Доказана критичность уязвимости в Safari для Windows

Всё-таки как можно переставить всё с ног на голову… Прочитал сегодня статью на CNews.com; она небольшая, привожу полностью:

Исследователь безопасности разработал сайт, наглядно демонстрирующий риск, с которым сталкиваются пользователи при использовании браузера от Apple.

ИБ-команда уже предупредила, что «смешанная угроза» настолько серьезна, что пользователям Windows следует ограничить использование Safari до тех пор, пока не выйдет патч. В своем блоге исследователь Лю Ди Ю (Liu Die Yu) показал, что это предупреждение не было преувеличением.

При клике по указанной исследователем ссылке в Safari с настройками по умолчанию на рабочий стол пользователя Windows загружается файл-ловушка. В следующий раз, когда пользователь открывает Internet Explorer, файл автоматически запускает notepad.exe и открывает несуществующий файл. Разумеется, злоумышленники могут найти менее безобидное применение данной уязвимости, пишет The Register.

По словам Apple, не является критической. Эта демонстрация свидетельствует об обратном.

Далее »

Автор: , опубликовано в: Windows, Безопасность, комментариев: 5
15
Июн
2008

Скажи «Нет!» взломщику

Устав от того, что ко мне на компьютер ломятся всякие придурки юные кулхацкеры, я решил принять меры.

Товарищи кулхацкеры лезут в систему с трёх сторон:

  1. Путем подбора пароля на SSH.
  2. Путем подбора пароля на FTP.
  3. Пытаясь использовать компьютер в качестве релея (это уже спамеры).

Есть и другие поползновения (например, попытки достучаться до MySQL, к которому снаружи добраться в принципе невозможно; или пытаясь навести «злобные пинги»), но три вышеописанных метода меня раздражают больше всего.

Стратегия защиты: Далее »

Автор: , опубликовано в: Безопасность, комментариев: 15
14
Июн
2008

WP Secure Admin

Небольшой для любителей HTTPS — помещает панель управления (админку, если по-русски) за HTTPS. Shane, специально для тебя! :-)

Возможно, кому-нибудь даже пригодится. Скачать WP Secure Admin.

Update: специальный бонус: плагин WP Secure Login — безопасный логин/регистрация/восстановление пароля. Скачать WP Secure Login.

Автор: , опубликовано в: Плагины WordPress, комментариев: 2
11
Июн
2008

Криптография, C++ и безопасное освобождение памяти

Разбираясь с деталями реализации распределителей памяти (allocator) в C++, я решил вспомнить своё криптографическое прошлое :-) Не в том плане, что я эксперт в криптографии, а в том, что приходилось читать соответствующую литературу (до сих порэтот гигабайт на винте валяется), разбираться с ней, анализировать алгоритмы, оценивать их с точки зрения безопасности и в том же духе. Но это не важно. Разбираясь с деталями реализации, я вспомнил интересную статью Питера Гутмана, «Secure Deletion of Data from Magnetic and Solid-State Memory». Еще в то время, когда я этим всем активно занимался и читал, мне в голову прочно врезалась фраза, смысл которой сводился к тому, что очень немногие криптографические библиотеки действительно заботятся о конфиденциальности чувствительной информации (например, ключи шифрования). Ведь информацию можно «вытащить» и из памяти выключенного компьютера; или с жесткого диска, даже если информация была переписана. Всех, кому интересна практическая реализация восстановления информации, отсылаю к статье Питера Гутмана (ссылка приведена выше).

Итак, сегодня выдалось очень подходящее настроение для копания в чужом C++ коде. Вот что из этого получилось. Далее »

Автор: , опубликовано в: C/C++, Безопасность, комментариев: 3
21
Май
2008

Защищено: Уязвимости oDesk

Эта запись защищена паролем. Для её просмотра введите, пожалуйста, пароль:


Автор: , опубликовано в: Безопасность, комментариев: Введите пароль для просмотра комментариев.
10
Апр
2008

Режимы шифрования данных, или, когда сильный шифр не спасает

Почему-то каждый третий мнит себя экспертом по безопасности, пишет "безопасные" программы для шифрования данных, но даже не подозревает, что существуют и другие режимы шифрования, кроме известного как ECB. И этим грешат не только студенты в своих дипломных работах (головы бы поотрывал их научрукам за такое), но и "серьёзные" разработчики.

Например, программист на сайте uk-swingers.com шифровал номера кредитных карточек (!), используя простой алгоритм RC4 и постоянный ключ. Ломалось очень просто. К счастью, уже исправлено :-) Другие товарищи использовали сложение по модулю два для шифрования важных данных. Третий товарищ защитил диплом по безопасности, и секретной базы данных опять-таки выполнялось по модулю два. Четвертый шифровал AES'ом тонны информации (в режиме , разумеется), при этом не потрудившись даже ее сжать. Этот печальный список можно продолжать и продолжать…

Я решил провести наглядный эксперимент, чтобы выяснить, насколько эффективны различные алгоритмы шифрования в различных режимах работы. Далее »

Автор: , опубликовано в: C/C++, HTML, Безопасность, комментариев: 2
19
Мар
2008

Безопасность, о которой все так много говорят…

Специалисты по безопасности, пожалуй, всем уже проели плешь, говоря о том, что все данные, приходящие от пользователя, нужно тщательно проверять… Казалось бы, "азбучные истины", этому должны учить в школе :-) . Мне стало интересно: а многие ли сайты действительно защищены? Далее »

Автор: , опубликовано в: Безопасность, комментариев: 12
11
Мар
2008

Интернет-провайдер: как не надо делать

Приветстую постоянных и не очень читателей блога моего хорошего товарища Владимира. Меня зовут Евгений, и сегодня я расскажу вам об ужасающей халатности одного из провайдеров Украины и, в частности, Севастополя. Но сначала немного истории. Далее »

Автор: , опубликовано в: Безопасность, комментариев: 1
22
Фев
2008
«