информационная безопасность без паники и всерьез подробно о проекте |
||||||||||||||||||||||
|
||||||||||||||||||||||
|
Очередное удаленное исполнение кода в IE; Госдума может ввести лицензирование записи CD/DVD; MS откроет код .NET; О защите текстов на вебе; CCH7. #247, 12.10.2007 Очередное удаленное исполнение кода в IE
Госдума может ввести лицензирование записи CD/DVD
Помимо таких прелестей как обязательная маркировка и учет операций с семью новыми видами продукции, включающими "аудиовизуальные произведения, фонограммы, программы для ЭВМ и базы данных на любых видах носителей" (привет шароварщикам и онлайновым продажам), предполагается, что оборудование, позволяющее копировать аудиовизуальные произведения, фонограммы, программы для ЭВМ и базы данных, можно будет продавать лишь лицам, получившим лицензии на такую деятельность. Из действия нормы исключены случаи воспроизведения фонограмм и аудиовизуальных произведений в личных целях (магнитофоны, видеоплейеры), а также использование оборудования для записи произведения в память ЭВМ (оставляя под запретом пишущие CD/DVD-приводы). Ну что, по магазинам? Интересно, как это доблестные законодатели проморгали сканеры и ксероксы.
MS откроет код .NET
О защите текстов на вебе
Disclaimer: дальнейшие действия проводились не корысти ради, а токмо во имя спортивного интереса (выражаясь формально, в целях анализа стойкости предложенной защиты). Внутре ж оказалась умеренно навороченная двухуровневая защита от начинающего пользователя. Первый уровень - набор функций на JavaScript, всячески мешающих копированию текста, например, путем сбрасывания выделения каждые 10 секунд (сам текст тоже выводится JS, так что его отключение ни к чему полезному не приведет). Обходится элементарно путем задания в каком-нибудь промежуточном фильтре типа AdMuncher'а правила, комментирующего первый вызов сбрасывающей выделение функции. Этого вполне достаточно для FireFox, для IE потребуется блокировка еще пары обработчиков событий. Второй уровень запрятан получше и приводит к тому, что после copy/paste текста он оказывается разбавлен массой мусорных символов, приводящих к его полной нечитаемости. Причем скрипт, выводящий текст, имеет одноразовый url, вызывается из iframe с опять-таки одноразовым url, так что добраться до его исходников невооруженным глазом затруднительно (последующие прямые обращения просто ничего не отдадут). Хотя по-прежнему элементарно для человека, вооруженного любым анализатором http-пакетов (собственно говоря, при наличии такого анализатора отпадает и необходимость в copy/paste из окна броузера, разве что последний вариант чуть более комфортен). Вставка мусора, проявляющегося только при копировании, реализована достаточно любопытно - мусорные символы вставляются с помощью блоков <span> со стилем, отключающим их видимость. Таким образом, при показе текста в окне броузер их игнорирует, но честно (и глупо) отдает в буфер обмена. Итог - вся защита оказывается снятой с помощью двух коротеньких правил AdMuncher'а (аналогичный подарок могут сделать своим пользователям администраторы прокси-серверов). Строить библиотечный бизнес на таком хлипком фундаменте - не знаю, не знаю. С другой стороны, электронные версии книг продаются за столь смешные деньги, что у многих читателей поневоле возникает позыв отряхнуть со своих ног прах пиратского прошлого - приятно почувствовать себя добропорядочным гражданином за такие копейки. Так что психология тут срабатывает надежнее технических средств. Update: как мне подсказывают, все еще проще - достаточно воспользоваться FFшным плагином ScrapBook.
CCH7
В программе конкурсы, семинары, демонстрация видеоматерилов, экспозиция раритетной компьютерной техники. Предварительная регистрация обязательна.
|
анонимность
клоуны
конференции
спам
уязвимости
.net
acrobat
activex
adobe
android
apple
beta
bgp
bitcoin
blaster
borland
botnet
chrome
cisco
crypto
ctf
ddos
dmca
dnet
dns
dos
dropbox
eclipse
ecurrency
eeye
elcomsoft
excel
facebook
firefox
flash
freebsd
fsf
github
gnome
google
gpl
hp
https
ibm
icq
ie
intel
ios
iphone
java
javascript
l0pht
leak
linux
livejournal
mac
mcafee
meltdown
microsoft
mozilla
mysql
netware
nginx
novell
ny
open source
opera
oracle
os/2
outlook
password
patch
php
powerpoint
programming
pwn2own
quicktime
rc5
redhat
retro
rip
router
rsa
safari
sco
secunia
server
service pack
shopping
skype
smb
solaris
sony
spyware
sql injection
ssh
ssl
stuff
sun
symantec
torrents
unix
virus
vista
vmware
vpn
wikipedia
windows
word
xp
xss
yahoo
yandex
youtube
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|