Pull to refresh
  • by relevance
  • by date
  • by rating

Новый вид атаки нулевого дня. Теперь через документы Microsoft Office

RUVDS.com corporate blog Information Security *Development for Office 365 *

Во вторник (07.09) представители Microsoft предупредили пользователей об активно эксплуатируемой уязвимости нулевого дня, угрожающей Internet Explorer. Через эту дыру злоумышленники могут захватывать уязвимые системы Windows при помощи документов MS Office.
Читать дальше →
Total votes 20: ↑20 and ↓0 +20
Views 6K
Comments 2

RAdmin. Знаете ли вы что…

Information Security *
Знаете ли вы, что radmin версий до 2.2 позволяет делать перебор паролей по сети со скоростью, ограниченной каналом и мощностью машины? Говорят, в 2.2 исправили, не проверял.

Знаете ли вы, что в radmin версий до 2.2 при авторизации по паролю, клиент передаёт на самом деле хэш пароля, который сервер хранит открытым в реестре, поэтому «подпатченный» клиент может соединяться по украденному ключу.

Знаете ли вы, что в radmin версии 2.1 (дальше не знаю) используется библиотека zlib с древней дырявой версией?

Знаете ли вы, что radmin пользуется собственными алгоритмами шифрования, чудесным образом совпадающими с Twofish?

Знаете ли вы, что реально существуют (и можно нарыть, чуток поискав) компоненты ActiveX, которые осуществляют перебор пароля radmin на произвольном количестве IP и проверку реестра компьютера на наличие хэша пароля radmin, на котором исполняются?

Знаете ли вы, что есть готовые perl-скрипты, осуществляющие перебор пароля к radmin?

Вот так вот.
Total votes 10: ↑6 and ↓4 +2
Views 7K
Comments 18

Создана программа для веб-конференций Zoho Meeting

Studying in IT
В комплекте офисных веб-программ Zoho Suite появилось приложение для проведения веб-конференций Zoho Meeting. И пусть эксперты говорят, что аналогичных программ в интернете пруд пруди (NetMeeting, Adobe Acrobat Connect или WebEx), зато Zoho Suite расширил свою функциональность и теперь может управлять удаленными ПК.
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 1.7K
Comments 1

Microsoft снова судится за «чужой» ActiveX

Lumber room
Давно забытый конфликт между Microsoft и Eolas Technology, в ходе которого Internet Explorer мог лишиться поддержки ActiveX, разгорается с новой силой, сообщает Techdirt. Проиграв в суде (патент Eolas был признан действительным), корпорация Microsoft заявила через некоторое время, что придумала описанные в патенте технологии первой.
Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Views 230
Comments 13

ActiveX лучше отключить навсегда

Information Security *
В модулях ActiveX на разных сайтах находят столько дыр, что специалисты по безопасности рекомендуют или отредактировать настройки ActiveX в реестре Windows (выпущена специальная программа для автоматического вычищения из реестра этих CLSID), или полностью отключить это расширение Internet Explorer. Другими словами, технология ActiveX теперь официально считается вредоносной. Эксперты из авторитетного американского центра реагирования на киберугрозы US-CERT (это подразделение Департамента национальной безопасности, его услугами пользуются государственные ведомства и правительство) заявили, что самый простой способ противостоять опасности — начисто отключить ActiveX в браузере.

Опасность серьёзная, потому что за последние несколько дней было найдено несколько уязвимостей, каждая из которых может быть опасна для миллионов пользователей. Пять дыр обнаружилась в ActiveX-загрузчике фотографий на сайты Facebook и MySpace (разработчик программного модуля — компания Aurigma), а ещё две — в Yahoo Music Jukebox. Можно предположить, что допускающие возможность атаки модули ActiveX используются также на других популярных сайтах. В 2006 году было обнаружено 108 подобных уязвимостей в разных модулях ActiveX, в 2007 году — уже 237. Дальше будет только хуже.

