BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/review/archive/2000/18-03-0.html

18 марта 2000, #91

почти разумное объяснение поведения запароленных документов в Excel (18.03.2000 18:37:11)

Почти - потому как, несмотря на то, что я не сомневаюсь, что автор следующего письма знает, о чем говорит, большого смысла в таком решении программистов MS я все же не вижу.

Хочу немного дополнить вашу заметку про защиту документов Excel паролем 'VelvetSweatshop'. Как справедливо отметил Павел Семьянов, этот пароль игнорируется при открытии документа. И вот по какой причине: когда пользователь ставит пароль защиты книги (не документа, а именно книги), весь документ шифруется. И шифруется именно паролем 'VelvetSweatshop'. Алгоритм шифрования зависит от версии Excel, но пароль всегда один и тот же. При открытии документа Excel сначала пытается расшифровать файл этим паролем, и в случае успешной расшифровки продолжает работать с документом. В противном случае спрашивает пароль. Небольшая дырочка в безопасности конечно налицо, но вероятность того, что кто-то придумает именно такой пароль, очень мала.

Андрей Малышев, автор Advanced Office 97 Password Recovery,
http://www.passwords.ru/ao97pr.html

Помимо упомянутой выше "вспоминалки" паролей для Office'97 на относительно недавно созданном сайте PASSWORDS.RU можно найти и другие аналогичные программы Андрея Малышева, разбирающиеся с паролями к zip и arj-архивам, а также к макросам VBA от Office'97. Наверняка вас порадует тот факт, что русские версии раздаются безДвозДмезДно, т.е. даром, и работают без ограничений английских shareware-версий.


FreeBSD 4.0 Release (17.03.2000 22:59:46)

А вот это уже событие, анонсированное в понедельник, поинтереснее выхода альфы второго Апача.

Из очевидных вкусностей в первую очередь конечно-же хочется сказать о новом системном вызове и команде jail, позволяющих загнать процесс в отдельную "камеру", выбраться из которой он в принципе не в состоянии. Что должно значительно улучшить систему безопасности, хотя, конечно, как оно окажется на самом деле, покажет время.

Плюс масса второстепенных и не очень изменений, добавленные/обновленные драйверы, (например, переписан ATAPI-драйвер), добавлено несколько пользовательских приложений для работы с ipv6, поддержке которого вообще в этой версии уделено очень много внимания - что, возможно, подстегнет таки его внедрение, в которое в последнее время верилось уже с трудом.


взлом hackzone: faq (16.03.2000 21:16:32)


Q: Было?
A: Да, в ночь на воскресенье, 12 марта, была подменена главная страница нашего сайта.

Q: Хе-хе, и как?
A: Не скажу :) Могу лишь сказать script kiddies: расслабьтесь. Атака на сеть нашего хостера продолжалась по крайней мере три недели, в течение которых добраться до сервера с вебами так и не удавалось, хотя точно известно, что целью был именно наш сервер. Схема проникновения включала захват рута на вспомогательном сервере, установку сниффера и получение в итоге доступа к серверу с вебами.

Q: Почему так долго реагировали?
A: Так получилось. На основные файлы были выставлены атрибуты, делающие невозможным их восстановление иначе как в single user mode (chflags schg в сочетании с securlevel=3). А дело было ночью. Утром сервер был отключен и запущен после нескольких часов работы администраторов по выявлению и устранению причин.

Q: Замять хотите?
A: Ни боже мой. Копия подмененной страницы заняла подобающее место в архиве, краткий отчет вы только что прочитали. Как я уже неоднократно писал, взлом - не повод для посыпания главы пеплом, и не повод для охоты на ведьм. Выводы сделаны, дырки, я надеюсь, закрыты, к работе, товарищи.

Q: И все-таки, кто?
A: По имеющимся сведениям, в атаке принимали участие сотрудники одного из провайдеров в одной из братских республик exUSSR. Пламенный привет их клиентам.


Apache 2.0 (16.03.2000 00:46:11)

На днях вышла публичная альфа-версия Apache 2.0, наверное, самого популярного web-сервера.

Из существенных новшеств - поддержка POSIX-потоков в тех юниксах, которые их знают, новое API для модулей, улучшенная поддержка для не-юникс платформ (давно пора, потому как, например win32-версия по производительности и рядом не валялась ни с юниксовой, ни с первым попавшимся IIS).


мы - в десятке (14.03.2000 22:45:54)

RC5 HackZone Team - Combined power of Russia and exUSSR countries после долгого перерыва поднялась еще на одно место, войдя уже в десятку по общему рейтингу distributed.net. С чем, собственно, и поздравляю всех участников. Дорога до восьмого места выглядит вполне накатанной, дальше опять будет перерыв. К слову сказать, свежеобогнанная команда называется L0phT Heavy Industries. Это вам не IBM какой-нибудь :)


мечта московского диалапщика (14.03.2000 05:27:01)

...расположена тут. Несмотря на ураганную распродажу коробочек с Би-плюсом, проблема "вынимания" человека из сети по-прежнему актуальна (опять же, покупка мобилы исключительно для получения сообщений типа "Дима, положи трубку" - конечно же, жлобство :) ).

На упомянутом же сайте совершенно на халяву (!) раздаются голосовые почтовые ящики. После того как ящик создан, вы можете позвонить по многоканальному телефону доступа, где пообщаетесь с железной леди, указав номер ящика либо с помощью тонового набора, либо голосом (!), внятно произнося цифры (по-русски, по-русски). Ну а потом наговариваете звуковое сообщение, которое и свалится в итоге в почтовый ящик в виде приаттаченного wav-файла (и немного текстовой рекламы в самом письме, но на это грех жаловаться). Можно так отправить и факс, который придет в виде tiff-файла.

Услуга пока что действует только в Москве, жители Питера могут утешаться старой доброй Icq-me, к сожалению, прикрытой в Москве из-за наплыва желающих.

Кстати, заодно получилось неплохое средство для забивания почтового ящика злейшего друга без особых усилий со своей стороны (минутное сообщение занимает килобайт 300).


еще разок об icq (12.03.2000 17:11:47)

Вы, наверное, помните, что еще не так давно всякие интересные вещи типа пароля к icq, лежали совершенно открыто в файле с базой сообщений. В последних версиях, насколько я помню, это хозяйство стали худо-бедно шифровать. Но недолго мучалась старушка. Здесь раздается программка, вытаскивающая массу полезной информации из icq 99a и 99b. Enjoy.


еще разок о подарке секретаршам (12.03.2000 17:10:24)

Написав, что при копировании из клипборда "Яр-Тур.~" с Word'ом ничего не происходит, я явно поторопился. Пришла масса сообщений, подтверждающих, что Word валится и при копировании тоже. С другой стороны, есть сведения и о том, что в некоторых случаях Word продолжает спокойно работать, каким бы способом эти заветные символы не вводились. Закономерность неясна, возможно, повлиял факт установки SR1, SR2, но и тут отзывы противоположные.


У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«     »






  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach