информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100За кого нас держат?Сетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Уязвимости в реализациях OpenPGP... 
 Twitter просит пользователей срочно... 
 Google прикрыл domain fronting 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2007
АРХИВ
главная
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



The Bat!

Очередное удаленное исполнение кода в IE; Госдума может ввести лицензирование записи CD/DVD; MS откроет код .NET; О защите текстов на вебе; CCH7.

#247, 12.10.2007

Очередное удаленное исполнение кода в IE
dl // 11.10.07 22:18
Практически сразу после выхода ежемесячной порции исправлений Microsoft сообщила о том, что исследует очередную уязвимость в IE, связанную с некорректной обработкой URL, полученных от внешних приложений. Уязвимости подвержены XP и Windows Server 2003 с установленным IE7; виста и системы с IE6 чисты.
Источник: Microsoft Security Advisory


Госдума может ввести лицензирование записи CD/DVD
dl // 08.10.07 23:28
Фракция "Единая Россия" внесла на рассмотрение Госдумы законопроект N475488-4 "О мерах по противодействию обороту отдельных видов продукции, произведенной с нарушением требований законодательства Российской Федерации".

Помимо таких прелестей как обязательная маркировка и учет операций с семью новыми видами продукции, включающими "аудиовизуальные произведения, фонограммы, программы для ЭВМ и базы данных на любых видах носителей" (привет шароварщикам и онлайновым продажам), предполагается, что оборудование, позволяющее копировать аудиовизуальные произведения, фонограммы, программы для ЭВМ и базы данных, можно будет продавать лишь лицам, получившим лицензии на такую деятельность.

Из действия нормы исключены случаи воспроизведения фонограмм и аудиовизуальных произведений в личных целях (магнитофоны, видеоплейеры), а также использование оборудования для записи произведения в память ЭВМ (оставляя под запретом пишущие CD/DVD-приводы).

Ну что, по магазинам? Интересно, как это доблестные законодатели проморгали сканеры и ксероксы.
Источник: cnews.ru


MS откроет код .NET
dl // 04.10.07 08:10
По словам одного из разработчиков, предполагается, что вместе с релизом VS 2008 и .NET 3.5 в целях упрощения отладки будет открыт для скачивания исходный код ключевых библиотек .NET. Код будет доступен по лицензии Microsoft Reference License (MS-RL).
Источник: ScottGu's Blog


О защите текстов на вебе
dl // 04.10.07 00:18
Когда несколько месяцев назад litres.ru опубликовал свои планы по созданию веб-библиотек, дающих только читать книги (обычным броузером и в текстовом формате, заметьте) и блокирующих скачивание и копирование, большинство людей, сколько-то разбирающихся в устройстве веба, просто пожали плечами. Однако ж проект был запущен и за остаток лета - начало осени в как бы защищенном виде были выложены книги нескольких популярных авторов. А очередная хвалебная статья о грамотном и своевременном открытии данного сервиса сподвигла меня посмотреть поближе, что ж там внутре.

Disclaimer: дальнейшие действия проводились не корысти ради, а токмо во имя спортивного интереса (выражаясь формально, в целях анализа стойкости предложенной защиты).

Внутре ж оказалась умеренно навороченная двухуровневая защита от начинающего пользователя. Первый уровень - набор функций на JavaScript, всячески мешающих копированию текста, например, путем сбрасывания выделения каждые 10 секунд (сам текст тоже выводится JS, так что его отключение ни к чему полезному не приведет). Обходится элементарно путем задания в каком-нибудь промежуточном фильтре типа AdMuncher'а правила, комментирующего первый вызов сбрасывающей выделение функции. Этого вполне достаточно для FireFox, для IE потребуется блокировка еще пары обработчиков событий.

Второй уровень запрятан получше и приводит к тому, что после copy/paste текста он оказывается разбавлен массой мусорных символов, приводящих к его полной нечитаемости. Причем скрипт, выводящий текст, имеет одноразовый url, вызывается из iframe с опять-таки одноразовым url, так что добраться до его исходников невооруженным глазом затруднительно (последующие прямые обращения просто ничего не отдадут). Хотя по-прежнему элементарно для человека, вооруженного любым анализатором http-пакетов (собственно говоря, при наличии такого анализатора отпадает и необходимость в copy/paste из окна броузера, разве что последний вариант чуть более комфортен).

Вставка мусора, проявляющегося только при копировании, реализована достаточно любопытно - мусорные символы вставляются с помощью блоков <span> со стилем, отключающим их видимость. Таким образом, при показе текста в окне броузер их игнорирует, но честно (и глупо) отдает в буфер обмена.

Итог - вся защита оказывается снятой с помощью двух коротеньких правил AdMuncher'а (аналогичный подарок могут сделать своим пользователям администраторы прокси-серверов). Строить библиотечный бизнес на таком хлипком фундаменте - не знаю, не знаю. С другой стороны, электронные версии книг продаются за столь смешные деньги, что у многих читателей поневоле возникает позыв отряхнуть со своих ног прах пиратского прошлого - приятно почувствовать себя добропорядочным гражданином за такие копейки. Так что психология тут срабатывает надежнее технических средств.

Update: как мне подсказывают, все еще проще - достаточно воспользоваться FFшным плагином ScrapBook.


CCH7
dl // 03.10.07 23:24
После прошлогодней обкатки направлений "Сети" и "Хак" организаторы Chaos Constructions созрели для их выделения в отдельный фестиваль Chaos Constructions HackAround, который и случится впервые в этом году с 29 ноября по 2 декабря в Санкт-Петербургском ЦВЗ "Манеж".

В программе конкурсы, семинары, демонстрация видеоматерилов, экспозиция раритетной компьютерной техники. Предварительная регистрация обязательна.
Источник: сайт фестиваля




обсудить  |  все отзывы (1)  
[9496]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach