 |  |
https://bugtraq.ru/review/archive/2000/18-03-0.html |
|
|||
|
|
|
||
| https://bugtraq.ru/review/archive/2000/18-03-0.html |
||||
| ||||
18 марта 2000, #91
почти разумное объяснение поведения запароленных документов в Excel (18.03.2000 18:37:11)
Почти - потому как, несмотря на то, что я не сомневаюсь, что автор следующего письма знает, о чем говорит, большого смысла в таком решении программистов MS я все же не вижу.
| Хочу немного дополнить
вашу заметку про защиту документов Excel паролем 'VelvetSweatshop'.
Как справедливо отметил Павел Семьянов, этот пароль игнорируется при
открытии документа. И вот по какой причине: когда пользователь ставит
пароль защиты книги (не документа, а именно книги), весь документ
шифруется. И шифруется именно паролем 'VelvetSweatshop'. Алгоритм
шифрования зависит от версии Excel, но пароль всегда один и тот же.
При открытии документа Excel сначала пытается расшифровать файл этим
паролем, и в случае успешной расшифровки продолжает работать с документом.
В противном случае спрашивает пароль. Небольшая дырочка в безопасности
конечно налицо, но вероятность того, что кто-то придумает именно такой
пароль, очень мала.
|
Помимо упомянутой выше "вспоминалки" паролей для Office'97 на относительно недавно созданном сайте PASSWORDS.RU можно найти и другие аналогичные программы Андрея Малышева, разбирающиеся с паролями к zip и arj-архивам, а также к макросам VBA от Office'97. Наверняка вас порадует тот факт, что русские версии раздаются безДвозДмезДно, т.е. даром, и работают без ограничений английских shareware-версий.
FreeBSD 4.0 Release (17.03.2000 22:59:46)
А вот это уже событие, анонсированное в понедельник, поинтереснее выхода альфы второго Апача.
Из очевидных вкусностей в первую очередь конечно-же хочется сказать о новом системном вызове и команде jail, позволяющих загнать процесс в отдельную "камеру", выбраться из которой он в принципе не в состоянии. Что должно значительно улучшить систему безопасности, хотя, конечно, как оно окажется на самом деле, покажет время.
Плюс масса второстепенных и не очень изменений, добавленные/обновленные драйверы, (например, переписан ATAPI-драйвер), добавлено несколько пользовательских приложений для работы с ipv6, поддержке которого вообще в этой версии уделено очень много внимания - что, возможно, подстегнет таки его внедрение, в которое в последнее время верилось уже с трудом.
взлом hackzone: faq (16.03.2000 21:16:32)
Q: Было?
A: Да, в ночь на воскресенье, 12 марта, была подменена
главная страница нашего сайта.
Q: Хе-хе, и как?
A: Не скажу :) Могу лишь сказать script kiddies: расслабьтесь.
Атака на сеть нашего хостера продолжалась по крайней мере три недели,
в течение которых добраться до сервера с вебами так и не удавалось,
хотя точно известно, что целью был именно наш сервер. Схема проникновения
включала захват рута на вспомогательном сервере, установку сниффера
и получение в итоге доступа к серверу с вебами.
Q: Почему так долго реагировали?
A: Так получилось. На основные файлы были выставлены атрибуты,
делающие невозможным их восстановление иначе как в single user mode
(chflags schg в сочетании с securlevel=3). А дело было ночью. Утром
сервер был отключен и запущен после нескольких часов работы администраторов
по выявлению и устранению причин.
Q: Замять хотите?
A: Ни боже мой. Копия подмененной страницы заняла подобающее
место в архиве, краткий
отчет вы только что прочитали. Как я уже неоднократно писал, взлом
- не повод для посыпания главы пеплом, и не повод для охоты на ведьм.
Выводы сделаны, дырки, я надеюсь, закрыты, к работе, товарищи.
Q: И все-таки, кто?
A: По имеющимся сведениям, в атаке принимали участие сотрудники
одного из провайдеров в одной из братских республик exUSSR. Пламенный
привет их клиентам.
Apache 2.0 (16.03.2000 00:46:11)
На днях вышла публичная альфа-версия Apache 2.0, наверное, самого популярного web-сервера.
Из существенных новшеств - поддержка POSIX-потоков в тех юниксах, которые их знают, новое API для модулей, улучшенная поддержка для не-юникс платформ (давно пора, потому как, например win32-версия по производительности и рядом не валялась ни с юниксовой, ни с первым попавшимся IIS).
мы - в десятке (14.03.2000 22:45:54)
RC5 HackZone Team - Combined power of Russia and exUSSR countries после долгого перерыва поднялась еще на одно место, войдя уже в десятку по общему рейтингу distributed.net. С чем, собственно, и поздравляю всех участников. Дорога до восьмого места выглядит вполне накатанной, дальше опять будет перерыв. К слову сказать, свежеобогнанная команда называется L0phT Heavy Industries. Это вам не IBM какой-нибудь :)
мечта московского диалапщика (14.03.2000 05:27:01)
...расположена тут. Несмотря на ураганную распродажу коробочек с Би-плюсом, проблема "вынимания" человека из сети по-прежнему актуальна (опять же, покупка мобилы исключительно для получения сообщений типа "Дима, положи трубку" - конечно же, жлобство :) ).
На упомянутом же сайте совершенно на халяву (!) раздаются голосовые почтовые ящики. После того как ящик создан, вы можете позвонить по многоканальному телефону доступа, где пообщаетесь с железной леди, указав номер ящика либо с помощью тонового набора, либо голосом (!), внятно произнося цифры (по-русски, по-русски). Ну а потом наговариваете звуковое сообщение, которое и свалится в итоге в почтовый ящик в виде приаттаченного wav-файла (и немного текстовой рекламы в самом письме, но на это грех жаловаться). Можно так отправить и факс, который придет в виде tiff-файла.
Услуга пока что действует только в Москве, жители Питера могут утешаться старой доброй Icq-me, к сожалению, прикрытой в Москве из-за наплыва желающих.
Кстати, заодно получилось неплохое средство для забивания почтового ящика злейшего друга без особых усилий со своей стороны (минутное сообщение занимает килобайт 300).
еще разок об icq (12.03.2000 17:11:47)
Вы, наверное, помните, что еще не так давно всякие интересные вещи типа пароля к icq, лежали совершенно открыто в файле с базой сообщений. В последних версиях, насколько я помню, это хозяйство стали худо-бедно шифровать. Но недолго мучалась старушка. Здесь раздается программка, вытаскивающая массу полезной информации из icq 99a и 99b. Enjoy.
еще разок о подарке секретаршам (12.03.2000 17:10:24)
Написав, что при копировании из клипборда "Яр-Тур.~" с Word'ом ничего не происходит, я явно поторопился. Пришла масса сообщений, подтверждающих, что Word валится и при копировании тоже. С другой стороны, есть сведения и о том, что в некоторых случаях Word продолжает спокойно работать, каким бы способом эти заветные символы не вводились. Закономерность неясна, возможно, повлиял факт установки SR1, SR2, но и тут отзывы противоположные.
У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.
| « | » | |
|
|
|