导语:在写作英文论文时,很多时候会由于粗心等犯一些比较低级错误。Word自带错误更正功能,但是其订正功能相对低级,作为一款专门修改英文的工具,Grammarly则更专业一些。
Grammarly介绍
在写作英文论文时,很多时候会由于粗心等犯一些比较低级错误。Word自带错误更正功能,但是其订正功能相对低级,作为一款专门修改英文的工具,Grammarly则更专业一些。
Grammarly主要功能包括:考虑上下文的拼写检查,语法检查,标点符号纠正,句子结构修正,句式修改,词汇增强以及防剽窃等,各功能的介绍可参看官网。
目前Grammarly提供了网页版、Mac版和Windows版。如果你使用的是 Windows版本,Grammarly还提供了Word插件,下载后可以在Word内部调用插件直接检查语法错误。
Chrome扩展中存在的安全漏洞早已不是什么秘密
早在2015年,瑞典的安全公司Detectify实验室就发现有些Chrome扩展程序会追踪用户的上网记录,甚至还包括Facebook Connect的私密访问令牌、连接到私有Dropbox和Google Drive文件的链接。
根据研究,当时HooverZoom、SpeakIt、ProxFlow、Instant Translate、FB Color Changer、SafeBrowse、JavaScript Error Notifier、SuperBlock AdBlocker等多款热门扩展程序都存在盗窃用户隐私的情况。
虽然分析提供商通过获取这些用户上网行为来提供相应的数据支持,但是通过Chrome扩展程序来秘密获取用户的隐私护具,显然不是正大光明的手段。另一方面,如果黑客利用该种方式发起恶意,可以对目标造成的危害可就大了。
近日Google Project Zero项目团队的安全专家Tavis Ormandy就发现Grammarly在Chrome中的扩展存在安全漏洞,如果是黑客发现并利用了该漏洞,则他们就可以访问包括隐私文档和数据在内的个人账号信息。
不过幸运的是,Ormandy在发现后立即通知了Grammarly公司,而Grammarly也在几个小时内修复了Chrome扩展中存在的安全漏洞。另外,Grammarly的官方也进行了说明:
目前,我们还没有发现有任何用户因该漏洞而被攻击,为了保证安全,我们正继续积极监察任何不寻常的活动。
漏洞介绍
Ormandy表示:
我认为这是一个高危安全漏洞,因为它已具备访问文档或者其他数据的权限,且浏览器扩展程序会向所有网站展示了用户的身份验证令牌。
虽然这个安全漏洞可能会影响保存在“语法编辑器”中的文本,但不会影响Grammarly Keyboard,Grammarly Microsoft Office加载项或在使用Grammarly浏览器扩展时在网站上输入的任何文本。Grammarly的官方也补充说明到:
此漏洞已修复,用户不需要进行任何操作。
译者注: Grammarly Keyboard是通过内置第三方键盘的形式为英文用户提供全面的语法检查功能,目前这款应用已免费向 iOS 用户开放下载。对于那些经常游玩于英文社交网络、在线服务或者需要在英文环境进行开发、设计、文字创作的移动平台用户来说,Grammarly Keyboard 可以说是一个不错的选择。
Ormandy在其2月2日的分析文章中,解释了Grammerly的这个漏洞是如何通过以下四行代码被触发的。
这段代码会生成一个与Grammerly使用的cookie相匹配的标记,Ormandy表示:
我已经证实,用这些代码触发漏洞后,所窃取的信息,足以登录到用户的grammarly.com帐户。 这意味着,任何网站都可以伪装成你登录到grammarly.com,并访问你的所有文档,历史记录,日志和所有其它数据。
Tavis Ormandy的功迹
专注查找漏洞的一名安全研究人员,在2016年7月,Tavis Ormandy率先发现了知名在线密码管理器LastPass的一个潜在风险,攻击者可借此接触到用户的线上账户。万幸的是,LastPass已经修复了这个让攻击者远程访问数百万账户的所谓“零日漏洞”,据说用户在访问一个特定恶意站点时就会中招。
另外在2017年1月,Tavis Ormandy 还发现过Cisco WebEx 浏览器插件中存在一个严重的远程代码执行漏洞,可诱发大规模攻击事件。