Сбербанк использует общий почтовый ящик на mail.ru для раздачи обновлений системы клиент-банк; Perl'у 20; Совместная уязвимость GMail и IE дает возможность захвата аккаунтов.

#251, 31.12.2007

С наступающим
dl // 31.12.07 13:35
И опять с очередным перебросом счетчика всех, кто еще успеет это прочитать до нового года.

Немного о приятном. С началом года стартует очередной конкурс статей, который теперь планируется сделать постоянным, без пропусков - благо теперь появился, как мне кажется, удобный способ формирования достойного призового фонда.
Источник: анонс конкурса

Сбербанк использует общий почтовый ящик на mail.ru для раздачи обновлений системы клиент-банк
dl // 25.12.07 22:38
Клиенты Сбербанка стали получать от последнего предложения обновить АРМ Клиент-Сбербанк, зайдя в "тестовый почтовый ящик" на mail.ru, логин и пароль которого прилагались. Об уникальности логина говорить не приходится, просто обычная файлопомойка на общем аккаунте веб-почты - схема, иногда используемая в варезных кругах. Со всеми присущими ей очевидными дырками.

Крышесносяще. 21 век, цифровая подпись, ГОСТы, принцип враждебного окружения, безопасное распределение ключей - иль это все сон? Одно непонятно, зачем вообще при том коммунизме, в котором витает дух автора идеи, какие-то системы клиент-банк.
Источник: blog.lexa.ru

Perl'у 20
dl // 19.12.07 17:59
Вчера одному из самых популярных скриптовых языков стукнуло 20 лет - 18.12.1987 Ларри Уолл (Larry Wall) выпустил в свет Perl 1. В качестве подарка к юбилею Perl5Porters выпустили Perl 5.10.0, включающий ряд усовершенствований - ускоренный движок для регулярных выражений, статические переменные в функциях, аналог оператора switch (даже не сказать "не прошло и двадцати лет") и т.п.
Источник: O’Reilly Network

Совместная уязвимость GMail и IE дает возможность захвата аккаунтов
dl // 19.12.07 15:44
Уязвимость в механизме кэширования IE в сочетании с веб-службами, подверженными атакам класса CSRF (cross-site request forgery), приводит к возможности атаки на почтовый аккаунт, если жертва использовала тот же локальный пользовательский аккаунт, что и атакующий (вполне обычное дело для всяких интернет-кафе и прочих публично доступных компьютеров).

Суть проблемы в том, что IE кэширует слишком много и не слишком торопится чистить кэш, а на сохраненных страницах GMail остаются пути с идентификаторами сессий (для аттачей в основном), которые могут быть использованы при последующей атаке. Microsoft вполне резонно заявила, что не считает это уязвимостью IE - кэширование на то и кэширование, что сохраняет пришедшие страницы as is. Ну а пока гуглевские программисты не научатся блокировать использованные идентификаторы сессий после выхода пользователя из системы, все, что остается делать на публичных компьютерах - полностью очищать кэш IE после выхода из GMail.
Источник: InfoWorld