DoS на SSL
dl // 26.10.11 17:15
Группа The Hackers Choice опубликовала инструмент, предназначенный для проведения атак на SSL-серверы.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/10/10.html]
Судя по всему, используется классическая схема исчерпания ресурсов, при которой сервер бомбится незавершенными хэндшейками. Утверждается, что с учетом существенно большей трудоемкости установления SSL-соединения со стороны сервера простой ноутбук на DSL-соединении может положить сервер на 30-гигабитном линке.

Данная реализация атаки ориентирована на включенный SSL-Renegotiation, но заявляется, что его отключение не является панацеей, поскольку атака может быть модифицирована. Из чего делается вывод, что решения, устраняющего проблему при сохранении привычной функциональности пока фактически не существует.

С последним моментом лично мне не все понятно. Атаки, построенные по данной схеме, давно известны и могут быть реализованы практически для любого протокола с хэндшейком и подобным перекосом в затратах на коннект. Давно известны и способы борьбы - выставление более жестких таймаутов, аккуратная очистка "залипших" сессий, ограничение на количество коннектов с одного клиента.

Так что проблема - да, реальна. Неразрешима - сомневаюсь. Вот вылетит в ближайшие дни gmail с facebook'ом, тогда поверю :)

Источник: The Hackers Choice теги: dos, facebook  |  обсудить  |  все отзывы (0)

Умер Джон Маккарти
dl // 25.10.11 11:31
Джон Маккарти, создавший первый язык функционального программирования LISP и предложивший само понятие "Artificial Intelligence", умер в возрасте 84 лет.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/10/09.html]

LISP и C - два краеугольных камня, на которых выстроено здание современного программирования, демонстрирующие при этом два диаметрально противоположных подхода к решению задач (это ведь тоже все отсюда: "программисты на Лиспе знают, насколько важно управление памятью, и поэтому не могут отдать его пользователю; программисты на С тоже знают, насколько важно управление памятью, и поэтому не могут оставить его системе"). Маккарти, автор первого, и Ритчи, автор второго, - многовато для одного месяца.

Источник: The Register теги: rip  |  обсудить  |  все отзывы (3)

Вскрытие iPad магнитом, а iPhone - голосом
dl // 21.10.11 11:29
Забавно совпавшая пара новостей про обход запароленного экрана блокировки на iPhone 4S и iPad 2.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/10/08.html]

В первом случае блокировку удается обойти с помощью средства голосового управления Siri - оказывается, по умолчанию настройки позволяют использовать ее в довольно приличном объеме (разве что без запуска приложений) и на заблокированном устройстве. Лечится настройкой - хотя понятно, что это лишь обратная сторона удобства, иначе люди, использующие пароль на блокировке, просто потеряют все преимущества голосового управления.

Во втором случае обойти блокировку позволяет простое закрытие/открытие Smart Cover на экране выключения планшета (обход не полный, блокировка со Springboard практически безопасна, в отличие от блокировки из отдельных приложений). Разумеется, вместо Smart Cover подойдет любой магнит. Пока лечится лишь вырабатыванием привычки выходить из активной программы перед блокировкой.

Источник: cnet, iphones.ru теги: apple  |  обсудить  |  все отзывы (0)

Взлом 180 тысяч ASP.Net сайтов через sql-инъекции
dl // 21.10.11 00:22
Согласно исследователям из Armorize, взломщикам удалось с помощью классической атаки класса SQL injection внедрить на 180 тысяч сайтов с ASP.Net код на JavaScript, подгружающий iframe с одного из двух внешних сайтов (один американский, другой русский).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/10/07.html]
Ну а там уже пользователей с устаревшими браузерами либо непропатченными Adobe Reader, Adobe Flash или Java ждали с распростертыми объятиями. Любопытно, что атака проводилась лишь на пользователей со следующими дефолтовыми языками: English, French, German, Italian, Polish, Breton.

Источник: InfoWorld теги: .net, sql injection  |  обсудить  |  все отзывы (0)

Adobe опять придется чинить подсматривающие камеры на Маках
dl // 21.10.11 00:03
Три года назад Adobe подарила миру новый класс атак, получивший название clickjacking - положив swf-файл в iframe, атакующий сайт мог получить доступ к веб-камере и микрофону жертвы.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/10/06.html]

Тогда Adobe обошла проблему, добавив в панель управления Flash код, препятствующий ее размещению в iframe. И вот сейчас выяснилось, что на маковских Firefox и Safari небольшая игра с CSS позволяет обмануть пользователя, скрыв эту панель под чем-нибудь относительно невинным.

Adobe обещает исправить уязвимость в ближайшее время - поскольку код панели целиком и полностью загружается с ее серверов, пользователям даже не придется ничего обновлять.

Источник: The Register теги: adobe, flash  |  обсудить  |  все отзывы (0)

««    «   131  |  132  |  133  |  134  |  135  |  136  |  137  |  138  |  139  |  140   »    »»

Предложить свою новость