Pull to refresh

Новый API для мобильной версии Google Chrome подвергли критике за нарушение конфиденциальности

Information Security *Google API *Google Cloud Vision API *IT-companies
image

Разработка Google Chrome столкнулась с критикой из-за нового API — getInstalledRelatedApps. По мнению экспертов, он может серьезно повлиять на конфиденциальность данных пользователей.

API getInstalledRelatedApps разрабатывают с 2015 года. В Chrome 59 его внедрили в качестве эксперимента. API позволяет разработчикам определить, установлено ли их приложение на устройстве пользователя и, к примеру, избежать выведения одного уведомления дважды.

Эксперты, однако, указывают, что getInstalledRelatedApps спроектирован, скорее, в интересах девелоперов, а при некорректном использовании несет угрозу для безопасности и конфиденциальности данных пользователей. Если владелец ресурса с помощью getInstalledRelatedApps вычислит, какие приложения установлены на устройстве, то сможет использовать эту информацию в своих целях. Еще большая угроза заключается в том, что злоумышленники при получении такой информации смогут формировать целевые фишинговые письма или взламывать устройство через уязвимости в приложениях.
Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Views 4.3K
Comments 2

27 августа приглашаем на онлайн-митап Hot Frontend

Information Security *Website development *VK API *Conferences Game design *
Всем привет! В июле мы провели в Краснодаре первый митап по Backend-технологиям – а теперь самое время обсудить Frontend. Приглашаем на онлайн-митап с разработчиками SimbirSoft. Как всегда, участие бесплатное, а за самые интересные вопросы спикеры подарят полезные подарки.

Читать дальше →
Total votes 3: ↑3 and ↓0 +3
Views 1.2K
Comments 0

Вебинар DataLine «Защита веб-приложений: как это нужно делать сегодня» 26 ноября

DataLine corporate blog Information Security *Website development *Cloud services *


Если у вас есть сайт, его будут атаковать. И не всегда так, как вы думаете. 

На вебинаре 26 ноября мы поговорим о самых распространенных угрозах для сайтов и о том, как подходить к защите веб-приложений комплексно.

С каждым годом методы злоумышленников становятся все изобретательнее. Web Application Firewall (WAF), настроенный однажды, не станет надежной защитой. Его работа должна опираться на регулярный анализ и устранение уязвимостей в веб-приложении, сетевую защиту и постоянную корректировку настроек защиты на основе данных мониторинга. Посмотрим на тему с разных сторон и зададим вопросы техническим специалистам Qualys, Fortinet и Qrator.

Будет интересно руководителям и специалистам по информационной безопасности, техническим и ИТ-директорам, системным администраторам, сетевым инженерам, разработчикам веб-приложений.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 988
Comments 0

В бета-версию Chrome 89 добавили функции доступа к аппаратному обеспечению. Их критикуют Apple и Mozilla

Information Security *Google Chrome API *Browser extensions Browsers

Google выпустила бета-версию Chrome 89, добавив дополнительные API взаимодействия с аппаратным обеспечением. Mozilla и Apple выступили с критикой этих функций.

Читать далее
Total votes 19: ↑17 and ↓2 +15
Views 23K
Comments 46

Вебинар «Как защитить свой веб-ресурс: алгоритм действий до и после атаки» 17 марта

DataLine corporate blog Information Security *Website development *IT Infrastructure *Cloud services *

Мы наблюдаем увеличение атак на веб-ресурсы наших клиентов, и они мало зависят от специализации компании и ее размеров.

К нам часто обращаются клиенты без средств защиты и просят помочь в момент, когда атака уже началась и веб-ресурс стал недоступен. На базе этого опыта расскажем, как защитить свой ресурс, что можно сделать для сокращения поверхности атаки, а главное, что делать, если атака уже началась.

Подробности и регистрация
Total votes 10: ↑10 and ↓0 +10
Views 931
Comments 0

Вебинар «DDoS-атаки и методы защиты от них» 16 июня

Southbridge corporate blog

Приглашаем на вебинар «DDoS-атаки в 2022 и методы защиты от них» 16 июня в 19:00 по мск. На вебинаре поделимся опытом и кейсами, связанными с DDoS-атаками.

Узнать про вебинар
Total votes 9: ↑9 and ↓0 +9
Views 554
Comments 0

Как покрывать код проверками безопасности: обсуждаем в прямом эфире

Swordfish Security corporate blog Information Security *

Привет, Хабр! 

Не устаю напоминать, что меня зовут Юрий Шабалин. Вместе с командой Стингрей Технолоджиз мы занимаемся анализом защищенности мобильных приложений: находим различные типы уязвимостей и помогаем их устранять. Сегодня я хочу поделиться с вами отличной новостью: в этот четверг, 11 августа, расскажу в прямом эфире в Telegram о том, как покрывать код проверками безопасности. Приглашаю всех вас послушать - уверен, вам будет жарко, вернее, интересно. 

Читать далее
Rating 0
Views 290
Comments 0

Как сделать IT-продукт безопасным

SimbirSoft corporate blog Information Security *Product Management *Conferences

Приглашаем обсудить современные способы защиты программного обеспечения на круглом столе 25 августа в 14:00 (по московскому времени) в онлайн-формате. Рассмотрим безопасность ИТ-продукта с точки зрения кода и инфраструктуры.

Читать далее
Total votes 8: ↑4 and ↓4 0
Views 528
Comments 0

10 шагов для защиты вашего WordPress блога

WordPress *
Translation
Административная зона любого веб-приложения давно стала излюбленной мишенью для хакеров и её безопасность чрезвычайно заботит разработчиков. Это касается и WordPress — при сустановке нового блога система создает аккаунт администратора с уникальным случайно сгенерированным в реальном времени паролем, чем блокирует всеобщий доступ к настройкам системы, контролируя его c помощью страницы авторизации.

Эта статья сфокусирована на вопросах усиления безопасности WordPress — как административной панели, так и настроек блога, подразумевая все содержимое папки «wp-admin», которое отображается только после авторизации. Мы сознательно выделили фразу "после авторизации" — вы должны четко осознавать, что только один простой запрос отделяет «злого хакера» и админку всего вашего блога или сайта! А последняя защищена настолько сильно, насколько мощный пароль вы выбрали.

gilt-zu-schuetzen-administrationsbereich-in-wordpress

Чтобы в разы усложнить задачу взломщиков, мы предлагаем набор операций, которые вы можете выполнить вручную. Эти решения не гарантируют 100% защиту, но с их помощью вы заметно улучшите безопасность вашего блога.
Читать дальше →
Total votes 57: ↑47 and ↓10 +37
Views 63K
Comments 51

Защищенность правительственных сайтов

Information Security *
В процессе подготовки к семинару про тестирование защищенности веб-приложений решил пройтись по сайтам министерств, федеральных агентств и служб, чтобы посмотреть, как там обстоят дела с защищённостью.

При этом я не обращал внимания на то, можно ли атаковать сервер целиком, проверял только сами сайты на наличие базовых уязвимостей – XSS, SQL-инъекции, инъекции команд. Просмотрел не все, штук сорок, то есть около половины. Из них:
  • 5 сайтов подвержены пассивному XSS,
  • 1 сайт подвержен слепой SQL-инъекции,
  • 1 сайт подвержен SQL-инъекции с возможностью внедрения UNION,
  • 3 сайта раскрывают некоторые детали внутреннего устройства, из них 2 предоставляют доступ к phpinfo, а 1 выдаёт сообщения об ошибках с отладочной информацией,
  • 1 сайт подвержен внедрению команд, это наиболее серьёзная проблема из всех, что мне встретились.
В общем, я бы не сказал, что всё плохо, несмотря на наличие отдельных проблем.

Но вот что я хотел бы узнать – имеется ли какая-то единая служба, которая отвечает за информационную защищенность всех сайтов министерств и ведомств (хотя бы за защищенность, функциональность оставим в стороне)? Или каждый отвечает сам за себя?
Total votes 43: ↑40 and ↓3 +37
Views 784
Comments 58

Как сделать из Яндекс.Диск'а безлимитную систему хранения файлов

Lumber room
Эта статья является заключительной в серии моих постов про Яндекс.Диск и загрузку файлов: обход каптчи, даунлоад части файла с RANGE запросом из удаленного источника и автоматический аплоад на Яндекс.Диск. Все эти посты объединяет одно желание, разобраться, как именно работает система защиты Яндекс.Диск'а и какие у нее недостатки. Я ни в коем случае не хочу сказать, что в Яндексе работают непрофессионалы, наоборот, изучая код, я пришел к обратному выводу. Единственная цель этой статьи, на примере Яндекс.Диск'a показать, как можно из бесплатного файлового хостинга сделать бесплатное хранилище под Ваш проект, просто идея. Ну и конечно, дать некоторую пищу для размышления разработчикам подобных сервисов.

Итак, представляю вашему вниманию пример использования файлового хостинга Яндекс.Диск несовсем по назначению.
Читать дальше →
Total votes 27: ↑20 and ↓7 +13
Views 8.5K
Comments 19

Безопасность SharePoint — Часть 2. Аутентификация пользователей

ECM *
Для начинающих SharePoint представляется чем-то большим и непонятным. А между тем, SharePoint – обычное ASP.NET приложение, работающее на IIS. Это, безусловно, отражается и на системе безопасности, важным элементом которой является аутентификация пользователей.
Читать дальше →
Total votes 12: ↑6 and ↓6 0
Views 5.8K
Comments 0

Безопасность сайтов с лирическими отступлениями

Information Security *
Недавно я писал для одного заказчика обзорный документ по безопасности web приложений, после чего я подумал, что было бы неплохо выложить его на общее обозрение.
Статья написана для непрофессионалов, поэтому дабы сделать ее более интересной для притязательных пользователей хабра, я разбавил текст некоторыми случаями из жизни.
Читать дальше →
Total votes 80: ↑74 and ↓6 +68
Views 9.8K
Comments 41

Когда безопасности в вэбе становится слишком много?

Lumber room
Translation
Меня всегда интересовал баланс «риска и доходности» в рамках публичной безопасности: какой уровень риска считать приемлемым для сохранения эффективности и производительности?

Примеры можно видеть всюду. Однажды, на одном из перекрестков одного из городов происходит несчастный случай: машина сбивает ребенка.

Общественность возмущена, чиновники города собираются на совещание, и вот результат: 60.000 долларов тратится на установку лежачих полицейских, оград и светофоров на этом перекрестке — даже, если было очевидно, что авария произошла по вине пьяного водителя и не была связана с особенностями самого перекрестка.
Читать дальше →
Total votes 24: ↑20 and ↓4 +16
Views 325
Comments 13

Лайфстрим сервис chi.mp (бесплатный домен 2-ого уровня, блог) не фильтрует javascript

Information Security *
Sandbox
chi.mp
Небезызвестный лайфстрим сервис с бесплатным доменом второго уровня.
Погуглим:
google.com site:*.mp
227 000 — не так уж и мало. Большая часть выдачи — как раз блоги на chi.mp.
Но про безопасность как всегда забыли.
Читать дальше →
Total votes 7: ↑5 and ↓2 +3
Views 1.6K
Comments 6

Google выпустил расширение для Chrome, отслеживающее потенциально опасные веб-приложения

Browsers


Корпорация Google на днях сообщила о выходе нового экспериментального расширения для браузера Chrome, который позволит обнаруживать ошибки в «client-side» коде, приводящие к появлению уязвимостей различного рода. Расширение получило название DOM Snitch, и оно способно перехватывать вызовы JavaScript, позволяя отслеживать работу различных функций. По словам создателей DOM Snitch, расширение в первую очередь предназначено для разработчиков и тестеров.

