https://bugtraq.ru/review/archive/2007/02-06-07.html

Сбой центрального сервера парализовал московские турникеты; Mozilla выпустила шесть исправлений для FireFox; Не стоит слишком доверять тулбарам FireFox; Раскрытие личной информации с помощью LiveJournal OpenID; Рекламное объявление 'Щелкни здесь, чтобы заразиться' собрало несколько сотен посетителей.

#241, 02.06.2007

Сбой центрального сервера парализовал московские турникеты
dl // 01.06.07 11:38
По мнению специалистов Мосгортранса, неудачные погодные условия привели этой ночью к выходу из строя центрального сервера системы автоматизированного контроля (АСКП). Видимо, из-за этого центральный сервер просто не заметил новый месяц, внезапно наступивший этим утром. Перед утренним выходом на линию валидаторы, загружаемые в диспетчерских, получили неполную информацию о допустимых к обращению билетах. В результате оказались заблокированными тысячи единых проездных билетов, пропущенные через валидаторы наземного транспорта и переставшие после этого работать уже везде.
Источник: Взгляд

Mozilla выпустила шесть исправлений для FireFox
dl // 01.06.07 02:16
Это уже третье обновление FireFox в этом году, до версий 2.0.0.4 и 1.5.0.12. Самое серьезное исправление из шести лечит 30 различных ошибок, связанных с порчей памяти. Кроме того, это обновление стало последним для линейки 1.5, поддержка которой прекращается.
Источник: InfoWorld

Не стоит слишком доверять тулбарам FireFox
dl // 31.05.07 18:02
Кристофер Согоян (Christopher Soghoian) обнародовал информацию о потенциальных опасностях, заложенных в механизм обновления многих популярных расширений FireFox, включая тулбары от Google, Yahoo, LinkedIn и т.п. Проблема в том, что все эти расширения расположены на обычных сайтах, не использующих защищенное соединение, что делает возможной атаку man-in-the-middle в случае подключения через не заслуживающий полного доверия канал. Среди потенциальных жертв, к примеру, пользователи публичных WiFi-сетей.

Не все исследователи согласны с оценкой данной уязвимости как критичной, хотя и солидарны в том, что неиспользование в данных целях SSL по меньшей мере глупо.
Источник: InfoWorld

Раскрытие личной информации с помощью LiveJournal OpenID
dl // 22.05.07 22:18
Давным-давно разрабочики LiveJournal подумали, как здорово было бы иметь возможность использовать один и тот же пользовательский идентификатор на разных сайтах. Так появился OpenID - теперь можно зайти к приятелю в standalone blog, указать LJшный ник, и после нехитрой авторизации вас признают. Ключевой момент: использование OpenID - дело сугубо добровольное и результат осознанных действий пользователя.

А уже совсем недавно компания "Суп", занимающаяся поддержкой русскоязычной части LJ, радостно отрапортовала о создании LiveJournal.Ru - "путеводителя и справочника по русской части Живого Журнала", а заодно и о том, что Kommersant.Ru решил перевести на LJшную авторизацию свои форумы. И все бы хорошо, но проблема в том, что и при заходе на LiveJournal.Ru, и при открытии любого материала Ъ, счастливого пользователя LJ сразу же встречает его имя. Ключевой момент: все это происходит без приложения каких-либо усилий со стороны пользователя, для этого достаточно быть одновременно залогиненным в LJ, причем разорвать эту связь нет никакой штатной возможности.

Удобно - да, спору нет. Но посетителям этого сайта, как правило, нет нужды объяснять, чем оборачивается такое удобство. Мы уже привыкли к мысли о том, что баннерные сети и прочие счетчики способны собирать сквозную статистику о посетителях львиной доли сайтов. Но стоит ли привыкать к следующему шагу и давать, к примеру, любому сайту, подключившемуся к LJшной партнерке, потенциальную возможность выяснения всей подноготной пользователя в целях бомбардировки его адресной рекламой?

Так что суповским программистам было бы неплохо задуматься о том, что далеко не всех пользователей устраивает подобное всеобщее братание и добавить настройку, позволяющую управлять данным поведением. Ну а пока пользователям, беспокоящимся о своей privacy, достаточно заблокировать, к примеру, средствами своего персонального файрволла или баннерорезки url http://www.livejournal.com/openid/server.bml?openid.mode=checkid_immediate, отвечающий за все это безобразие.
Источник: sup_ru, via ico lj

Рекламное объявление 'Щелкни здесь, чтобы заразиться' собрало несколько сотен посетителей
dl // 18.05.07 15:51
Специалист по безопасности Дидье Стивенс (Didier Stevens) провел небольшой эксперимент, разместив в Google Adwords объявление "Ваш компьютер свободен от вирусов? Заразите его здесь!"

За шесть месяцев кампании, которая обошлась в 23$, по этому объявлению щелкнуло 409 человек. 6 центов за потенциальную жертву - не так уж и плохо.
Источник: eWeek