Очередное удаленное исполнение кода в IE; Госдума может ввести лицензирование записи CD/DVD; MS откроет код .NET; О защите текстов на вебе; CCH7.

#247, 12.10.2007

Очередное удаленное исполнение кода в IE
dl // 11.10.07 22:18
Практически сразу после выхода ежемесячной порции исправлений Microsoft сообщила о том, что исследует очередную уязвимость в IE, связанную с некорректной обработкой URL, полученных от внешних приложений. Уязвимости подвержены XP и Windows Server 2003 с установленным IE7; виста и системы с IE6 чисты.
Источник: Microsoft Security Advisory

Госдума может ввести лицензирование записи CD/DVD
dl // 08.10.07 23:28
Фракция "Единая Россия" внесла на рассмотрение Госдумы законопроект N475488-4 "О мерах по противодействию обороту отдельных видов продукции, произведенной с нарушением требований законодательства Российской Федерации".

Помимо таких прелестей как обязательная маркировка и учет операций с семью новыми видами продукции, включающими "аудиовизуальные произведения, фонограммы, программы для ЭВМ и базы данных на любых видах носителей" (привет шароварщикам и онлайновым продажам), предполагается, что оборудование, позволяющее копировать аудиовизуальные произведения, фонограммы, программы для ЭВМ и базы данных, можно будет продавать лишь лицам, получившим лицензии на такую деятельность.

Из действия нормы исключены случаи воспроизведения фонограмм и аудиовизуальных произведений в личных целях (магнитофоны, видеоплейеры), а также использование оборудования для записи произведения в память ЭВМ (оставляя под запретом пишущие CD/DVD-приводы).

Ну что, по магазинам? Интересно, как это доблестные законодатели проморгали сканеры и ксероксы.
Источник: cnews.ru

MS откроет код .NET
dl // 04.10.07 08:10
По словам одного из разработчиков, предполагается, что вместе с релизом VS 2008 и .NET 3.5 в целях упрощения отладки будет открыт для скачивания исходный код ключевых библиотек .NET. Код будет доступен по лицензии Microsoft Reference License (MS-RL).
Источник: ScottGu's Blog

О защите текстов на вебе
dl // 04.10.07 00:18
Когда несколько месяцев назад litres.ru опубликовал свои планы по созданию веб-библиотек, дающих только читать книги (обычным броузером и в текстовом формате, заметьте) и блокирующих скачивание и копирование, большинство людей, сколько-то разбирающихся в устройстве веба, просто пожали плечами. Однако ж проект был запущен и за остаток лета - начало осени в как бы защищенном виде были выложены книги нескольких популярных авторов. А очередная хвалебная статья о грамотном и своевременном открытии данного сервиса сподвигла меня посмотреть поближе, что ж там внутре.

Disclaimer: дальнейшие действия проводились не корысти ради, а токмо во имя спортивного интереса (выражаясь формально, в целях анализа стойкости предложенной защиты).

Внутре ж оказалась умеренно навороченная двухуровневая защита от начинающего пользователя. Первый уровень - набор функций на JavaScript, всячески мешающих копированию текста, например, путем сбрасывания выделения каждые 10 секунд (сам текст тоже выводится JS, так что его отключение ни к чему полезному не приведет). Обходится элементарно путем задания в каком-нибудь промежуточном фильтре типа AdMuncher'а правила, комментирующего первый вызов сбрасывающей выделение функции. Этого вполне достаточно для FireFox, для IE потребуется блокировка еще пары обработчиков событий.

Второй уровень запрятан получше и приводит к тому, что после copy/paste текста он оказывается разбавлен массой мусорных символов, приводящих к его полной нечитаемости. Причем скрипт, выводящий текст, имеет одноразовый url, вызывается из iframe с опять-таки одноразовым url, так что добраться до его исходников невооруженным глазом затруднительно (последующие прямые обращения просто ничего не отдадут). Хотя по-прежнему элементарно для человека, вооруженного любым анализатором http-пакетов (собственно говоря, при наличии такого анализатора отпадает и необходимость в copy/paste из окна броузера, разве что последний вариант чуть более комфортен).

Вставка мусора, проявляющегося только при копировании, реализована достаточно любопытно - мусорные символы вставляются с помощью блоков <span> со стилем, отключающим их видимость. Таким образом, при показе текста в окне броузер их игнорирует, но честно (и глупо) отдает в буфер обмена.

Итог - вся защита оказывается снятой с помощью двух коротеньких правил AdMuncher'а (аналогичный подарок могут сделать своим пользователям администраторы прокси-серверов). Строить библиотечный бизнес на таком хлипком фундаменте - не знаю, не знаю. С другой стороны, электронные версии книг продаются за столь смешные деньги, что у многих читателей поневоле возникает позыв отряхнуть со своих ног прах пиратского прошлого - приятно почувствовать себя добропорядочным гражданином за такие копейки. Так что психология тут срабатывает надежнее технических средств.

Update: как мне подсказывают, все еще проще - достаточно воспользоваться FFшным плагином ScrapBook.

CCH7
dl // 03.10.07 23:24
После прошлогодней обкатки направлений "Сети" и "Хак" организаторы Chaos Constructions созрели для их выделения в отдельный фестиваль Chaos Constructions HackAround, который и случится впервые в этом году с 29 ноября по 2 декабря в Санкт-Петербургском ЦВЗ "Манеж".

В программе конкурсы, семинары, демонстрация видеоматерилов, экспозиция раритетной компьютерной техники. Предварительная регистрация обязательна.
Источник: сайт фестиваля