BugTraq.Ru: RSN

Russian Security Newsline
Хотите установить RSN на своем сайте?

Google выпустила образцово-дырявое веб-приложение
dl // 06.05.10 01:17
Google анонсировала Jarlsberg - образцово-показательный пример того, как не нужно писать веб-приложения.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/05/04.html]
На примере небольшой системы для микроблоггинга продемонстрированы основные уязвимости, которые могут быть найдены в веб-приложениях, от XSS до DoS и удаленного исполнения кода.

Любой желающий может поиграть с персональной копией Jarlsberg, запущенной в отдельной песочнице, почувствовав себя в шкуре настоящего взломщика. Все заложенные в него уязвимости описаны и сгруппированы по типам, даются подсказки по их обнаружению. Кроме того, открыты и исходные тексты, доступ к которым необходим для обнаружения части уязвимостей.

Предполагается, что веб-программисты, наигравшись в хакеров, в результате научатся избегать подобных ошибок в своем коде.

Источник: Jarlsberg
теги: google | обсудить | все отзывы (0)

Баг в Facebook позволял подсматривать чужие чаты
dl // 06.05.10 01:04
Недавно появившаяся в Facebook функция просмотра того, как профиль пользователя выглядит со стороны, в течение некоторого времени позволяла просматривать содержимое чатов своих друзей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/05/03.html]
Вскоре после обнародования чаты были закрыты, а Facebook пообещала открыть их сразу после исправления ошибки. Сейчас, похоже, уже все заработало в нормальном режиме.

Источник: The Register
теги: facebook | обсудить | все отзывы (0)

DevConf 2010
dl // 03.05.10 16:45
17-18 мая в Москве в выставочном центре Крокус-Экспо пройдет конференция для профессиональных web-разработчиков DEVCONF 2010.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/05/02.html]
Конференция родилась как развитие конференций серии PhpConf, но на этот раз у организаторов возникла идея объединить под одной крышей несколько ведущих языков веб-разработки (php, perl, python, ruby on rails, ASP и т.д.).

Навскидку темы нескольких докладов из основных секций:

PHP:

Как в Badoo на PHP5 перешли - апгрейд в большой системе на 50 миллионов пользователей
Пора ли отправлять С на свалку истории? Пишем демонов на PHP с использованием расширения libevent
В ожидании PostgreSQL 9.0

Perl:

Мифы Perl
Динамические возможности языка Perl
Вторая жизнь CGI-скриптов

Python:

Разработка cетевых приложений с gevent
Расширение механизма импорта в Питоне
Python и Cython

Ruby:

"Community Engine" или как сделать социальную сеть за 15 минут
Rubinius - Ruby, написанный на Ruby
Оптимизация ruby on rails проектов

ASP.NET:

What’s New in ASP.NET 4 Web Forms
Использование Dynamic Data на практике
Разработка мобильных сайтов на ASP.NET MVC 2 в Visual Studio 2010

Источник: DevConf 2010
теги: конференции | обсудить | все отзывы (0)

Windows пора обзавестись встроенным pdf-вьювером
dl // 03.05.10 16:25
Так считает Шон Салливан (Sean Sullivan), советник по безопасности антивирусной фирмы F-Secure.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/05/01.html]
С учетом того, что атаки на pdf-уязвимости уверенно вышли на первое место, а Adobe явно не справляется с их латанием, для пользователей было бы гораздо полезнее и безопаснее иметь базовое средство просмотра, лишенное многочисленных рюшек, javascript'а и т.п.

С учетом того, что спецификация PDF уже несколько лет как полностью открыта и свободна от лицензионных отчислений, в этом нет ничего невозможного - включает же последний Office средства сохранения в pdf, закрывая потребности большинства пользователей в использовании "большого" Acrobat'а.

Впрочем, даже если MS прислушается к этим словам, или Adobe выпустит какой-нибудь Reader Lite с минимальной функциональностью, это не закроет проблему существующего парка дырявых систем, радикально обновить который вряд ли получится в ближайшее время.

Источник: InfoWorld
теги: adobe | обсудить | все отзывы (14)

McAfee заблокировала svchost.exe
dl // 22.04.10 01:04
McAfee продолжает свою традицию регулярного убивания пользовательских систем из-за ложного срабатывания.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/04/09.html]
На этот раз после получения обновления DAT 5958 для VirusScan Enterprise пострадали пользователи XP - один из ключевых системных компонентов svchost.exe стал распознаваться как зараженный, в результате чего система влетает в бесконечный цикл перезагрузок.

Источник: The Register
теги: mcafee | обсудить | все отзывы (2)

«« « 161 | 162 | 163 | 164 | 165 | 166 | 167 | 168 | 169 | 170 » »»

Предложить свою новость