Pull to refresh

Исследователь рассказал об уязвимостях в WhatsApp, которые позволяли читать файлы с ПК

Information Security *Instant Messaging *Facebook API *
image

Гал Вaйцман, исследователь информационной безопасности, описал технические детали уязвимостей высокой степени (CVE-2019-18426) в WhatsApp. Они позволяли злоумышленникам читать файлы с ПК под управлением Windows и macOS и выполнять произвольный код. Сейчас уязвимости устранены разработчиком.

Бреши обнаружились именно в настольных версиях WhatsApp, а также в веб-версии приложения. Они позволяли хакерам удаленно получать доступ к пользовательским файлам и отправлять специально созданное сообщение, похожее на код, просмотр которого позволял осуществить выполнение произвольного кода в контексте веб-домена WhatsApp.
Читать дальше →
Total votes 17: ↑13 and ↓4 +9
Views 5.6K
Comments 3

Микросервисная архитектура в управлении корпоративным контентом: приглашаем на вебинар

ГК ЛАНИТ corporate blog ECM *Conferences Microservices *
На рынке систем электронного документооборота, который традиционно считается зрелым, не наблюдается стагнации. Этот рынок постоянно меняется: новые игроки подталкивают «старожилов» двигаться быстрее.

60 млн документов в месяц — как управлять таким объемом и соответствовать потребностям бизнеса к изменениям? 23 апреля в 12:00 приглашаем на бесплатную онлайн-конференцию «Микросервисная архитектура в управлении корпоративным контентом». Участники встречи обсудят новые требования, решения и возможности ECM-рынка. Основная задача мероприятия — познакомить с трендами трансформации бизнеса в области корпоративного контента, возможностями и ограничениями гигантов рынка и новыми игроками.

Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 1.1K
Comments 0

Palo Alto Unit 42: 99% облачных ресурсов дают чрезмерные разрешения

Information Security *Research and forecasts in IT *Cloud services *

Исследователи Palo Alto Unit 42 проанализировали работу облачных сервисов и пришли к выводу, что они предоставляют чрезмерные разрешения. По словам экспертов, неправильно настроенное управление идентификацией и доступом (IAM) повышает риски компрометации облачной инфраструктуры и учетных данных.

Читать далее
Total votes 2: ↑2 and ↓0 +2
Views 565
Comments 0

Первая солнечная станция на расплавленной соли, работающая круглосуточно

Energy and batteries
Как известно, солнечная энергия уже дешевле в производстве, чем ядерная. Но у неё всё равно есть ряд проблем, и одна из них — «прерывистый» характер выработки. Другими словами, ночью солнечная станция не даёт никакой пользы. Но этот дефект тоже можно исправить.

Месяц назад возле Сиракуз (Италия) введена в строй первая в мире станции по концентрации солнечной энергии (concentrated solar power, CSP), которая круглосуточно работает на расплавленной соли.



Здесь вместо фотоэлементов используются параболические зеркала, сфокусированные на трубах с солью, которая способна нагреваться до 550°С. Расплавленная соль поступает в теплохранилище, кипятит воду, а пар крутит турбины.
Читать дальше →
Total votes 108: ↑88 and ↓20 +68
Views 5.1K
Comments 152

Криптографическая головоломка: импорт ключа WebMoney в Crypto Service Provider

Cryptography *
Приватные ключи в системе Windows, как правило, сохраняются в специальном хранилище ключей. Работа с этими ключами происходит путем вызова функций криптографического провайдера (далее CSP). При использовании стандартного CSP (Microsoft Base Cryptographic Provider) ключи пользователя хранятся в папке C:\Users\[Vasia]\AppData\Roaming\Microsoft\Crypto. При использовании специальных устройств, ключи хранятся в памяти самого устройства.

Для повышения безопасности, было принято решение импортировать ключ WebMoney (тот самый .kwm, которым подписывают запросы к интерфейсам) в CSP. Обычно те, кто использует ключ для подписи запросов к WM-интерфейсам, хранят его либо в виде файла .kwm в файловой системе, либо в виде xml-представления – оба варианта не очень-то безопасны.

Это оказалось не так уж просто.

