồn mở đang được cải thiện một cách nhanh chóng, nghiên cứu mới nhất của hãng Covertity cho biết.

Bản báo cáo Scan Report on Open Source Software 2008 đã tiến hành phân tích trên 55 triệu dòng mã thuộc 250 ứng dụng nguồn mở thông dụng, bao gồm cả Linux và Apache.

Cuộc nghiên cứu diễn ra trong suốt 2 năm qua, dưới sự tài trợ của Dự án Phát triển nguồn mở của Chính phủ Mỹ.

Sử dụng công cụ phân tích mã nguồn mở Prevent, Coverity nhận thấy tỷ lệ lỗi và lỗ hổng bảo mật bên trong phần mềm nguồn mở đã giảm tới 16% so với thời điểm năm 2005.

"Điều này đồng nghĩa với việc hơn 8500 lỗ hổng đã bị xóa sổ", Coverity cho biết.

"Những hành vi như sử dụng tùy tiện trước khi chạy thử và kiểm tra các tác dụng phụ ngày càng ít đi".

Kết luận của bản báo cáo dường như hoàn toàn trái ngược với suy nghĩ thông thường, rằng những dự án nguồn mở với sự tham gia của đông đảo cộng đồng thường hay sơ sểnh và hớ hênh về mặt bảo mật.

"Chất lượng viết mã và độ an toàn của các dự án nguồn mở đã được nâng cao một cách rõ rệt.

Điều này cho thấy cộng đồng nguồn mở thực sự tâm huyết và nỗ lực trong việc tạo ra những phần mềm có độ ổn định và thống nhất cao", chuyên gia David Maxwell của Coverity nhận định.

"Trong vòng 2 năm qua, đã có gần 10 tỷ dòng mã được viết ra, trong khuôn khổ 14.238 dự án nguồn mở.

Tuy nhiên, chúng tôi chỉ lựa chọn những dự án phổ biến và có nhiều người dùng nhất để phân tích mà thôi".

(Theo VNUnet)

 

Hàng ngàn máy chủ bị tấn công SQL Injection

By Công Ty Truyền Thông Số iGO

Một đợt tấn công brute-force SQL Injection dữ dội bắt đầu vào ngày 13-5 đã gây ảnh hưởng lớn đến hơn 10.000 máy chủ, lây nhiễm malware cho hàng ngàn website Trung Quốc và Đài Loan.

Khởi điểm từ 1000 máy chủ đặt tại Trung Quốc, những kẻ tấn công đã sử dụng các truy vấn được tự động gửi đến công cụ tìm kiếm của Google để định danh các trang web với các lỗi bảo mật có thể khai thác. Hơn nữa, kẻ tấn công cũng không nhắm đến một lỗi bảo mật mà khai thác đến hơn 10 lỗ hổng bảo mật nguy hiểm bao gồm: MS06-014 (CVE-2006-0003), MS07-017 (CVE-2007-1765), RealPlayer IERPCtl.IERPCtl.1 (CVE-2007-5601),GLCHAT.GLChatCtrl.1 (CVE-2007-5722), MPS.StormPlayer.1 (CVE-2007-4816), QvodInsert.QvodCtrl.1, DPClient.Vod (CVE-2007-6144), BaiduBar.Tool.1 (CVE-2007-4105), VML Exploit (CVE-2006-4868) và PPStream (CVE-2007-4748).

Giám đốc điều hành công cụ ứng dụng bảo mật cho Web Armorize Technology, ông Wayne Huang nhận xét "cuộc tấn công đã được thiết kế khá tốt".

Việc lập trình không được chăm chút có thể dẫn đến việc tin tặc khai thác các lỗi SQL dễ dàng. Trong tháng trước, một đợt tấn công SQL Injection đã gây tổn thất cho hơn nửa triệu website. Tiếp theo đó, một trang web của Oklahoma đã bị tin tặc khai thác lỗi chỉ qua một vài câu lệnh truy vấn SQL là có thể mò vào tận cơ sở dữ liệu, chạm tay đến 10.597 số an sinh xã hội và hồ sơ phạm pháp của các công dân thuộc nơi Oklahoma.

Hiện các chuyên gia bảo mật và quản trị server đang tiến hành xử lý khắc phục lỗi để ngăn chặn hệ thống của mình bị cuốn vào đợt tấn công kế tiếp.

Cisco vá lỗi nguy hiểm trong Router

Hãng Cisco đã phát hành 3 bản vá bảo mật có thể gây trục trặc cho các sản phẩm router sau khi được cảnh báo vào đầu tuần.

Bản vá tập trung sửa chữa lỗi DoS của phần mềm SSH (Secure Shell) trong Cisco Internetwork Operating System (IOS) và Cisco Service Control Engine. Máy chủ SSH được quản trị viên dùng để kết nối từ xa vào trong một router sử dụng mã hóa. Theo Cisco công bố đến khách hàng, lỗi trong phần mềm có thể bị tin tặc khai thác lặp lại việc nạp thiết bị hay truy xuất giả mạo hoặc khóa phần cứng trong một cuộc tấn công từ chối dịch vụ (DoS).

Trong khi đó, chuyên viên nghiên cứu bảo mật Sebastian Muniz thuộc Core Security Technologies đã giới thiệu trong hội nghị bảo mật EuSecWest tại London từ ngày 22-5 về một rootkit tấn công vào IOS (Internetwork Operating System, một hệ điều hành chuyên dùng cho các bộ đính tuyến của Cisco). Theo Muniz, tin tặc có thể khai thác rootkit, tấn công vào các lỗi trong router của Cisco để thâm nhập sâu vào hệ thống. Tuy nhiên, Muniz cũng không có ý định công bố mã nguồn của rootkit này, việc phát triển rootkit chỉ để chứng minh rằng các router của Cisco cũng không phải lệ ngoại lệ với rootkit.

