Google выпустила образцово-дырявое веб-приложение
dl // 06.05.10 01:17
Google анонсировала Jarlsberg - образцово-показательный пример того, как не нужно писать веб-приложения.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/05/04.html]
На примере небольшой системы для микроблоггинга продемонстрированы основные уязвимости, которые могут быть найдены в веб-приложениях, от XSS до DoS и удаленного исполнения кода.

Любой желающий может поиграть с персональной копией Jarlsberg, запущенной в отдельной песочнице, почувствовав себя в шкуре настоящего взломщика. Все заложенные в него уязвимости описаны и сгруппированы по типам, даются подсказки по их обнаружению. Кроме того, открыты и исходные тексты, доступ к которым необходим для обнаружения части уязвимостей.

Предполагается, что веб-программисты, наигравшись в хакеров, в результате научатся избегать подобных ошибок в своем коде.

Источник: Jarlsberg теги: google  |  обсудить  |  все отзывы (0)

Баг в Facebook позволял подсматривать чужие чаты
dl // 06.05.10 01:04
Недавно появившаяся в Facebook функция просмотра того, как профиль пользователя выглядит со стороны, в течение некоторого времени позволяла просматривать содержимое чатов своих друзей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/05/03.html]
Вскоре после обнародования чаты были закрыты, а Facebook пообещала открыть их сразу после исправления ошибки. Сейчас, похоже, уже все заработало в нормальном режиме.

Источник: The Register теги: facebook  |  обсудить  |  все отзывы (0)

DevConf 2010
dl // 03.05.10 16:45
17-18 мая в Москве в выставочном центре Крокус-Экспо пройдет конференция для профессиональных web-разработчиков DEVCONF 2010.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/05/02.html]
Конференция родилась как развитие конференций серии PhpConf, но на этот раз у организаторов возникла идея объединить под одной крышей несколько ведущих языков веб-разработки (php, perl, python, ruby on rails, ASP и т.д.).

Навскидку темы нескольких докладов из основных секций:

PHP:

• Как в Badoo на PHP5 перешли - апгрейд в большой системе на 50 миллионов пользователей
• Пора ли отправлять С на свалку истории? Пишем демонов на PHP с использованием расширения libevent
• В ожидании PostgreSQL 9.0

Perl:

• Мифы Perl
• Динамические возможности языка Perl
• Вторая жизнь CGI-скриптов

Python:

• Разработка cетевых приложений с gevent
• Расширение механизма импорта в Питоне
• Python и Cython

Ruby:

• "Community Engine" или как сделать социальную сеть за 15 минут
• Rubinius - Ruby, написанный на Ruby
• Оптимизация ruby on rails проектов

ASP.NET:

• What’s New in ASP.NET 4 Web Forms
• Использование Dynamic Data на практике
• Разработка мобильных сайтов на ASP.NET MVC 2 в Visual Studio 2010

Источник: DevConf 2010 теги: конференции  |  обсудить  |  все отзывы (0)

Windows пора обзавестись встроенным pdf-вьювером
dl // 03.05.10 16:25
Так считает Шон Салливан (Sean Sullivan), советник по безопасности антивирусной фирмы F-Secure.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/05/01.html]
С учетом того, что атаки на pdf-уязвимости уверенно вышли на первое место, а Adobe явно не справляется с их латанием, для пользователей было бы гораздо полезнее и безопаснее иметь базовое средство просмотра, лишенное многочисленных рюшек, javascript'а и т.п.

С учетом того, что спецификация PDF уже несколько лет как полностью открыта и свободна от лицензионных отчислений, в этом нет ничего невозможного - включает же последний Office средства сохранения в pdf, закрывая потребности большинства пользователей в использовании "большого" Acrobat'а.

Впрочем, даже если MS прислушается к этим словам, или Adobe выпустит какой-нибудь Reader Lite с минимальной функциональностью, это не закроет проблему существующего парка дырявых систем, радикально обновить который вряд ли получится в ближайшее время.

Источник: InfoWorld теги: adobe  |  обсудить  |  все отзывы (14)

McAfee заблокировала svchost.exe
dl // 22.04.10 01:04
McAfee продолжает свою традицию регулярного убивания пользовательских систем из-за ложного срабатывания.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/04/09.html]
На этот раз после получения обновления DAT 5958 для VirusScan Enterprise пострадали пользователи XP - один из ключевых системных компонентов svchost.exe стал распознаваться как зараженный, в результате чего система влетает в бесконечный цикл перезагрузок.

Источник: The Register теги: mcafee  |  обсудить  |  все отзывы (2)

««    «   161  |  162  |  163  |  164  |  165  |  166  |  167  |  168  |  169  |  170   »    »»

Предложить свою новость