Чтобы полностью отключить ActiveX, нужно в браузере IE поставить уровень безопасности “High”.

via Infoworld
Total votes 30: ↑25 and ↓5 +20
Views 17K
Comments 25

W3Cast #2

Lumber room
Второй выпуск подкаста — не менее экспериментален, чем первый: авторы выступают в роли докладчиков, а сам подкаст разделён на три большие секции.



* ActiveX-плагины: история, тернии, результаты
* Семантическая вёрстка — одни плюсы и ни одного отрицательного положения
* Keep it simple™: микроформаты в разрезе, простые и сложные микроформаты, зачем они нужны

Подписаться по RSS

Читать дальше →
Total votes 24: ↑20 and ↓4 +16
Views 176
Comments 24

Поддержка < canvas> в IE

Website development *
Что такое canvas вы можете прочитать здесь и кое-что на хабре тут и тут (наглядный пример).

Vladimir Vukićević написал компонент ActiveX для IE, который добавляет в браузер поддержку тэга canvas. Чтобы использовать его нужно лишь добавить на страницу небольшой.js сниппет и тэг object который будет получать контроль. Разумеется, он полностью доступен для скриптов. Исходный код будет доступен для всех чтобы его можно было изучить и улучшить. Наличие этого компонента означает что canvas станет доступным во всех популярных браузера, не смотря на то, что Майкрософт ещё не добавил его поддержку.
via Christopher Blizzard

canvas в IE и Firefox
Читать дальше →
Total votes 23: ↑13 and ↓10 +3
Views 1K
Comments 14

Клиентские Windows приложения на JavaScript

JavaScript *
Хочу рассказать про один интересный способ создания приложений на JavaScript с родным виндовым GUI.

Вообще, существует куча разных вариантов написания виндовых приложений на JavaScript:
  1. HTA и WSH — HTML Applications и Windows Script Host — это, вероятно, самые известные технологии. HTA фактически представляет собой HTML страницу с расширенными правами в системе — возможностью лазить в сеть, гадить в реестр, файловую систему и подключать к этим делам ActiveX. С использованием HTA сделаны многие компоненты самой Windows.
  2. .NET Framework — этому вообще по барабану, на чем вы пишете, лишь бы итогом был MSIL. Возможно, JScript.NET вместе с Windows.Forms могут вызвать у кого-то ощущение родного виндового интерфейса. Лично меня они совсем не радуют — ни визуально, ни скоростью.
  3. XULRunner — framework от Mozilla предлагает Gecko вместо IE, XpCOM вместо COM/ActiveX. Это всего за 20 мегабайт оверхеда.
  4. wxJavascript — известная кросс-платформенная библиотека wxWidgets теперь и для JavaScript. Все это благодаря JS-движку SpiderMonkey от Mozilla и стараниям одного бельгийца. Кстати, этот же уважаемый — автор mod_js для Apache.

Ввиду того, что все вышеописанное уныло, громоздко и требует изучения, предлагаю рассмотреть еще один вариант — WSO.
Читать дальше →
Total votes 45: ↑31 and ↓14 +17
Views 21K
Comments 39

Делаем скриншоты сайтов

PHP *
Бродя по просторам PHP документации случайно наткнулся на две функции: imagegrabwindow и imagegrabscreen. Они умеют делать скриншоты в Microsoft Windows.
Заинтересовало. Кончилось дело тем, что был написан скриптик генерирующий полный скриншот любого сайта.
Итак нам необходимы:

Читать дальше →
Total votes 82: ↑64 and ↓18 +46
Views 16K
Comments 63

Добавление возможности скриптинга своим приложениям с помощью Active scripting

Website development *
Последнее время я заметил некоторый интерес хабралюдей к такой теме как скриптинг. Были статьи про Lua, про V8 (JavaScript движок Google Chrome). Я же хотел бы рассказать об использовании технологии Active Scripting (она же ActiveX Scripting) от Microsoft.
Это технология, используемая для реализации поддержки скриптов в приложениях. Именно так работает движок JavaScript всеми любимого браузера IE ;) Однако, не спешите с выводами. Да, тот же движок V8 работает в разы быстрее, но и у данной технологии есть свои преимущества и возможные области применения, о которых я тоже расскажу.
Читать дальше...
Total votes 25: ↑16 and ↓9 +7
Views 3.8K
Comments 8

