Firefox 使用者注意!11 年未解 Bug 被用來強制登入

為何 Firefox 工程師沒有即時修復漏洞呢?這與Mozilla 屬於開源項目可能有點關聯。
評論
評論

本文來自合作媒體雷鋒網,INSIDE授權轉載

外媒 ZDNet 發現駭客正在濫用Firefox的一個漏洞進行長期網路詐騙。但該漏洞最早於2007年4月被反饋卻至今也未被修復。如今,它已經「11歲」了。

對攻擊者來說,利用該漏洞並不存在技術上的難關:只需要在原始碼中嵌入一個惡意網站的iframe元件,就可以在另一個網域上發出HTTP身份驗證請求,如下所示:

iframe是HTML標籤,作用是內嵌原始碼或者浮動的框架(FRAME),iframe元件會創建包含另外一個原始碼的內聯框架(即行內框架)。簡單來說,當使用者通過Firefox瀏覽器打開惡意網站之後,網站會強制循環跳出「身份驗證」提示框。

在過去幾年中,惡意軟體作者、廣告刷手和詐騙者一直在濫用這個漏洞來吸引瀏覽惡意網站的使用者。例如窗口彈出顯示詐騙資訊、誘導使用者購買虛假禮品卡、作為前往虛假網站入口甚至直接強制使用者登錄惡意網站。

每當使用者試圖離開網站時,惡意網站會循環觸發全螢的「身份驗證」窗口。即使使用者關掉一個又會立刻彈出另一個,按ESC退出全螢窗口依然不起作用,唯一的辦法就是徹底關閉瀏覽器。

為何Firefox工程師沒有即時修復漏洞呢?這與Mozilla 屬於開源項目有著某些關聯。發現這項漏洞的Catalin Cimpanu說:「也許Firefox工程師沒有無限資源來處理這些被報告出來的問題,只是這11年中,更多不法分子採用這漏洞帶來的便利條件對使用者實施各種網路攻擊。」

從使用者反饋中看出,多數人建議Firefox團隊學習Edge和Chrome處理類似情況時採用的解決方案:

Edge:Edge中身份驗證窗口的彈出時間延遲很長,使用者有足夠的時間可以關閉頁面或瀏覽器。

Chrome:身份驗證彈窗被變成了位於瀏覽器上部的選項卡按鈕,這種設計將瀏覽器頁面與身份驗證彈窗分割開,使用者可以在不關閉網頁的情況下輕鬆關閉被濫用的選項卡。

類似情況並非首例,2017年8月,一個匿名的安全研究人員通過Beyongd Security的SecuriTeam安全披露計劃向Google告知了一個安全漏洞,但Google方面的回應並不是計劃解決該RCE漏洞問題,因為它不會影響到現行版本的Chrome 60。

數據顯示,當時使用Chrome瀏覽器的總體市場份額約為59%,其中,Chrome 60版本的市場份額佔據了50%,這就意味著,有10%的使用者更容易遭遇RCE漏洞帶來的包括廣告軟體、惡意Chrome擴展、技術欺詐在內的多種影響。

當然,Google並未對漏洞置之不理,其處理方法是直接將設備中的Chrome瀏覽器全部更新到最新Chrome 60版本。可見,Google不再支持舊版本瀏覽器,而是希望以Chrome 60版本為起點進行新一輪修正。


一手掌握 Z 世代成功行銷心法

吸引年輕人的行銷手法一直不斷推陳出新,但針對 Z 世代年輕人,掌握大方向的這四大心法,便能協助品牌創造聲量及心占率!
評論
Z 世代年輕人生長背景與過去大不相同,激發行銷新玩法。
評論

根據資誠 2021 全球消費者洞察報告,18-38 歲年輕族群的購物花費已超越較年長的消費者,並預期未來將持續成長。跨越於這個年齡層區間的Z世代與千禧世代,不僅生長在充滿活力的數位時代,其生長背景與環境更在短短幾年內超越了過去幾百年,因此無論是在消費習慣,接觸資訊、偏好的購物體驗到金流支付等方式也都與過去大不相同,因此,各式品牌為了贏得年輕人的心占率,更激發出不同的行銷玩法!

今朝有酒今朝醉 狂歡氛圍加深心占率

Z 世代的社交文化雖體現在網路上,但在實體上也相當重視氛圍、加強體驗感。連續舉辦的新北耶誕城,是每年年末年輕人們不可錯過的狂歡派對,今年新北耶誕城與 LEGO 樂高合作,以聖誕節為主題,裝飾出樂高耶誕老人、樂高耶誕薑餅小屋、樂高小精靈雪景大道等必拍景點,搭配聖誕節主題散發愛與希望,營造濃厚的節日氛圍,在年輕人心中搶下品牌心占率。

行之有年的新北耶誕城,今年與大人小孩都愛的 LEGO 樂高合作,巨型打卡熱點十分引人注目。圖片來源:新北旅遊官方 IG

此外,聯合報系所推出質感媒體《500 輯》,從去年開始舉辦「500 趴」,透過高質感戶外派對帶給大家世代交流的感受,今年也剛在信義區水舞廣場完美落幕,此次以「Better me Better Life」為主軸,三天活動湧入超過 11 萬人次。活動現場匯集美食名店,如來自台南的排隊名店「糯夫米糕」,開賣不久就被秒殺,而由國際名廚江振誠領軍 RAW 團隊推出的限量餐點依舊快速完售。

