информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Где водятся OGRыЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Ноябрьский перевыпуск октябрьского... 
 Закопать Flash 
 Октябрьские патчи от MS и перевыпуск... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2011
АРХИВ
главная
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



The Bat!

Гугль решил защититься от будущих атак на свой https-трафик; Исследователи из Microsoft и Корнелла считают, что нашли принципиальную уязвимость в Bitcoin; FireFox 8; Гуглеплюсное; Анонимнородительское.

#310, 24.11.2011

Гугль решил защититься от будущих атак на свой https-трафик
dl // 24.11.11 01:19
Большинство текущих реализаций HTTPS предполагает существование единственного неизменного секретного ключа, известного только владельцам домена, который уже используется для шифрования сессионных ключей. Однако история показывает, что многие решения, обеспечивающие приемлемую безопасность при своем внедрении, через некоторое время обходились за счет роста производительности вычислительной техники.

Решив подстраховаться от будущих атак на свой https-трафик, в Гугле решили перейти на схему, предусматривающую постоянную замену не только сессионных, но и секретных ключей, которые теперь не будут сохраняться в постоянной памяти (и фактически даже администратор сервера через некоторое время не сможет расшифровать старый https-трафик).

Поскольку SSL не был разработан для такого сценария использования, гуглеинженерам пришлось разработать расширение популярной библиотеки OpenSSL, которое будет интегрировано в будущую версию 1.0.1. Пока сочетание выбранной схемы передачи ключей ECDHE RSA и алгоритма шифрования RC4 128 поддерживается лишь FireFox и Chrome.
Источник: InfoWorld


Исследователи из Microsoft и Корнелла считают, что нашли принципиальную уязвимость в Bitcoin
dl // 16.11.11 04:06
Уязвимость эта не из тех, что приводит к проблемам безопасности, но может отразиться на поведении всей этой системы распределенной валюты. По мнению авторов исследования, период, когда биткойны добывались практически из воздуха, благополучно завершился и основным способом заработка становится честная работа по верификации чужих транзакций. При этом у пользователей оказывается все меньше стимулов производить эту обработку в распределенном стиле, а не придерживать информацию для себя - зачем отдавать эту работу какой-нибудь китайской молотилке, когда можно не торопясь сделать ее у себя. Ну а поскольку отдельные пользователи проводят эту верификацию заведомо медленней, чем если бы они не жадничали, это начнет постепенно приводить к замедлению системы вплоть до малопригодности.

Исследователи предложили модифицированный способ вознаграждения, который будет стимулировать пользователей делиться транзакциями. Впрочем, один из разработчиков, работающих над Bitcoin, заявил, что исследование описывает очень интересную, но сугубо теоретическую проблему, с которой вряд ли придется иметь дело в ближайшем будущем.
Источник: Slashdot


FireFox 8
dl // 09.11.11 02:33
Очередная итерация FireFox, в былые времена, пожалуй, не потянувшая бы на смену даже первой цифры после точки. Включение в стартовый набор поиска по твиттеру; галочка, позволяющая отложить при запуске загрузку сайтов из сохраненных табов до того момента, когда они реально понадобятся; запрет по умолчанию расширений, устанавливаемых сторонним софтом (отдельный привет разным антивирусам, втыкающим свои расширения куда только можно).
Источник: The Mozilla Blog


Гуглеплюсное
dl // 08.11.11 18:07
Не прошло и полугода как Гугль запустил регистрацию страниц, не привязанных к личным аккаунтам, так что багтраковская трансляция в G+ переезжает на новый адрес: http://gplus.to/bugtrack.

Прочие доступные трансляции: Facebook, Twitter, ВКонтакте, LiveJournal, исходный RSS.
Источник: Google+


Анонимнородительское
dl // 31.10.11 13:06
Тут на днях мне сообщили (за что отдельное спасибо) прелюбопытнейший факт - оказывается, родительский контроль KIS 2012 стал блокировать bugtraq.ru, занеся его в категорию анонимных прокси.

Ситуация восхитительна по целому ряду причин. Во-первых, довольно забавно выглядит вообще вся эта категория, существование которой оправдывается в рекламе тем, что анонимные прокси часто используются для атак злобных хакеров. Лично мне совершенно непонятно, каким образом блокировка обращения к анонимному прокси в браузере способна повлиять на безопасность пользователя этого самого браузера - ну да ладно, с натяжкой можно согласиться,что эта мера может помочь в выявлении троянской активности, хотя и тогда место ей не в родительском контроле.

Но тут настает время во-вторых - ну вот нет тут у меня анонимного прокси, хоть ты режь. Специально просканировал популярные среди прокси порты (мало ли, вдруг успели заломать, воткнуть прокси, и об это узнал только KIS) - и ничего. Разумеется, верить мне на слово необязательно, так что не имею ничего против любой проверки. Плюс тут есть еще один милый момент - судя по присланному скриншоту, заблокирован оказался и раздающий RSS домен feeds.bugtraq.ru, который, так на минуточку, вообще расположен на гугле, поскольку является алиасом для feedburner'а.

В-третьих, конечно, было бы лукавством утверждать, что на bugtraq вообще нет ничего, относящегося к анонимным прокси. Как показывает поиск, у нас были и упоминавшие их статьи, и обсуждения на форуме. Но даже на форуме их обсуждение сводилось в основном к стону о том, что где ж сейчас найти рабочий прокси, да и в статьях дело не доходило даже для ссылок.

Таким образом, есть полное ощущение, что эти несколько упоминаний стали единственным основанием для попадания в фильтр. Что как бы намекает на качество подобной фильтрации.

Больше всего в этой схеме напрягает вахтерская недружественность по отношению к ресурсам. Разумеется, владелец сайта никак не извещается о занесении в черный список, не барское это дело. Более того, не имея KIS (а светлое будущее из маркетинговых мечтаний, в котором KIS установлена на каждую систему, по счастью, еще не наступило), в принципе невозможно узнать, фильтруется ли ресурс и по каким причинам, и как-то отреагировать (форма для проверки, диагностика, возможность отзыва - опять же не барское дело).

Не могу сказать, чтобы заметил хоть какое-то влияние этой фильтрации на посещаемость (то ли аудитории слабо пересекаются, то ли такая вот у нее популярность), но кто ж его знает, куда еще дотянутся шаловливые ручки старших братцев из родительского контроля. Так что у меня будет просьба к счастливым владельцам KIS, вдруг наткнувшимся на этот текст в рассылке либо где-то еще - если будет время, гляньте как-нибудь, живет ли еще эта фильтрация, и не сочтите за труд сбросить описание случившегося в форму техподдержки.




обсудить  |  все отзывы (0)  
[19900]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach