XSS-уязвимость в LiveJournal; Linux по-прежнему чаще атакуют; Не все эксперты впали в панику; Следы утечки из Microsoft ведут в Mainsoft; И еще раз об утечке исходников.

#162, 23.02.2004

XSS-уязвимость в LiveJournal
dl // 23.02.04 15:47
Популярная служба ведения онлайновых дневников LiveJournal содержит уязвимость, позволяющую зарегистрированному пользователю использовать URL фонового изображения страницы для вставки в свои сообщения произвольного кода на JavaScript. Что позволяет, например, перехватить аутентификационную информацию из cookie атакуемых пользователей.
Источник: SecurityFocus

Linux по-прежнему чаще атакуют
dl // 21.02.04 16:02
Компания mi2g очередной раз выступила с исследованием, результаты которого показывают, что линуксовые серверы атакуют значительно чаще прочих. Причем, если в августе, когда они попадались мне на глаза в последний раз, речь шла о 67 процентах успешных атак Linux против 23% Windows и менее 2% BSD-систем (в абсолютных значениях 12892 - 4626 - 360), то в январе Linux продолжил уходить в отрыв: 80% против 12% Windows (13654 против 2005). Как и следовало ожидать, самыми стойкими по-прежнему остаются BSD-системы.
Источник: ZDNet

Не все эксперты впали в панику
dl // 14.02.04 15:49
После того как отстрелялись традиционные паникеры и любители покричать "Волк! Волк!", стали слышны и более трезвые оценки. Общий настрой, с которым я полностью солидарен, сводится к следующему.

Да, теоретически утечка исходников может привести к упрощению поисков дырок. Но нельзя сказать, что отсутствие исходников существенно мешало находить эти самые дырки раньше. Кроме того, неизвестно вообще, есть ли в утекшем коде дырки, и если есть, не были ли они исправлены за прошедшие 3 с половиной года.

Наконец, ребята, вы уж определитесь, open source - это хорошо или плохо. Если мы договорились, что open source положительно влияет на безопасность, позволяя всем миром отлавливать плюхи, то откуда столько паники в тот момент, когда крупнейший производитель софта по сути вплотную приблизился к этой концепции? :))
Источник: ZDNet

Следы утечки из Microsoft ведут в Mainsoft
dl // 14.02.04 15:17
Обнаруженный среди утекшего кода core dump показал, что, скорее всего все эти 30 с лишним тысяч файлов были получены с одной из машин компании Mainsoft, активно использующей код MS при создании Unix-версий Windows-приложений. Код датируется июлем 2000 года и в основном относится к Service Pack 1 для Windows 2000.
Источник: BetaNews

И еще раз об утечке исходников
dl // 13.02.04 19:36
Забавно, но я оказался наиболее оптимистичен в оценке ситуации вокруг утечки MSовских исходников. Мне вот интересно, неужели кто-то всерьез считает, что толпы любителей (любителей - потому что есть сильное подозрение, что профессионалы типа той же eEye, съевшей свору собак на поиске дырок, в той или иной мере доступ к этим самым исходникам имели давным давно, да и, в конце концов, не в исходниках счастье), набросившихся на эту многомегабайтную свалку, найдут в ней что-то столь критичное?
Источник: Compulenta