MS откроет код .NET
dl // 04.10.07 08:10
По словам одного из разработчиков, предполагается, что вместе с релизом VS 2008 и .NET 3.5 в целях упрощения отладки будет открыт для скачивания исходный код ключевых библиотек .NET.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/10/03.html]
Код будет доступен по лицензии Microsoft Reference License (MS-RL).

Источник: ScottGu's Blog теги: microsoft, .net  |  обсудить  |  все отзывы (0)

О защите текстов на вебе
dl // 04.10.07 00:18
Когда несколько месяцев назад litres.ru опубликовал свои планы по созданию веб-библиотек, дающих только читать книги (обычным броузером и в текстовом формате, заметьте) и блокирующих скачивание и копирование, большинство людей, сколько-то разбирающихся в устройстве веба, просто пожали плечами.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/10/02.html]
Однако ж проект был запущен и за остаток лета - начало осени в как бы защищенном виде были выложены книги нескольких популярных авторов. А очередная хвалебная статья о грамотном и своевременном открытии данного сервиса сподвигла меня посмотреть поближе, что ж там внутре.

Disclaimer: дальнейшие действия проводились не корысти ради, а токмо во имя спортивного интереса (выражаясь формально, в целях анализа стойкости предложенной защиты).

Внутре ж оказалась умеренно навороченная двухуровневая защита от начинающего пользователя. Первый уровень - набор функций на JavaScript, всячески мешающих копированию текста, например, путем сбрасывания выделения каждые 10 секунд (сам текст тоже выводится JS, так что его отключение ни к чему полезному не приведет). Обходится элементарно путем задания в каком-нибудь промежуточном фильтре типа AdMuncher'а правила, комментирующего первый вызов сбрасывающей выделение функции. Этого вполне достаточно для FireFox, для IE потребуется блокировка еще пары обработчиков событий.

Второй уровень запрятан получше и приводит к тому, что после copy/paste текста он оказывается разбавлен массой мусорных символов, приводящих к его полной нечитаемости. Причем скрипт, выводящий текст, имеет одноразовый url, вызывается из iframe с опять-таки одноразовым url, так что добраться до его исходников невооруженным глазом затруднительно (последующие прямые обращения просто ничего не отдадут). Хотя по-прежнему элементарно для человека, вооруженного любым анализатором http-пакетов (собственно говоря, при наличии такого анализатора отпадает и необходимость в copy/paste из окна броузера, разве что последний вариант чуть более комфортен).

Вставка мусора, проявляющегося только при копировании, реализована достаточно любопытно - мусорные символы вставляются с помощью блоков <span> со стилем, отключающим их видимость. Таким образом, при показе текста в окне броузер их игнорирует, но честно (и глупо) отдает в буфер обмена.

Итог - вся защита оказывается снятой с помощью двух коротеньких правил AdMuncher'а (аналогичный подарок могут сделать своим пользователям администраторы прокси-серверов). Строить библиотечный бизнес на таком хлипком фундаменте - не знаю, не знаю. С другой стороны, электронные версии книг продаются за столь смешные деньги, что у многих читателей поневоле возникает позыв отряхнуть со своих ног прах пиратского прошлого - приятно почувствовать себя добропорядочным гражданином за такие копейки. Так что психология тут срабатывает надежнее технических средств.

Update: как мне подсказывают, все еще проще - достаточно воспользоваться FFшным плагином ScrapBook.

теги: firefox, mozilla  |  обсудить  |  все отзывы (3)

CCH7
dl // 03.10.07 23:24
После прошлогодней обкатки направлений "Сети" и "Хак" организаторы Chaos Constructions созрели для их выделения в отдельный фестиваль Chaos Constructions HackAround, который и случится впервые в этом году с 29 ноября по 2 декабря в Санкт-Петербургском ЦВЗ "Манеж".
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/10/01.html]

В программе конкурсы, семинары, демонстрация видеоматерилов, экспозиция раритетной компьютерной техники. Предварительная регистрация обязательна.

Источник: сайт фестиваля теги: конференции  |  обсудить  |  все отзывы (0)

Перехват почты в GMail
dl // 26.09.07 15:35
Неутомимый Петко Петков на этот раз добрался до GMail.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/09/09.html]
Заманив жертву на свой сайт, атакующий может отправить специально сформированный POST-запрос к одному из интерфейсов GMail, что (если пользователь включил запоминание паролей либо в этот момент залогинен) приведет к установке в почтовом ящике жертвы произвольного фильтра, например, переправляющего всю входящую почту по указанному адресу. Разумеется, фильтр останется работать до тех пор, пока пользователь не соберется посмотреть список своих фильтров (что многие делают не слишком часто).

Детали уязвимости пока не публикуются, хотя воспроизвести ее не составит особого труда. Сама атака относится к классу так называемых CSRF (cross-site request forgery) и становится возможной в ситуациях, когда при обработке формы сайт забывает проверить, что ее сформировал именно он, а не какой-то внешний ресурс. Защита от них тривиальна - проверка referer, формирование и проверка уникального сессионного id формы.

Источник: GNUCitizen теги: уязвимости  |  обсудить  |  все отзывы (0)

Опасная уязвимость в Acrobat Reader
dl // 21.09.07 05:28
Петко Петков, обнародовавший на днях информацию об уязвимостях в QuickTime с FireFox и WMP с IE, не успокаивается на достигнутом.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/09/08.html]
На этот раз под раздачу попал Acrobat Reader. Полная компрометация пользовательской системы достигается простым открытием pdf-файла, либо веб-страницы, его включающей. Предположительно угрозе подвержены все актуальные версии.

Источник: InfoWorld теги: acrobat, firefox  |  обсудить  |  все отзывы (0)

««    «   231  |  232  |  233  |  234  |  235  |  236  |  237  |  238  |  239  |  240   »    »»

Предложить свою новость