информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Все любят медСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2000
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




7 сентября 2000, #101

RC5: итоги августа (7.09.2000 13:56:03)

С одной стороны, мы очень прилично укрепили свои позиции, заняв по итогам месяца третье место и выйдя буквально на днях на пятое место.

Однако радоваться этому пятому месту нам придется недолго - вот уже несколько дней как продолжается совершенно фантастический мегафлеш голландской команды, который, увы, сократил предполагаемое время обгона с полутора месяцев до считанных дней. Прогнозы же по обгону других команд не слишком утешительные - при текущем раскладе мы сможем занять свое законное третье место в общем зачете года так через три. Да и кто сказал, что нас устроит третье место? В общем, пока остается надеяться лишь на осенний рост активности... В конце концов, нешто у нас компьютеров меньше, чем в Голландии???

Инструкция по подключению к команде лежит тут.


Security/Elf.Net (7.09.2000 13:37:26)

Приходится с грустью признать - среди рунетовских информационных сайтов по безопасности за последний год случился некий застой. Старые сайты почивают на лаврах, а чаще помирают, приличных новых практически не появилось (традиционные помойки, состоящие из надерганных отовсюду текстов, свалки "самых крутых троянов" и обязательного раздела "как заработать в сети" не в счет).

На этом фоне достаточно обнадеживающе смотрится старт нового сервера Security/Elf.Net. В принципе, предлагаемый набор тоже довольно традиционен (новости, подборка эксплоитов, статьи, ссылки, форум). Посмотрим, как оно пойдет дальше - резво стартовавших проектов за последние два года я наблюдал немало, но энтузиазм через некоторое время иссякал. Пожелаю создателям сайта, чтобы их не постигла эта участь - нашему сегменту сети нужна новая кровь.

Кстати, через некоторое время я рассчитываю вынести на ваш суд еще парочку отдельных проектов на ту же тему, но об этом в следующий раз :)


возвращаясь к wwwboard (4.09.2000 17:07:07)

Прочтал в обзоре за 30 июля заметку про дырявость www-board. Безусловно, описанный Вами способ лечит проблему followup'ов. Однако есть, как мне кажется, более простой и надежный способ, который я применил, когда пределывал www-board под свои нужды. А именно - содержимое всех hidden полей подписывается MD5 (естественно с секретным куском, который извеcтен только скрипту) после чего подпись размещается еще в одном hidden поле. Перед постингом, подпись проверяется. Такой подход, как мне кажется поможет избежать проблем, подбных описанным Вами в обзоре.

Best regards,
Kirill Bogdanov

Не могу не согласиться. А сам я в последнее время предпочитаю еще и шифровать hidden-поля чем-нибудь простеньким, чтоб шаловливым ручкам поменьше поводов давать.


неприятная дырка в PGP (25.08.2000 18:50:55)

Оказалось, что пятая и шестая версия позволяют добавить в существующий ключ свой ADK (Additional Decryption Key), после чего начать распространять его под видом оригинального ключа, получив тем самым возможность в будущем расшифровывать сообщения, подписанные этим ключом. Так что теперь надо быть поосторожнее при получении публичных ключей.

Исправленная версия (6.5.8) уже доступна для скачивания.


почему в win2k невозможно работать (24.08.2000 15:43:56)

Для начала аксиома: операционная система, в которой рядовому пользователю для выполнения повседневных задач требуются права администратора, не может считаться полностью работоспособной.

Не прошло и пяти лет с момента выхода NT4, а Win'2000 уже научилась расставлять при установке права доступа на критичные каталоги и ветки реестра в соответствии с рекомендациями Microsoft. Ура и аллилуйя, теперь даже самый ленивый админ может вздохнуть спокойно.

До тех пор, пока его не обступят возмущенные пользователи. Проблема в том, что за пять лет победного шествия DOS7 у огромного количества программистов так и не возникло стимула научиться писать программы, приемлемо работающие в многопользовательских системах, особенно если активный пользователь - скромный член группы Domain Users.

До сих пор с этим сталкивались лишь те, кто соизволил поотрубать у простых юзеров права на запись в критичные куски реестра и системные каталоги. Теперь же с этим столкнутся все.

Несколько наглядных примеров, вылезших при настройке очередного студенческого дисплейного класса, и заставивших меня потратить битый час на возню с Regmon'ом и Filemon'ом.

Ulead GIF Animator. Не сумев получить доступа на запись в файл %SystemRoot%\ulead.dat\U32BASE.CFG, обиженно вылетает сразу после запуска. Мода нынче такая, хранить настройки в системных каталогах.

Adobe Image Ready. Ведет себя аналогично, если не может получить полный доступ к ключу реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ImageReady.exe.

Впрочем, Allaire HomeSite его переплюнул. Этому орлу требуется доступ аж к 15 ключам реестра, причем только 7 из них идут подряд и имеют очевидные имена типа HKCR\AllaireClientApp.ActiveScript Host. Остальные раскиданы в дебрях CLSID и носят имена типа {6FC23E98-38AD-11D3-9084-0060B0EF0A86}. После установки соответствующих прав он начал запускаться, правда, вылетая при закрытии, но выяснять, куда тянутся его шаловливые ручки при выходе, было уже выше моих сил.

Черный список программ, не желающих работать под Domain User, продолжают Netscape Communicator, Corel Draw и Internet Phone, не говоря уж о куче софта, вылетающего при выходе или кричащего о невозможности сохранения настроек, но все же худо-бедно работающего.

Совсем хорошо ведут себя Dellphi c Builder'ом. Проделайте такой эксперимент - установите из-под администраторского аккаунта, после чего зайдите под любым другим именем. Все здорово и даже запускается, вот только панель с компонентами будет пустой. Лечится тупым копированием куска реестра, но неприятный осадок остается.

И так - практически у всех. Чуть лучше дела у программ от Adobe (не считая проблем ImageReady, хотя настройки не сохраняет ни одна программа), терпимо у Macromedia, отвратительно у Corel. Единственное светлое пятно - программы самой Microsoft. Их счастье.

Печальный итог. Работать с большинством современного софта под Win'2000, не будучи привилегированным пользователем, возможно лишь ценой потери системой ее защищенности - в большей или меньшей степени. Можно сказать, что до тех пор, пока Office'2xxx не охватил все возможные задачи, большинство пользователей Win'2000 обречено работать в режиме администратора. Душераздирающее зрелище.


У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«     »



анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach