Гугль запустил публичный DNS resolver
dl // 03.12.09 22:45
Обещаются скорость, безопасность и твердое следование стандартам.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/12/01.html]
Желающим приобщиться и перестать зависеть от своего провайдера и его политики достаточно прописать в своих сетевых настройках адреса DNS-серверов 8.8.8.8 и 8.8.4.4.

Помнится, не далее как в январе этого года Гугль мимоходом эффективно заблокировал весь веб пользователям FireFox. С DNS такое было бы еще проще - one ring, one ring.

Источник: Google Public DNS теги: google, dns, firefox  |  обсудить  |  все отзывы (1)

Удаленное замораживание Window 7 и Server 2008 R2
dl // 12.11.09 16:55
Laurent Gaffie, обнародовавший в сентябре информацию об уязвимости в SMBv2, все-таки дожал и финальные версии семерки и сервера.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/11/08.html]
Уязвимость по прежнему связана с SMB, причем может быть активизирована даже из IE. Система просто блокируется без каких-либо видимых симптомов типа BSoD.

Microsoft приступила к исследованию проблемы.

Источник: The Register, Laurent Gaffié blog теги: windows, dos, microsoft, server, уязвимости  |  обсудить  |  все отзывы (4)

Новый язык программирования от Google
dl // 11.11.09 11:59
Google вошла в клуб компаний, создавших свой язык программирования.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/11/07.html]
Новый язык Go родился как один из 20-процентных проектов (легендарные 20% рабочего времени, что гуглевские инженеры могут использовать на свои проекты) и был создан примерно за два года.

Честно говоря, чтение спецификации не слишком впечатляет. В синтаксисе, естественно, много приветов С с Явой, немного Паскаля, немного Питона. Заявлены быстрый компилятор, простота языка, поддержка многозадачности, сборка мусора, компиляция в нормальный бинарный код и т.п. С одной стороны, нет адресной арифметики, с другой, нет наследования (есть интерфейсы), шаблонов, исключений (в гугле вообще не любят исключения, насколько я помню).

Могу уверенно сказать, что, не родись Go в недрах Google, вряд ли бы его вообще кто-нибудь заметил. Очередная вариация на тему "мы тоже хотим сделать облагороженный C" - практически, высшая ступень любимого всеми программистами занятия по выпиливанию собственных библиотек и инструментов.

Источник: The Go Programming Language теги: google  |  обсудить  |  все отзывы (8)

Ноябрьские обновления от MS
dl // 10.11.09 21:36
На этот раз скромнее - всего 6, из которых три критических.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/11/06.html]
Критические: устранение удаленного исполнения кода в Web Services on Devices API, License Logging Server и в обработке шрифтов Embedded OpenType. Важные - DoS в службе Active Directory и удаленное исполнение кода в Excel и Word.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch, word, excel, server, dos  |  обсудить  |  все отзывы (0)

Серьезная уязвимость в SSL/TLS: и еще один привет 90-м
dl // 07.11.09 00:37
Еще одна серьезная уязвимость в одном из ключевых интернет-протоколов добралась до нас из прошлого века.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/11/05.html]
Исследователи из PhoneFactor обнаружили уязвимость в протоколе TLS, позволяющую вклиниться в устанавливаемое защищенное соединение. Проблема восходит к середине 90-х, когда была опубликована спецификация TLS, и носит принципиальный характер, не зависящий от реализации.

Точнее, основная проблема заключается в сочетании поведения SSL/TLS и работающего поверх него прикладного протокола HTTP. В спецификацию TLS заложена возможность повторной установки сессии любой стороной, что и позволяет злоумышленнику вклиниться в процесс установки соединения с сервером: задержать исходный пакет, установить соединение самостоятельно, после чего пропустить исходный пакет, что будет воспринято сервером как вполне легальное повторное соединение. На этом этапе серверу по-хорошему надо бы перезапросить сертификат, но прикладному уровню не очень интересно, что происходит там внизу. Таким образом атакующий оказывается в состоянии подсунуть в защищенную сессию некий дополнительный код (например, заголовки или значения каких-то полей, кук, или просто врезать в начало http-запроса команду GET с произвольным путем), который будет воспринят сервером как исходящий от легального пользователя.

Уязвимость была обнаружена в августе, в конце сентября основные производители SSL решений создали рабочую группу, задачей которой была выработка единого подхода к решению проблемы и разработка рекомендаций по снижению эффекта от уязвимости. В настоящее время разработчики OpenSSL и GNU TLS уже приступили к тестированию патчей, другие производители находятся на разных этапах работы.

Источник: The Register теги: ssl, retro, уязвимости  |  обсудить  |  все отзывы (0)

««    «   171  |  172  |  173  |  174  |  175  |  176  |  177  |  178  |  179  |  180   »    »»

Предложить свою новость