информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Атака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2009
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




Firefox наконец-то обошел IE6; Кража кук через поддомены - еще один привет из прошлого; Mozilla заблокировала проблемный плагин MS; Плагин MS ставил под удар пользователей FireFox; Массовая утечка исходников интернет-проектов через SVN.

#281, 05.11.2009

Firefox наконец-то обошел IE6
dl // 04.11.09 13:33
Согласно ежемесячному отчету Net Applications, пользователей, использующих Firefox, наконец-то стало больше, чем пользователей IE6 - 24.07 процента против 23.30. Общая доля пользователей IE слегка снизилась, но продолжает оставаться на недосягаемом уровне в 64.64 процента. Далее следуют Safari с 4.42, Chrome с 3.58 и Opera с 2.17.

Столь высокая доля IE6 просто удивительна - насколько я понимаю, для сохранения его в системе с автообновлениями нужно приложить очень отдельные усилия, на которые рядовые пользователи просто не пойдут. Другими словами, четверть пользователей отважно сидит в сети с необновленными системами - вот она, питательная среда для ботнетов.
Источник: Slashdot


Кража кук через поддомены - еще один привет из прошлого
dl // 04.11.09 11:17
Исследователь из Foreground Security Майк Бейли (Mike Bailey) обратил внимание еще на одну потенциальную слабость в базовых интернет-протоколах, восходящую к временам, когда об удобстве думали больше, чем о безопасности.

Слабость эта восходит к RFC 2965, согласно которому браузеры позволяют поддоменам устанавливать и читать куки, установленные доменами верхнего уровня. И если кука в поддомене не существует, вместо нее следует использовать куку родительского домена. В тривиальных случаях типа www.bugtraq.ru/bugtraq.ru удобство этого подхода очевидно, но в ситуациях, когда на поддомене расположен другой сайт (а такое происходит сплошь и рядом - вынос второстепенных функций, предоставление поддомена пользователям и т.п.), появляется возможность перехвата кук родительского сайта либо в результате злонамеренных действий владельца дочернего, либо в результате его ошибки, приводящей к потенциальному XSS.

Бейли привел несколько примеров реальных сайтов, страдающих от этого подхода - так, XSS на www.advertising.expedia.com позволяла внедрять куки на expedia.com, а поскольку там еще и с фильтрацией не задалось, в конечном итоге внедрять в страницы expedia.com произвольный javascript.
Источник: The Register


Mozilla заблокировала проблемный плагин MS
dl // 18.10.09 17:58
В одном из бюллетеней, входивших в недавнее ежемесячное обновление, Microsoft предупредила, что пользователи FireFox, не установившие последнее обновление для IE, могут попасть под удаленную атаку, всего лишь открыв веб-страницу.

Поскольку у многих пользователей возникали затруднения с отключением проблемного плагина, разработчики FireFox по согласованию с MS решили его запретить с помощью механизма принудительной блокировки плагинов, что и было проделано в пятницу вечером.
Источник: PC World


Плагин MS ставил под удар пользователей FireFox
dl // 17.10.09 01:57
Среди уязвимостей, исправленных MS в последний вторник, была одна, затрагивающая не только пользователей IE (что стало вполне привычным), но и пользователей FireFox. Дело в том, что начиная с февраля MS включила в принудительное обновление системы первый сервис пак для .NET 3.5, установка которого приводила к повлению в FireFox плагина The .NET Framework Assistant. Согласно Annoyances.org, этот плагин добавляет в FireFox одну из самых неприятных уязвимостей IE - возможность установки приложений с веб-сайтов без ведома пользователей.

Дополнительную прелесть ситуации добавляло то, что поначалу этот плагин было невозможно удалить или заблокировать стандартными средствами FireFox во всех системах, кроме Windows 7, это было исправлено лишь в майском обновлении.

По словам Microsoft, пользователи FireFox, не установившие обновление для IE MS09-054, по-прежнему находятся под угрозой.
Источник: Computerworld


Массовая утечка исходников интернет-проектов через SVN
dl // 23.09.09 17:41
SVN - одна из популярнейших систем контроля версий, широко используемая в том числе и при веб-программировании. Типовым и рекомендуемым вариантом использования SVN в последнем случае является периодический экспорт кода на боевой сервер, однако зачастую у разработчиков возникает соблазн исключить из рабочего цикла процедуру экспорта и разместить рабочую копию непосредственно на основном сервере.

Обратной стороной этого упрощения является то, что рабочие копии таких проектов содержат служебные каталоги .svn с рядом подкаталогов, из которых особый интерес представляет подкаталог text-base, хранящий последние версии всех файлов, полученных из репозитория. Причем файлы эти имеют расширение svn-base и прекрасно отдаются веб-сервером без дополнительной обработки (т.е. любой человек может спокойно посмотреть ваш код на php/asp/perl/..., подсмотреть в нем пароли доступа к базам и внешним сервисам и т.п.). Кроме того, из лежащего по соседству файла entries можно получить массу другой любопытной информации - расположение репозитория, логины пользователей и т.п.

В принципе, и это не фатально - соответствующие каталоги элементарно закрываются от публичного доступа простой настройкой веб-сервера, но, как выяснилось, по крайней мере 3320 популярных сайтов рунета, включая крупнейшие, не озаботились этой элементарной защитой.
Источник: Хабрахабр




обсудить  |  все отзывы (8)
[34941]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach