FireFox избавится от потенциальной уязвимости десятилетней давности
dl // 06.04.10 01:21
Разработчики FireFox планируют прикрыть потенциальную уязвимость, которой подвержены все основные браузеры по крайней мере в течение десятка лет, и которая дает возможность получить доступ к глобальному списку посещенных сайтов.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/04/03.html]
Mozilla классифицировала это как баг по крайней мере с 2002 года.

Проблема затрагивает обработку CSS-стиля :visited, отвечающего за работу с посещенными ссылками, и настолько тесно связана с механизмом отображения страниц, что программисты просто не представляли, как с ней справиться, не поломав ключевую функциональность.

Теперь же обещано устранение проблемы путем, не приносящим в жертву юзабилити. Некоторые сайты, возможно, будут выглядеть немного по-другому, но посещенные ссылки все-таки будут другого цвета. Могут пострадать сайты, пытающиеся выделять посещенные ссылки не только цветом.

Впрочем, некоторые эксперты считают, что данное решение не полностью устранит проблему, а лишь усложнит ее использование, хотя и называют это шагом в правильном направлении.

Источник: The Register теги: firefox, retro  |  обсудить  |  все отзывы (0)

РИТ++ / 2010: программа конференции
dl // 05.04.10 00:02
Определилась программа профессиональной конференции веб-разработчиков "Российские интернет-технологии 2010", которая пройдет с 12 по 14 апреля в Москве в конференц-центре "ИнфоПространство".
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/04/02.html]

В этом году в рамках большой конференции РИТ++ / 2010 пройдут несколько профессиональных тематических мероприятий, в том числе конференция для системных администраторов RootConf, perl-конференция MayPerl, конференции AgileDays, RailsClub и другие. Ожидается 4 параллельных потока с докладами, мастер-классами и лекциями от лучших специалистов в своих областях.

Традиционно для обмена опытом на конференцию веб-разработчиков РИТ++ приезжают западные докладчики, в этом году свое участие уже подтвердили Алекс Могилевский - Microsoft, один из архитекторов Internet Explorer, Патрик Мишо - архитектор компилятора Perl 6 Rakudo и Патрик Лауке - успешный веб-разработчик, специалист по веб-стандартам, доступности и открытым форматам, веб-евангелист в компании Opera Software.

Всего на конференцию было подано более 150 заявок, из которых программные комитеты, в состав которых входят известные и признанные специалисты Рунета, выбрали лучшее.

Несколько примеров того, что зацепило мой отчасти пристрастный взгляд:

RootConf:

• Виртуализационный бум, о чем молчат вендоры / Денис Гундарев;
• Секреты использования Windows VPS хостинга / Марк Тептерёв (McHost);
• Дата-центр своими руками: best practices / Максим Климко;
• Принципы балансировки / Алексей Бажин (Mail.ru);
• Реальный опыт использования облачного хостинга для высокопосещаемых сайтов / Евгений Потапов (Сумма АйТи);
• Альтернативы Active Directory в мире UNIX / Филипп Торчинский (Sun);
• Связность, вопросы и ответы / Дмитрий Вагин (Филанко);
• Персональные данные в WEB / Андрей Копейко (RU-CENTER);
• Управление кластером Unix/FreeBSD без cfengine и puppet / Андрей Пантюхин;

Серверное программирование:

• Rakudo Perl 6 / Джонатан Вортингтон;
• AnyEvent: Highload from scratch, now! (Высоконагруженные приложения на скорую руку) / Владимир Перепелица (Rambler);
• Разработка через рефакторинг / Яков Сироткин;
• Разработка эффективных и масштабируемых серверных приложений на C/C++ с использованием Windows ThreadPool API ; Владимир Малашенко (Microsoft);
• Erlyvideo — создание видеостримингового сервера на erlang / Максим Лапшин;
• Система расчета репутаций пользователей социальных сетей / Владимир Бобриков (Imhonet);

Технологии будущего:

• WebSockets / Евгений Лисицкий (Спорт Сегодня);
• Технологии Яндекс.Пробок / Михаил Левин (Яндекс);

Источник: РИТ++ / 2010 теги: конференции  |  обсудить  |  все отзывы (0)

Атака через PDF, не требующая особых уязвимостей
dl // 01.04.10 12:34
Дидье Стивенс (Didier Stevens) продемонстрировал возможность частичного управления сообщением, которое выдает Adobe Reader при запуске включенного в pdf исполняемого файла (в принципе, Reader не дает запускать включенные exe-файлы, но нашелся способ обойти и это).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/04/01.html]
Предупреждение выводится в текстовое поле высотой всего в три строки, и у создателя pdf-файла есть возможность добавить к тексту сообщения достаточно строк, чтобы пользователь увидел лишь их, ну а дальше за дело принимается старая добрая социальная инженерия. Все, что используется при подобной атаке - вполне штатные средства PDF, запрет JavaScript никак на нее не влияет. По словам Стивенса, у Foxit Reader дела еще хуже - он вообще не выдает предупреждений о запуске, хотя данный конкретный пример на нем пока и не удалось завести.

Источник: The Register, Didier Stevens blog теги: acrobat  |  обсудить  |  все отзывы (2)

Изъяты серверы еще одной веб-компании
dl // 31.03.10 10:47
На этот раз под раздачу попало ООО "Овермобайл", занимающееся разработкой онлайн-игр.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/03/11.html]
На ее сервере Glammy.ru неустановленное лицо разместило порнографические материалы (необычная штука для сервера знакомств, да). Как и в случае с Агавой, несмотря на предоставление полной информации о тех самых неустановленных лицах, сотрудники новосибирского УВД предпочли изъять все серверы компании, включая и совершенно не относящиеся к делу. Например, на одном была размещена популярная (ну, наверное) онлайн-игра "Варвары". Кроме того, были изъяты офисные и личные компьютеры компании, что выглядит совсем уж беспредельно.

Источник: Habrababr обсудить  |  все отзывы (2)

Тривиальная ошибка в iPhone-приложении привела к утечке массы личных фотографий
dl // 31.03.10 00:16
Популярное приложение Quip позволяет пользователям iPhone бесплатно обмениваться фотографиями, не тратясь на дорогие MMS.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/03/10.html]
Однако у халявы оказалась обратная сторона - реализован обмен был в отличном стиле, при каждой подобной операции фотография выкладывалась на веб-сервер, получая имя из всего лишь пяти случайных букв и цифр. Мало того, что эти адреса было элементарно подобрать, они еще и не были закрыты от поисковиков, так что их часть просто попала в гуглевский индекс.

Собственно говоря, факт того, что фотографии передаются совершенно открыто, был известен уже несколько месяцев. Но никто на это не обращал особого внимания, пока пару дней назад эту информацию не опубликовали в очередной раз на reddit.com, снабдив на этот раз разжеванной инструкцией по вытаскиванию фото. Ну а дальше все пошло по нарастающей - разумеется, уже появился сайт с аккуратной подборкой обнаруженных фото, включая, мягко говоря, очень личные.

Пока авторы программы срочно отрубили свои серверы, пообещав вернуться после исправления проблемы. Даже интересно, какая волна исков от разгневанных пользователей накроет их после этого.

Источник: ZDNet, Quip Text pictures leaked теги: iphone  |  обсудить  |  все отзывы (7)

««    «   161  |  162  |  163  |  164  |  165  |  166  |  167  |  168  |  169  |  170   »    »»

Предложить свою новость