BugTraq.Ru: RSN

Russian Security Newsline
Хотите установить RSN на своем сайте?

И еще одна дырка в ключевом интернет-протоколе
dl // 02.10.08 11:25
Этот год оказался урожайным на принципиальные уязвимости, заложенные отцами-основателями в ключевые сетевые протоколы.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/10/01.html]
На сей раз очередь дошла до протокола TCP и нового класса DoS-атак, которые способны при небольшой толщине канала атакующего эффективно парализовать сервер либо маршрутизатор, причем эффект сохраняется и после окончания воздействия (поскольку в системе жертвы просто заканчиваются ресурсы и она уходит в себя).

Роберт Ли (Robert E. Lee), руководитель подразделения безопасности шведской компании Outpost24, сообщил, что он и его коллега Джек Луис (Jack Louis) обнаружили уязвимость еще в 2005, но решили придержать информацию в надежде обнаружить обходные пути. Однако, окончательно упершись лбом в стенку, они решили обнародовать эти сведения. В течение последнего месяца были проинформированы основные производители операционных систем, маршрутизаторов и межсетевых экранов. В настоящее время не существует реализации TCP-стека, свободного от данной уязвимости (проверено было 15 реализаций).

К сожалению, пока не нашлось приемлемого решения проблемы, за исключением полного запрета анонимных соединений, что полностью неприемлемо для большинства приложений. Впрочем, окончательно впадать в панику еще рановато - детали уязвимости еще не обнародованы, и независимого подтверждения не было. Все, что говорят другие эксперты - "да, это может оказаться серьезным".

Источник: The Register
теги: dos, уязвимости, retro | обсудить | все отзывы (21)

ВАКовский журнал допустил к публикации сгенерированную статью
dl // 30.09.08 22:23
"Журнал научных публикаций аспирантов и докторантов", входящий в список рецензируемых журналов, рекомендованных ВАК для опубликования основных научных результатов кандидатских и докторских диссертаций, опубликовал статью "Корчеватель: алгоритм типичной унификации точек доступа и избыточности", изначальный текст которой был подготовлен генератором псевдонаучных текстов SCIgen и переведен на русский язык с помощью автоматического переводчика (!) журналистами научной газеты "Троицкий вариант".
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/09/10.html]

Что особенно радует, у рецензента возникли замечания лишь к стилю изложения, актуальность же и научная новизна этого бреда получили самые высокие оценки. После небольшой переработки статья была принята к публикации.

С одной стороны, понять (но не простить) рецензента можно - опыт прослушивания защит дипломов, кандидатских и всяких выступлений на СНО показывает, что подрастающее научное поколение и без всяких генераторов порой несет такую пургу, что порой проще отключить мозг и оценивать по формальным признакам (кто его знает, может парень действительно что-то толковое сделал, раз уж добрался сюда, просто изложить членораздельно не умеет). Но все же количество бреда в упомянутой статье просто зашкаливает, да и количество калек с американского английского должно было насторожить. Впрочем, условие "Публикация осуществляется за счет средств авторов", видимо, добавляет снисходительности. Прочие тексты там тоже вполне классические, отраслевая наука на марше.

Источник: Полит.Ру
обсудить | все отзывы (5)

Проблемы в Ринете
dl // 30.09.08 21:21
В офисе московского провайдера RiNet опечатана и отключена (по другим сведениям, изъята) часть серверов.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/09/09.html]
Предположительно проблемы связаны с уголовным делом на одного из пользователей, и доблестные органы не нашли ничего лучшего, как фактически блокировать работу всего провайдера в целях получения доступа к статистике. Чуть позже подоспела информация, что серверы уже возвращены на место, но нормальная работа еще не возобновлена. По окончательной информации от провайдера, функционирование опорной сети удалось восстановить к 02:00 01.10.2008.

Источник: Roem.ru
обсудить | все отзывы (4)

HighLoad++ - программа конференции
dl // 30.09.08 17:33
Разработчики высоконагруженных интернет-проектов определились с программой конференции HighLoad++, которая пройдет 6 и 7 октября в конференц-центре Инфопространство, Москва.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/09/08.html]
Из заслуживающего особого внимания:

Алексей Рыбак и Сергей Скворцов расскажут о том, чем архитектура высоконагруженного проекта отличается от архитектуры обычного сайта. Оба - профессионалы, ежедневно работающие с посещаемостью в миллионы пользователей в день.

