Гугль решил защититься от будущих атак на свой https-трафик
dl // 24.11.11 01:19
Большинство текущих реализаций HTTPS предполагает существование единственного неизменного секретного ключа, известного только владельцам домена, который уже используется для шифрования сессионных ключей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/11/05.html]
Однако история показывает, что многие решения, обеспечивающие приемлемую безопасность при своем внедрении, через некоторое время обходились за счет роста производительности вычислительной техники.

Решив подстраховаться от будущих атак на свой https-трафик, в Гугле решили перейти на схему, предусматривающую постоянную замену не только сессионных, но и секретных ключей, которые теперь не будут сохраняться в постоянной памяти (и фактически даже администратор сервера через некоторое время не сможет расшифровать старый https-трафик).

Поскольку SSL не был разработан для такого сценария использования, гуглеинженерам пришлось разработать расширение популярной библиотеки OpenSSL, которое будет интегрировано в будущую версию 1.0.1. Пока сочетание выбранной схемы передачи ключей ECDHE RSA и алгоритма шифрования RC4 128 поддерживается лишь FireFox и Chrome.

Источник: InfoWorld теги: google  |  обсудить  |  все отзывы (6)

Исследователи из Microsoft и Корнелла считают, что нашли принципиальную уязвимость в Bitcoin
dl // 16.11.11 04:06
Уязвимость эта не из тех, что приводит к проблемам безопасности, но может отразиться на поведении всей этой системы распределенной валюты.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/11/04.html]
По мнению авторов исследования, период, когда биткойны добывались практически из воздуха, благополучно завершился и основным способом заработка становится честная работа по верификации чужих транзакций. При этом у пользователей оказывается все меньше стимулов производить эту обработку в распределенном стиле, а не придерживать информацию для себя - зачем отдавать эту работу какой-нибудь китайской молотилке, когда можно не торопясь сделать ее у себя. Ну а поскольку отдельные пользователи проводят эту верификацию заведомо медленней, чем если бы они не жадничали, это начнет постепенно приводить к замедлению системы вплоть до малопригодности.

Исследователи предложили модифицированный способ вознаграждения, который будет стимулировать пользователей делиться транзакциями. Впрочем, один из разработчиков, работающих над Bitcoin, заявил, что исследование описывает очень интересную, но сугубо теоретическую проблему, с которой вряд ли придется иметь дело в ближайшем будущем.

Источник: Slashdot обсудить  |  все отзывы (1)

FireFox 8
dl // 09.11.11 02:33
Очередная итерация FireFox, в былые времена, пожалуй, не потянувшая бы на смену даже первой цифры после точки.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/11/03.html]
Включение в стартовый набор поиска по твиттеру; галочка, позволяющая отложить при запуске загрузку сайтов из сохраненных табов до того момента, когда они реально понадобятся; запрет по умолчанию расширений, устанавливаемых сторонним софтом (отдельный привет разным антивирусам, втыкающим свои расширения куда только можно).

Источник: The Mozilla Blog обсудить  |  все отзывы (1)

Ноябрьские обновления от MS
dl // 09.11.11 00:52
Всего 4, из которых одно критическое и два важных.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/11/02.html]
Критическое устраняет удаленное исполнение кода в стеке tcp/ip при поступлении продолжительного потока специально подготовленных udp-пакетов (прелесть этой атаки в том, что пакеты отправляются на случайный порт, даже не привязанный ни к какому сервису). Остальные - удаленное исполнение кода в Windows Mail и Windows Meeting Space, эскалацию привилегий в Active Directory и очередную атаку (на этот раз всего лишь DoS) на парсер TrueType-шрифтов.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

Гуглеплюсное
dl // 08.11.11 18:07
Не прошло и полугода как Гугль запустил регистрацию страниц, не привязанных к личным аккаунтам, так что багтраковская трансляция в G+ переезжает на новый адрес: http://gplus.to/bugtrack.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/11/01.html]

Прочие доступные трансляции: Facebook, Twitter, ВКонтакте, LiveJournal, исходный RSS.

Источник: Google+ теги: google, facebook  |  обсудить  |  все отзывы (0)

««    «   131  |  132  |  133  |  134  |  135  |  136  |  137  |  138  |  139  |  140   »    »»

Предложить свою новость