Cisco khuyến cáo khách hàng nên truy cập vào phần bảo mật trên website của mình để có thể cập nhật thông tin hay tải các bản vá mới nhất.

(Theo TuoiTre)

 

Một website được thiết kế tốt khi nó có khả năng kêu gọi mua hàng. Điều cơ bản là trang web phải thu hút mọi người lưu lại trên đó càng lâu càng tốt, níu kéo họ đi vào những thông điệp để họ có thể ra quyết định mua hàng.

Tuy nhiên trên thực tế, có những website lại tỏ ra đi ngược hướng với xu thế tích cực trên. Do vậy, để không hề phạm phải bất kỳ lỗi nào trong bảy lỗi nguy hiểm nhất, bạn nên lưu ý tới những cảnh báo dưới đây.

1. Những trang và phần đồ họa được tải quá chậm chạp: Hãy thử đếm từ 1 đến 3 và đó được xem là khoảng thời gian đăng tải. Nếu khách hàng không thể bắt đầu đọc hoặc xem được trang của bạn ngay thì việc họ bỏ đi để tìm đến một website khác là một điều hoàn toàn có thể xảy ra.

Nếu phải dùng đến những thiết kế đồ họa trên trang chủ của mình, hãy cung cấp những biểu tượng nhỏ có tích hoạt dẫn đến những mẫu đồ họa to lớn hơn và hãy thông báo với người xem rằng họ nên chờ đợi trong giây lát.

Sau đây là những thứ bạn có thể tận dụng để tăng tốc thời gian đăng tải trang web của mình:

• Giảm thiểu kích cỡ các file đồ họa trên trang và thứ công cụ tuyệt hảo nhất để sử dụng chính là WebGraphics Optimizer.

• Chọn lựa chi tiết mẫu kích thước của file đồ họa bằng mã HTML.

• Loại bỏ bớt những dòng văn bản nhiều màu sắc trên file đồ họa.

2. Không có dòng tiêu đề để lôi cuốn sự chú ý của khách hàng: Nếu khách hàng đã quyết định một lần thử đi vào website của bạn, thì bạn phải thuyết phục họ rằng trang của bạn chứa đựng đúng những gì họ đang tìm kiếm. Cách tốt nhất để làm được như vậy là đi cùng với một dòng tiêu đề được định dạng khuôn thức, quy cách thật chỉnh và bắt mắt. Không thấy sức thu hút, khách hàng buộc lòng phải đọc thêm về những nội dung bên dưới và vì vậy có thể họ sẽ bỏ đi.

3. Những banner quảng cáo và các đường dẫn gây rối trí: Đừng bao giờ đặt lên trên website của bạn những banner quảng cáo hay những đường link dẫn dắt khách hàng của bạn đi đến với những website khác, kể cả là những mục quảng cáo của Google AdWords.

Tất nhiên, nếu mục đích của website đơn thuần chỉ là quảng bá, khuyến mãi những sản phẩm của các đối tác khác hay bán đi những khoảng trống cho quảng cáo thì bạn sẽ đính kèm những banner và đường link trên site.

4. Quá nhiều màu sắc và font chữ: Để thể hiện một dáng dấp chuyên nghiệp cho trang của bạn, hãy sử dụng cách phối hợp màu sắc đơn giản với hai hoặc ba màu cùng với một vài kiểu font chữ. Nếu quan sát những website được thiết kế đẹp mắt thì bạn sẽ thấy rằng tất cả đều rất khiêm tốn trong việc sử dụng màu sắc và font chữ.

5. Phông nền hoa văn: Phông nền là phông nền. Nếu cứ thêm thắt vào đó những kết cấu trang trí hay những khối màu đậm và tối thì chắc chắn mọi người sẽ không dễ dàng đọc được những gì được in trên đó.

Kinh nghiệm cho thấy rằng những website nào đi cùng với ký tự màu đen trên một phông nền màu trắng đơn thuần cùng với sự phối màu thật hạn chế luôn được khách hàng lưu tâm.

6. Quá nhiều đồ họa, hoạt hình và video clip gây rối mắt: Nhiều hình ảnh, đồ họa hoa mỹ, hình ảnh hoạt hình vui nhộn và các video clip có thể giúp trang web hấp dẫn hơn. Nhưng nếu chúng không thuyết phục được người xem mua hàng nhiều hơn thì tất cả chỉ là một sự trang trí vô dụng, ngăn cản khách hàng làm theo những gì bạn muốn họ làm.

7. Khối ký tự văn bản quá nhiều đến nỗi khó lòng đọc hết được: Một khối văn bản có kích thước khổng lồ, chi chít chữ dễ làm người đọc nản lòng và bỏ đi tìm kiếm những website ngắn gọn hơn.

Do đó, hãy hạn chế các đoạn văn chỉ dài đến sáu dòng là tối đa và đa dạng hóa các đoạn văn. Một cấu trúc các đoạn văn đa dạng sẽ khiến các văn tự trực tuyến trở nên dễ đọc hơn rất nhiều.

Nếu mắc phải một trong những lỗi lầm trên đây, hãy sửa đổi ngay. Bạn hoàn toàn làm được mà không cần đến một nhà thiết kế web nào.

(Theo DNSGCT)

 

Công Ty Truyền Thông Số iGO

Thiết Kế Website

Quảng Bá Website

Thương Mại Điện Tử

Câu Chuyện Doanh Nhân

Thị Trường Chứng Khoán

Khách Thăm Trong Ngày