Детально о проблемах, с которыми вы столкнетесь, при повышении безопасности своего платежного сервиса, читайте под катом.

Читать дальше →
Total votes 47: ↑43 and ↓4 +39
Views 4.8K
Comments 19

Пишем ГОСТ криптопровайдер

Cryptography *
рис.1
Секреты создания CSP для Windows раскрыты в статье Ю.С.Зырянова.

Российские криптоалгоритмы ГОСТ реализованы в OpenSSL Gost.

Удивлен, что на просторах Интернета не удалось найти подтверждения, что кем-то был создан интерфейс криптопровайдера ГОСТ под Windows с использованием вышеприведенных инструментов.

Можно подумать, что эта задача под силу только крупным коммерческим компаниям, имеющим большой опыт в сфере информационной безопасности, к примеру, таким как:Опровергнуть, хотя бы частично, это утверждение и будет задачей данной статьи.
Читать дальше →
Total votes 71: ↑66 and ↓5 +61
Views 37K
Comments 41

Интересные решения для электронной подписи в браузере

Information Security *
В одном из комментов к этому топику, отечественный потребитель ЭЦП написал:
У меня есть мечта… В самом деле — у меня есть мечта, что когда-нибудь в будущем я смогу обойтись без связки «windows + IE» для клиент-банков и прочего софта, который использует крипто-про. СБИС++, например. Блин, я надеюсь, что это когда-нибудь будет.



Конкретная такая мечта. И сейчас имеются все предпосылки для ее исполнения.

В топике я немного остановлюсь на решениях Крипто-Про, которые позволяют сделать квалифицированную ЭЦП в браузере действительно удобной.

А так же опишу одно оригинальное решение от фирмы Криптоком (www.cryptocom.ru), которое позволяет подписывать документы через интернет квалифицированной ЭЦП с помощью практически любого компьютера/браузера без предварительной настройки и без прав сисадмина (для варианта «срочно нужно провести сделку из интернет-кафе турецкого отеля»).

Читать дальше →
Total votes 32: ↑26 and ↓6 +20
Views 30K
Comments 98

Введение в теорию взаимодействующих последовательных процессов (Communicating Sequential Processes — CSP)

Cloud computing *
Sandbox

Предисловие


Данный текст является переводом и сокращённым пересказом начальных глав книги Чарльза Э. Хоара. Целью является ознакомление русскоязычной аудитории с данной алгеброй исчисления процессов, коя нашла достаточно широкое применение в современной вычислительной науке в связи с большим распространением параллельных систем. Наиболее близкими и понятными практическими применениями CSP, думаю, будут являться следующие языки программирования:

CSP является формальным математическим языком, позволяющим описывать взаимодействие параллельных систем, основным его применением является формальная спецификация параллельной работы систем, например таких как Транспьютер, кроме того он применяется при разработке высоконадёжных площадок электронной торговли.
В данной статье будут рассказаны основы данной алгебры, без которой невозможно её дальнейшее изучение, в основном это базовое описание процесса, что покрывает первую половину первой главы книги.
Читать дальше →
Total votes 31: ↑31 and ↓0 +31
Views 13K
Comments 9

Введение в теорию взаимодействующих последовательных процессов (CSP), часть 2

Cloud computing *
Продолжаем цикл статей посвящённый алгебре исчисления процессов. Данный текст является переводом и сокращённым пересказом начальных глав книги Чарльза Э. Хоара. Теория применяется для формального описания работы параллельных систем. Примерам её практических применений являются такие языки программирования как Erlang, Go и Limbo.
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 4.1K
Comments 3

Локализация в СУБД Caché

InterSystems corporate blog Website development *
Предположим, вы написали программу, выводящую «Hello, World!», например:
  write "Hello, World!"

Приложение работает, всё хорошо.
Но проходит время, ваше приложение развивается, становится популярным и вот, вам нужно эту строку вывести уже на другом языке, причём количество и состав требуемых языков заранее неизвестен.
Под катом вы узнаете, как задача локализации решается в Caché.