FireBreath: средство разработки кросс-платформенных плагинов

Browsers
Translation
Вышел FireBreath 1.0. А что это такое, спросите вы.
Целью FireBreath является создание кросс-платформенной архитектуры плагинов, ориентирующейся на:
  • NPAPI-браузеры для Windows, Mac и Linux:
    • Gecko/Firefox
    • Google Chrome
    • Apple Safari
  • Хосты ActiveX Control:
    • Microsoft Internet Explorer 6, 7 и 8
Можно запустить скрипт да начать кодить новый плагин, и забавно видеть, как народ пользуется этим для внедрения некоторых W3C API, таких как:
Воплощение рабочего черновика Indexed Database API, предложенного W3C Web Applications Working Group.
Total votes 40: ↑33 and ↓7 +26
Views 1.5K
Comments 9

Google tech talk о native client на ВМК

Lumber room
23 июня на факультете ВМК МГУ выступит с докладом «Reinventing the Desktop» ведущий cпециалист компании Google Брэд Чен (Brad Chen), руководитель проекта Google Native Client. В своем докладе он расскажет об архитектуре, реализации и валидации Native Client, включая особенности работы с архитектурами x86, x86_64 и ARM.

Место проведения — 2ой ГУМ на Воробьёвых горах, аудитория П-5.
10:00-11:00 – лекция, 11:00-12:00 – обсуждение и ответы на вопросы.
Язык доклада — английский.

Если вы не имеете отношения к МГУ или РАН — возьмите паспорт.
Кратко о теме доклада и докладчике на английском
Total votes 13: ↑10 and ↓3 +7
Views 234
Comments 4

Native Client включён в состав Chrome

Google Chrome
С 2008 года компания Google ведёт разработку открытой (open source) технологии Native Client, которая позволяет запускать x86-код в браузере, с ограничениями безопасности, как у JavaScript. Не нужно объяснять, что благодаря Native Client появится новое поколение браузерных приложений с прямым доступом к ресурсам центрального процессора. В каком-то роде это именно то промежуточное звено, которого не хватало между нативными приложениями и веб-приложениями.

Два с половиной года Google работал над тем, чтобы устранить проблемы с безопасностью Native Client, и вот наконец-то это свершилось: вчера Native Client включён в состав последней беты Google Chrome 14.

Приложения Native Client используют программные интерфейсы Pepper (PPAPI), которые являются апгрейдом Netscape Plugin API (NPAPI) — технологии, используемой в большинстве браузеров, кроме Internet Explorer (ActiveX).

В новом релизе Chrome появилась также поддержка Web Audio API с различными аудиоэффектами, которые особенно пригодятся для создания игр.
Total votes 60: ↑52 and ↓8 +44
Views 23K
Comments 105

Кроссбраузерный запуск «злобного» кода на клиенте

Контур corporate blog
Пост будет интересен веб-разработчикам, заинтересованным в запуске небезопасного кода на клиенте (из браузера). Под «злобным» мы понимаем код, который мы не можем выполнить в чистом JavaScript’е (в нашем случае — подписание куска данных определенным сертификатом).

Моя команда занимается разработкой интернет-сервиса для расчета зарплаты. Перед нами встала задача подписать отправляемую отчетность закрытым ключом клиента, следовательно, нужно выполнить на машине клиента опасный с точки зрения браузера код. При этом очень хотелось не ограничивать клиента в выборе браузера для пользования нашим сервисом.

Узнать о том, как мы решали эту не самую тривиальную задачу.
Total votes 40: ↑39 and ↓1 +38
Views 14K
Comments 50

Работа с объектами СУБД Caché на примере Delphi

InterSystems corporate blog Delphi *

Несмотря на перманентные похороны Delphi, эта платформа построения Desktop приложений живёт и здравствует, а со сменой владельца даже обретает второе дыхание и продолжает оставаться основным инструментом для тысяч разработчиков во всём мире.
Как и с любыми другими СУБД, Delphi прекрасно взаимодействует с СУБД Caché.