Читать дальше →
Total votes 12: ↑7 and ↓5 +2
Views 873
Comments 2

Раскрытие чувствительной информации на сайте Chaos Constructions 2011

Information Security *
Не так давно в Санкт-Петербурге прошёл Chaos Constructions 2011 — фестиваль компьютерного искусства. У фестиваля есть официальный сайт. На этом сайте я обнаружил full path disclosure, а также раскрытие некоторой информации о структуре базы данных. Найдено было за пару дней до самого фестиваля. Но, так как я являлся докладчиком, я не стал публиковать информацию об этом раньше. И делаю это только сейчас.
Читать дальше →
Total votes 16: ↑6 and ↓10 -4
Views 847
Comments 11

HackQuest закончен?! HackQuest продолжается!

Positive Technologies corporate blog
Ante Scriptum

До 20 января 2012 года любой желающий может проверить свои силы в оценке защищенности, поиске и эксплуатации уязвимостей, реверсинге и просто хакерстве. Регистрация и информация по подключению доступна по адресу: http://phday.ru/smt.asp?gnum=1 (рус) и http://phday.com/smt.asp?gnum=1 (eng).

Вступайте и компилируйте!

Scriptum

26 декабря закончились соревнования по информационной безопасности PHDays CTF Quals и PHDays CTF Afterpaty. Командные состязания CTF Quals проходили по правилам task-based CTF и позволили нам выявить финалистов, которые примут участие в очном туре 30-31 мая 2012 года на форуме Positive Hack Days. Сольная битва дала нам возможность найти наиболее мощных хакеров, которые получат возможность принять участие в PHDays, а также станут обладателями ценных призов от организатора соревнований – компании Positive Technologies, включая легендарный сканер безопасности XSpider 7.8. В пылу битвы участники не только нашли все заложенные нами уязвимости но и обнаружили как минимум одну уязвимость нулевого дня (0-day): mPDF <= 5.3 File Disclosure.

Итак, как это было.
Total votes 10: ↑9 and ↓1 +8
Views 4.2K
Comments 2

Взлом из «облака», Russian.Leaks, обход WAF, защита VOIP и многое другое!

Positive Technologies corporate blog
Опубликованы материалы вебинаров, проведенных Positive Technologies в рамках образовательной программы «Практическая безопасность».
Программа направлена на повышение осведомленности специалистов о существующих угрозах, методах и подходах к анализу защищенности, а также об управлении соответствием стандартам и контроле эффективности средств защиты. В качестве докладчиков выступают известные эксперты по информационной безопасности — представители компании Positive Technologies и исследовательского центра Positive Research.
За 2011 год было проведено более 10 вебинаров, собравших более 1500 слушателей из различных стран мира. Были представлены доклады по вопросам безопасности Web, облачных вычислений, сетевой инфраструктуры, VOIP-сетей, обзоры по тематике контроля соответствия стандартам, оценки эффективности средств защиты информации и практическому использованию системы контроля защищенности и соответствия стандартам MaxPatrol.

Архив записей выступлений и презентаций докладов доступны по следующему адресу:
http://www.ptsecurity.ru/webinars.asp?t=1

С удовольствием выслушаем пожелания хабролюдей по темам выступлений в 2012 году!
Total votes 5: ↑3 and ↓2 +1
Views 2.1K
Comments 0

Twitter признался в использовании адресных книг пользователей

Social networks and communities
#address book

Администрация сервиса микроблогов Twitter признала, что копировала адресные книги со смартфонов пользователей, не уведомляя их об этом.

Читать дальше →
Total votes 47: ↑42 and ↓5 +37
Views 1.1K
Comments 47