Поехали!
Total votes 9: ↑5 and ↓4 +1
Views 5.1K
Comments 5

Переводим Chrome extension на manifest_version 2

Google Chrome
Владельцам расширений (а также приложений) для Хрома уже пора бы задуматься над поддержкой второй версии манифеста.
Если кто не в курсе, то не так давно были объявлены новые изменения и нововведения в разработку расширений для браузера.
Далее будет выборочный перевод двух страниц и мой способ использования шаблонизатора изнутри песочницы.
Читать дальше →
Total votes 17: ↑14 and ↓3 +11
Views 22K
Comments 5

Реализация фоновой загрузки файлов на сервер Caché

InterSystems corporate blog Website development *JavaScript *
Tutorial
У разработчиков веб-приложений на Caché и Ensemble часто возникает задача «file upload» — загрузки файлов с браузера. Недавно на форуме по Caché на SQL.ru снова возникло несколько вопросов о том, как сделать фоновую загрузку файлов. Решил описать как это можно сделать с использованием технологий CSP и ZEN.
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 5K
Comments 1

Использование MS CRYPTO API в Caché

InterSystems corporate blog Cryptography *
Говоря о базах данных, как об источниках знаний, мы всегда подразумеваем, что это не только большой склад разнообразной упорядоченной (или не очень) информации, но и место ее безопасного хранения. Под безопасностью, как правило, понимается защита цифровых данных от несанкционированного доступа при передаче через каналы связи, но не стоит забывать и о физической защите носителей данных. Тем не менее, я не буду рассуждать, какие бронированные двери лучше ставить в вашу серверную и сколько охранников должно дежурить на проходной, а расскажу о криптографии.
Читать дальше →
Total votes 14: ↑10 and ↓4 +6
Views 3.7K
Comments 0

Как мы сделали чтение писем безопаснее: Content Security Policy в Яндекс.Почте

Яндекс corporate blog Information Security *Website development *
Одним из приоритетов для команды Яндекс.Почты всегда была и есть безопасность данных пользователя. Причем это касается не только хранения писем, но и безопасного доступа к ним. Еще в 2011 году мы стали пропускать все изображения в письмах через наши прокси-сервера, перекрыв один из каналов распространения вредоносного кода, а также кешировать их для экономии трафика и обеспечения большей приватности. В ноябре этого года мы внедрили шифрование при приеме и отправке почты, а также и перевели почту в режим HTTPS-only — теперь веб-интерфейс доступен только по безопасному протоколу.

А с недавних пор мы стали поддерживать новый механизм защиты данных пользователя – стандарт Content Security Policy. С его помощью можно запретить скриптам на странице подгружать какие-либо ресурсы с хостов, не указанных в белом списке.

Это пока довольно редкая штука (ни одна крупная известная нам почта этого ещё не применяет), и в этом посте мы поделимся опытом внедрения стандарта.

image
Читать дальше →
Total votes 79: ↑69 and ↓10 +59
Views 48K
Comments 26

Content Security Policy, для зла

Information Security *Website development *
Есть такой специальный хедер для безопасности вебсайтов CSP.

CSP ограничивает загрузку каких либо ресурсов если они не были пре-одобрены в хедере, то есть отличная защита от XSS. Атакующий не сможет загрузить сторонний скрипт, inline-скрипты тоже отключены…

На уровне браузера вы можете разрешить только конкретные урлы для загрузки а другие будут запрещены. Помимо пользы этот механизм может принести и вред — ведь факт блокировки и есть детекция! Осталось только придумать как ее применить.
Читать дальше →
Total votes 42: ↑35 and ↓7 +28
Views 14K
Comments 20

Релиз Firefox 33

Firefox Browsers
Для загрузки стал доступен Firefox для десктопов. Основные нововведения: (и снова) оптимизация потребления памяти, Off Main Thread для Windows, интеграция OpenH264, различные улучшения в работе поиска в адресной строке, повышение стабильности восстановления сессий и т.д. Список всех изменений в Firefox 33 под катом.
Читать дальше →
Total votes 52: ↑48 and ↓4 +44
Views 43K
Comments 79

Эмуляция CORS на стороне клиента: кроссбраузерное решение некоторых пользовательских задач без расширений

Firefox JavaScript *Internet Explorer Google Chrome Browsers
Tutorial

I. В чём проблема



Расширения для браузеров — мощный инструмент продвинутого веб-сёрфинга, самая доступная, развитая и распространённая часть целого ряда инструментов. Однако расширения имеют и слабые стороны: каждый браузер требует знания и применения своих правил и форматов, а это дополнительная сложность для создателя. Расширения не кроссбраузерны, что сразу ограничивает их адресат. Есть попытки обобщить создание расширений, но они могут добавлять уже свою дополнительную прослойку форматов и правил.

