https://bugtraq.ru/review/archive/2009/05-11-09.html

Firefox наконец-то обошел IE6; Кража кук через поддомены - еще один привет из прошлого; Mozilla заблокировала проблемный плагин MS; Плагин MS ставил под удар пользователей FireFox; Массовая утечка исходников интернет-проектов через SVN.

#281, 05.11.2009

Firefox наконец-то обошел IE6
dl // 04.11.09 13:33
Согласно ежемесячному отчету Net Applications, пользователей, использующих Firefox, наконец-то стало больше, чем пользователей IE6 - 24.07 процента против 23.30. Общая доля пользователей IE слегка снизилась, но продолжает оставаться на недосягаемом уровне в 64.64 процента. Далее следуют Safari с 4.42, Chrome с 3.58 и Opera с 2.17.

Столь высокая доля IE6 просто удивительна - насколько я понимаю, для сохранения его в системе с автообновлениями нужно приложить очень отдельные усилия, на которые рядовые пользователи просто не пойдут. Другими словами, четверть пользователей отважно сидит в сети с необновленными системами - вот она, питательная среда для ботнетов.
Источник: Slashdot

Кража кук через поддомены - еще один привет из прошлого
dl // 04.11.09 11:17
Исследователь из Foreground Security Майк Бейли (Mike Bailey) обратил внимание еще на одну потенциальную слабость в базовых интернет-протоколах, восходящую к временам, когда об удобстве думали больше, чем о безопасности.

Слабость эта восходит к RFC 2965, согласно которому браузеры позволяют поддоменам устанавливать и читать куки, установленные доменами верхнего уровня. И если кука в поддомене не существует, вместо нее следует использовать куку родительского домена. В тривиальных случаях типа www.bugtraq.ru/bugtraq.ru удобство этого подхода очевидно, но в ситуациях, когда на поддомене расположен другой сайт (а такое происходит сплошь и рядом - вынос второстепенных функций, предоставление поддомена пользователям и т.п.), появляется возможность перехвата кук родительского сайта либо в результате злонамеренных действий владельца дочернего, либо в результате его ошибки, приводящей к потенциальному XSS.

Бейли привел несколько примеров реальных сайтов, страдающих от этого подхода - так, XSS на www.advertising.expedia.com позволяла внедрять куки на expedia.com, а поскольку там еще и с фильтрацией не задалось, в конечном итоге внедрять в страницы expedia.com произвольный javascript.
Источник: The Register

Mozilla заблокировала проблемный плагин MS
dl // 18.10.09 17:58
В одном из бюллетеней, входивших в недавнее ежемесячное обновление, Microsoft предупредила, что пользователи FireFox, не установившие последнее обновление для IE, могут попасть под удаленную атаку, всего лишь открыв веб-страницу.

Поскольку у многих пользователей возникали затруднения с отключением проблемного плагина, разработчики FireFox по согласованию с MS решили его запретить с помощью механизма принудительной блокировки плагинов, что и было проделано в пятницу вечером.
Источник: PC World

Плагин MS ставил под удар пользователей FireFox
dl // 17.10.09 01:57
Среди уязвимостей, исправленных MS в последний вторник, была одна, затрагивающая не только пользователей IE (что стало вполне привычным), но и пользователей FireFox. Дело в том, что начиная с февраля MS включила в принудительное обновление системы первый сервис пак для .NET 3.5, установка которого приводила к повлению в FireFox плагина The .NET Framework Assistant. Согласно Annoyances.org, этот плагин добавляет в FireFox одну из самых неприятных уязвимостей IE - возможность установки приложений с веб-сайтов без ведома пользователей.

Дополнительную прелесть ситуации добавляло то, что поначалу этот плагин было невозможно удалить или заблокировать стандартными средствами FireFox во всех системах, кроме Windows 7, это было исправлено лишь в майском обновлении.

По словам Microsoft, пользователи FireFox, не установившие обновление для IE MS09-054, по-прежнему находятся под угрозой.
Источник: Computerworld

Массовая утечка исходников интернет-проектов через SVN
dl // 23.09.09 17:41
SVN - одна из популярнейших систем контроля версий, широко используемая в том числе и при веб-программировании. Типовым и рекомендуемым вариантом использования SVN в последнем случае является периодический экспорт кода на боевой сервер, однако зачастую у разработчиков возникает соблазн исключить из рабочего цикла процедуру экспорта и разместить рабочую копию непосредственно на основном сервере.

Обратной стороной этого упрощения является то, что рабочие копии таких проектов содержат служебные каталоги .svn с рядом подкаталогов, из которых особый интерес представляет подкаталог text-base, хранящий последние версии всех файлов, полученных из репозитория. Причем файлы эти имеют расширение svn-base и прекрасно отдаются веб-сервером без дополнительной обработки (т.е. любой человек может спокойно посмотреть ваш код на php/asp/perl/..., подсмотреть в нем пароли доступа к базам и внешним сервисам и т.п.). Кроме того, из лежащего по соседству файла entries можно получить массу другой любопытной информации - расположение репозитория, логины пользователей и т.п.

В принципе, и это не фатально - соответствующие каталоги элементарно закрываются от публичного доступа простой настройкой веб-сервера, но, как выяснилось, по крайней мере 3320 популярных сайтов рунета, включая крупнейшие, не озаботились этой элементарной защитой.
Источник: Хабрахабр