开发人员警告修订方法不安全
研究人员已经证明了新工具如何从文档中发现编辑的文本,并可能向邪恶的演员展示敏感信息。
该工具称为未重新分子,由福克斯主教今天发布(2月15日)。为了证明像素化是“一种不善,不好,不安全,确定的方法来泄漏敏感的数据”,它旨在采用编辑的像素化文本,并将其反向其揭示的揭示的据称隐藏的“透明文本”。
在博客文章,首席研究员丹·佩特罗(Dan Petro)工具,解释说,它是为了完成Jumspec设定的挑战而创建的,也是由于使用像素化是他的“宠儿”。
不安全
福克斯主教有一项“长期政策”仅使用黑色酒吧编辑信息,该公司说这是唯一的安全方法技术。
首席研究员丹·佩特罗(Dan Petro)写道:“有时候,人们喜欢聪明,尝试其他一些修订技术,例如模糊,旋转或像素化。”“但这是一个错误。”
他说每日swbeplay2018官网ig:“这不是编辑信息的安全方法,”他解释说。“但是,您经常在互联网上看到它。
“显然社区需要确信像素化是不好的,而不可追溯的工具是最好的方法。”
工具
Petro解释说,假设人们已经知道原始信息的字体类型和编辑的文本,“由于在现实情况下的攻击者可能会收到完整的报告”,因此他的工具可用于规避共同问题。揭示编辑的信息。
这些问题包括字符流血,当一个字母共享一个以上的像素列,字母之间的可变宽度和字体上的不一致时,所有这些都可能使使用算法变得困难。
Petro写道:“……有一个现有工具称为depix试图通过一个非常聪明的过程来确切地做到这一点de Bruijn序列正确的字体。”
他说:“我非常喜欢这个工具的理论。”但补充说,它“在实践中的工作状态不如您想要的那样”。
博客文章包含有关如何构建未划分工具以及概念证明的更多技术细节。
警告
Petro说,该工具的目的是被“可能是红色团队”使用,但补充说,“大多是概念验证的概念,可以将要点带回家 - 除了完全覆盖文本的黑色条之外,切勿将其他任何内容与其他任何内容进行编辑”。。
研究人员补充说:“已编辑的数据几乎可以是来自密码的任何内容笔测试在刑事报告中向受害人的姓名报告。
“对不安全编辑信息的后果高度取决于上下文,但是通常,有人会编辑信息,因为他们不希望它被阅读。”