Будут рассмотрены примеры конкретных проектов и их внутреннее устройство (крупные сайты, поисковые системы, онлайн-игры, баннерные сети). Об архитектуре популярного на западе стартапа MyYearBook.com расскажет Гевин Рой в докладе "Масштабирование PostgreSQL: огонь и медные трубы", а Александр Румянцев прочитает доклад "Архитектура Бегуна: Обеспечение High Load & High Availability".

Отдельный разговор пойдет об инструментах, которые архитекторы высоконагруженных систем могут использовать в своей работе - отличный доклад про memcached от Андрея Смирнова и планируемый доклад про разработку модулей для nginx от Валерия Холодкова.

Два доклада предложила компания Mail.ru: об архитектуре серверной части Mail.ru Агента (Игорь Ермаков) и архитектуре рекламной сети (Александр Быков). Компании РБК и РБК/Медиамир представляют 4 блиц-доклада и доклад о нагрузочном тестировании ядра высоконагруженной системы (Полина Зубарева). Компания Рамблер расскажет о своих разработках, применяемых в поисковом движке: протокол Thrift (Александр Шигин) и система хранения HCS (Павел Уваров).

Системам хранения и СУБД посвящена практически четверть времени. Ожидается рассказ об архитектуре MySQL-кластера (Григорий Рубцов), о масштабировании InnoDB (Петр Зайцев), о разработке TimesTen от Oracle и об использовании PostgreSQL в компании Skype (Аско Оя). Не всегда классические СУБД являются оптимальными для хранения данных в веб-проекте - этому посвящены доклад от компании SUP (Хранение реляционно слабосвязанных данных, Илья Космодемьянский) и выступление "Хранение и быстрая отдача миллионов уникальных объектов" Александра Панкова.

Видимо, одна из самых интересных секций HighLoad++ включает доклады на смежные с высокими нагрузками темы - именно отсюда можно ожидать притока свежих идей: использование аппаратных решений, файловая система ZFS, Erlang, Samba, системы обмена сообщениями на примере Spread Toolkit, IPTV, телеком и хостинг и сервисы Amazon'а.

Тезисы этих и других докладов уже доступны на сайте конференции.

Источник: HighLoad++
теги: skype, конференции, nginx, mysql | обсудить | все отзывы (0)

Adobe открыла дорогу к халявному видео на Amazone
dl // 29.09.08 21:21
Уязвимость (точнее, особенности реализации) Adobe Flash Media Streaming Server, отвечающего за трансляцию онлайнового потокового видео, дает возможность пользователям бесплатно скачивать видео из амазоновской службы Video On Demand.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/09/07.html]

В штатном режиме пользователи этого сервиса имеют возможность бесплатно посмотреть первые две минуты фильма/передачи, после чего заплатить четыре доллара за просмотр в течение ближайших суток, либо пятнадцать за полноценное скачивание. Однако выяснилось, что после двух тестовых минут видеопоток просто ставится на паузу - сервер посылает соответствующую команду плейеру, реализованному на Flash. Соответственно, если найдется плейер, игнорирующий эту команду, он спокойно закачает весь фильм - такой ерундой, как шифрование контента, адобовский сервер себе голову не забивает.

По мнению Брюса Шнейера, речь идет о фундаментальной ошибке в проектировании - "система просто была по-дурацки спроектирована". Недавно Adobe выпустила бюллетень, в котором описывались способы более надежной защиты контента и верификации плейера, однако уже нашлась как минимум одна программа, успешно обходящая все эти ограничения и спокойно записывающая онлайновое видео.

Кстати, не особо надежно работает и схема зарабатывания на рекламе, которую предпочитают такие службы как Hulu.com, NBC.com и CBS.com - софт для захвата прекрасно с этим справляется, аккуратно раскладывая рекламу и нормальный контент по разным папкам. Так что вещателям остается надеяться лишь на то, что все эти манипуляции окажутся слишком сложными для рядовых пользователей.

Источник: eWeek
теги: adobe, flash, server | обсудить | все отзывы (0)

«« « 201 | 202 | 203 | 204 | 205 | 206 | 207 | 208 | 209 | 210 » »»

Предложить свою новость