Когда расширение улучшает специфические стороны браузерного интерфейса, без него не обойтись. Но некоторые задачи универсальны, не связаны с частными средствами браузера и, тем не менее, без расширения их тоже не выполнить. Одна из таких задач — кроссдоменные XMLHttpRequest запросы, нарушающие политику одного источника.
Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Views 22K
Comments 5

Безопасность веб-ресурсов банков России

Digital Security corporate blog Information Security *
image

В нашей компании мы постоянно проводим различные исследования (список), выбирая интересную для нас тему и как итог — представляя общественности pdf с результатами.

Данная статья статья как раз из разряда таких исследований. Проводя работы по анализу защищенности мы приводим обычно очень схожие (общие для всех) советы, которым мало следует, некоторые best practices, которые или просто повышают общий уровень защищенности системы (например — применение CSP), или действительно позволяют предотвратить атаку.

Введение


Как известно, уровень безопасности системы определяется надежностью её самого слабого узла. На практике, после проведения анализа защищенности, основываясь на перечне найденных уязвимостей, выбирается одна брешь или целая цепочка и определяется наиболее проблемное звено. Сразу можно сказать, что зачастую правильно настроенная система может нивелировать риски существующей уязвимости. В ходе исследования мы выяснили, какие потенциальные векторы атак могут быть доступны злоумышленникам. Например, легко ли похитить сессионные данные пользователя при наличии уязвимости межсайтового скриптинга. Также нам было интересно посмотреть, насколько просто реализовать фишинговую атаку на пользователей банка. Пройдясь по этим пунктам и условно проставив “галочки”, злоумышленник может выстроить векторы дальнейших атак на банк и его пользователей.
Читать дальше →
Total votes 24: ↑19 and ↓5 +14
Views 22K
Comments 7

Многопоточность в C++ и SObjectizer с CSP-шными каналами, но совсем без акторов…

Open source *Programming *C++ *

Раньше мы рассказывали про SObjectizer как про акторный фреймворк для C++, хотя в действительности это не совсем так. Например, уже давно в SObjectizer есть такая классная штука, как mchain-ы (они же каналы из модели CSP). Mchain-ы позволяют легко и непринужденно организовать обмен данными между рабочими потоками. Не создавая агентов, которые нужны далеко не всегда. Как раз на днях довелось в очередной раз этой фичей воспользоваться и упростить себе жизнь за счет передачи данных между потоками посредством каналов (т.е. SObjectizer-овских mchain-ов). Так что не только в Go можно получать удовольствие от использования CSP. В C++ это так же возможно. Кому интересно, что и как, прошу под кат.

Читать дальше →
Total votes 17: ↑16 and ↓1 +15
Views 4.4K
Comments 4

Задачи планирования и программирование в ограничениях

Nexign corporate blog Programming *Algorithms *Mathematics *
Tutorial
Когда у тебя в запасе много популярных инструментов вроде JAVA, Python, Ruby, PHP, C#, C++ и других, чувствуешь себя почти всемогущим. Стандартный подход в разработке рулит. Но только до тех пор, пока не столкнешься с определенным типом задач.

 
Подумайте, как правильно написать программу, которая оптимально…

• решит головоломку типа судоку или задачу о восьми ферзях;
• распределит задачи между определенным набором ресурсов;
• рассчитает расписание занятий;
• определит эффективный маршрут движения транспорта;
• составит график дежурств и т.п.
 
Если программирование в ограничениях и решение сложных комбинаторных задач планирования не самая сильная ваша сторона, то эта статья как раз для вас.

image
Читать дальше →
Total votes 19: ↑19 and ↓0 +19
Views 21K
Comments 5
1