電商平台 PChome 24h購物也跨域作為 500 趴共同協辦角色,開辦「24h給力充電站」,規劃「PChome 給力製造所」、「Coopers Cool Bar」與「Panasonic 美力加值所」三大攤位,設計闖關遊戲及限定快閃暢飲活動,結合年輕人喜愛的市集,也帶來 PChome 之夜舞台表演,將品牌精神融入奇幻的視聽覺饗宴,特別的是打通粉絲專享專區,讓 PChome 的粉絲透過闖關即可抽獎獲得演唱會專區及秒殺美食免排隊兌換券,電商平台跨域與媒體合作,強強聯手,運用各自優勢和狂歡體驗吸引年輕人,透過有感體驗引發年輕族群共鳴,幫助其迎接美好生活,引發不少話題討論。

在 500 趴活動中,電商透過奇幻的舞台表演滿足視聽覺享受,傳遞 24h 陪伴在側的品牌精神,讓觀眾耳目一新。Photo Credit:爆米花數位

敢買又愛花 促進消費模式轉型

Z 世代與千禧世代年輕人的財務支配更為自由,也較容易衝動型消費,尤其是數位支付的普及也讓年輕人對於實體金流較無感,因此延伸出許多不同的消費模式。近來 BNPL 十分火紅,電商跟新創公司紛紛搶進投資發展,BNPL(Buy now, pay later)是讓消費者先拿到產品再付費的服務,對於年輕人而言,可能因銀行審核或是個資問題在購物中產生付費高牆,但有了 BNPL 的支付方式,更能立即購買商品。對於商家來說也能吸引更多消費者,減短消費者的消費猶豫期,此外也能蒐集更多的消費者數據做為行銷籌碼。

看準 BNPL 的商機,3C 龍頭 Apple 也搶先與 BNPL 服務的支付商合作,甚至正在開發「Apple Pay Later」的服務,降低消費門檻吸引更多年輕人購買蘋果商品,也提高 Apple Pay 的使用率。全球電商龍頭 Amazon 也結合線上分期付款平台 Affirm 推出 BNPL 服務,也因此相互拉抬了業績與股價。

資訊爆炸 溝通方式就要快狠準

Z 世代年輕人生長在數位時代,從小便習慣接收爆量的資訊,深怕跟不上最新趨勢,但在海量資訊中要如何快狠準溝通,就要靠最直接的溝通方式,長篇大論的文字已經沒人想看,圖像、短影音才能在短時間內攫取 Z 世代的目光,若搭配社群意見領袖的影響力,更能讓其信服。

如強調實體服務的火鍋品牌海底撈,在今年因疫情也轉戰線上戰場,同時不忘消費體驗,推出滿額即送到府服務,其實這樣的優惠訊息在疫情間層出不窮,為了能夠快速溝通並脫穎而出,海底撈採取「KOL 外送到你家」,藉由 YouTuber 拍影片,擔任外送員溝通消毒 SOP、餐點確認完成才收費、並享有海底撈特色的川劇變臉到府表演等訊息,形成社群討論風氣並深耕品牌理念,提升心占率。另電商平台 PChome 24h購物在官方 YouTube 頻道也不定期邀請名人、KOL 擔任一日送貨員,藉由 KOL 一起體驗送貨及開箱,除了吸引更多元的消費者,也能以影片傳遞送貨的穩定度及貨物包裝完整等訊息,抓住消費者眼球,進行最直接的溝通

海底撈推出到府服務,美味火鍋、川劇變臉特色表演也能直送到你家!圖片來源:海底撈官方FB

成功由自己定義 風格消費才是王道

消費對於年輕人來說不只是滿足生活上的各種需求,更是能彰顯個人風格的管道,Z 世代年輕人渴望展現自我,因此品牌也紛紛推出客製化服務跟上年輕人的需求。

一直以來以親子族群為主要消費者的 IKEA 近期推出全台首間城市店,城市店以單身、北漂年輕人為目標消費者,更為了深入年輕族群首度推出獨家限定客製化電繡活動,在織品上可繡上專屬圖文,除了能展現消費者專屬風格外,又藉此宣傳品牌別出心裁的服務。又如最近被 Spotify 洗版的 Instagram 限時動態,廣受年輕人喜愛的音樂串流平台 Spotify 推出個人化的年度總回顧,讓用戶可以上傳到社群平台和社交圈分享自己的音樂品味、Podcast 興趣等,彰顯自己的風格,不僅能幫助消費者成為社交圈中的談資,也能藉由社群媒體進行病毒式傳播,提升品牌曝光度。

Spotify每年年末皆推出年度總回顧,吸引年輕人分享並提升品牌心占率。

吸引年輕人的行銷手法一直不斷推陳出新,但針對Z世代年輕人,掌握大方向的這四大心法,便能協助品牌創造聲量及心占率!

本文章內容由「爆米花數位」提供,經關鍵評論網媒體集團廣編企劃編審。