Из Delphi можно подключиться к Caché, используя следующие интерфейсы:


В данной статье будут рассмотрены примеры использования объектного интерфейса при работе с СУБД Caché.
Читать дальше →
Total votes 15: ↑13 and ↓2 +11
Views 10K
Comments 5

Руководство по созданию ActiveX-контролов на C++ с помощью ATL

Website development *C++ *
В интернете существует множество учебников по использованию ATL, и в частности, по созданию COM-компонентов с его помощью, в том числе и ActiveX/OLE контролов, но большинство из них почему-то описывают процесс тыкания мышкой в разные интересные места Visual Studio, использование графических инструментов последней, и мало какой из них затрагивает нутро сгенерированного средой разработки кода в достаточно глубоком объеме. В русскоязычном сегменте интернета ситуация и того хуже — материалов по ATL крайне мало, практически нет(да и не только по ATL, а и по созданию COM-компонентов вообще), поэтому я решил этот недостаток компенсировать.
Читать дальше →
Total votes 40: ↑28 and ↓12 +16
Views 26K
Comments 43

Сделай сам: dll hijacking под MS Office для самых маленьких

Digital Security corporate blog Information Security *
Прошло уже три дня с тех пор, как исследователь Parvez Anwar опубликовал информацию о множественных dll hijacking уязвимостях в продуктах Microsoft Office, а какой-либо реакции не наблюдается. Ни CVE, ни сообщений на специализированных ресурсах, Windows Update не качает свежих патчей. Что ж, может, так и нужно, может быть, это не уявимость, а особенность продукта?
Между тем, эксплуатация этой особенности проста и доступна даже ребенку. И, раз уж производитель пока эту «фичу» не удалил, почему бы не написать о ней небольшую статью.

Речь пойдет о Windows 7. Работает ли это на других версиях — мне на текущий момент неизвестно, нужно проверять. Принцип действия описываемого явления (как и многих других, впрочем) основан на старой доброй технологии COM/OLE/ActiveX.
Читать дальше →
Total votes 48: ↑46 and ↓2 +44
Views 30K
Comments 5

Обновление Flash Player (ActiveX) за 1 Января 2016 года

Adobe Flash Action Script *
Первый день Нового Года у Adobe начался с релизом очередного обновления Flash Player. Для большинства пользователей апдейт не принесет ничего нового, но для некоторых пользователей это будет «решением больших проблем».

Исправили механизм взаимодействия с операционной системой компонента ActiveX. Если Вы используете не браузерные приложения, которые встраивают в себя Flash содержимое — Вы могли заметить черный или белый экран вместо привычного содержимого. Проблема устранена.
Total votes 10: ↑7 and ↓3 +4
Views 6.6K
Comments 0

Как мы преодолели железные препятствия при автоматизации тестирования

Сбер corporate blog IT systems testing *JavaScript *Development Management *DevOps *
На первых этапах внедрения практик DevOps в программе ЕФС возникали сложности. Например, для выстраивания pipeline некоторых проектов требовалась автоматизация сквозных сценариев с использованием пластиковых карт и электронно-цифровой подписи, тогда как использование аппаратных средств, POS-терминал и Touch Memory — таблетка, накладывает значительные ограничения на автоматизацию проверок. С какими ограничениями столкнулись и как их решали, читайте под катом.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 3.8K
Comments 0

R.I.P. ActiveX

IT-companies
Как известно, компания Microsoft разрабатывает новый браузер Microsoft Edge и движок для него. Он очищен от балласта прошлых лет вроде ActiveX, VBScript и attachEvent. Всего удалено более 220 тыс. строк кода MSHTML. Правда, добавлено 300 тыс. строк нового кода, так что движок не стал легче.



Microsoft опубликовала сообщение в корпоративном блоге, где официально прощается с ActiveX и объясняет причины, по которым пришлось отказаться от этой технологии. И вообще, зачем они выпустили ActiveX.
Читать дальше →
Total votes 36: ↑32 and ↓4 +28
Views 18K
Comments 42
1