Pull to refresh
  • by relevance
  • by date
  • by rating

Nginx опубликовал обновление безопасности против DoS-уязвимостей в HTTP/2

Nixys corporate blogInformation SecuritySystem administrationNginxServer Administration


Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие DoS-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании.

Читать дальше →
Total votes 11: ↑11 and ↓0+11
Views4.7K
Comments 4

Приглашаем экспертов принять участие в опросе СИГРЭ по лучшим практикам SOC в электроэнергетике

Ростелеком-Солар corporate blogInformation Security
Рабочая группа РНК СИГРЭ по кибербезопасности систем связи и управления в электроэнергетике, «Ростелеком-Солар», АО «РТСофт» и Positive Technologies приглашают электроэнергетические компании принять участие в опросе по ключевым аспектам работы SOC (Security Operation Center) в отрасли. Опрос разработан при активном участии экспертов «Ростелеком-Солар» и направлен прежде всего на оценку технологий, кадровой политики и процессов, применяемых организациями по всему миру при реализации SOC в электроэнергетике.

Читать дальше →
Total votes 7: ↑6 and ↓1+5
Views371
Comments 0

Google Project Zero раскрыл 0-day уязвимость в Windows

Ростелеком-Солар corporate blogInformation Security
Project Zero, функционирующий в рамках Google, сообщил о том, что хакеры активно эксплуатируют уязвимость нулевого дня, которую вряд ли пропатчат в течение ближайших двух недель.


Читать дальше →
Total votes 14: ↑13 and ↓1+12
Views7.2K
Comments 3

GitHub Meetup 20 апреля, тема Security

Microsoft corporate blogGitHub

Всем привет! Очень скоро, 20 апреля, GitHub будет проводить очередной митап в России. Как и всегда, команда организаторов ждёт вас и вашей обратной связи. Что вам интересно? Приходите послушать и пообщаться

В этот раз митап будет про безопасность. В последние годы наблюдается рост интереса к этой теме. С одной стороны, это совершенно эволюционный процесс – базы уязвимостей растут, надо их имплементировать в инструменты, стараясь делать это так, чтобы эти инструменты сами не стали уязвимыми, писать регламенты. С другой стороны, появились рабочие группы по DevSecOps и Supply Chain Security. В индустрии обратили пристальное внимание на проблему общения о безопасности между командами разработки, саппортом, бизнес-группами и собственно отделом безопасности. Одними из ключевых факторов для попытки решения этой проблемы уже называют аккуратную автоматизацию процесса разработки и интеграцию с партнёрскими решениями. GitHub, являясь местом, которому разработчики доверяют своё самое ценное, плотно работает над новыми технологиями, и на митапе разработчики из GitHub, Алена Глобина и Артём Савельев, расскажут про CodeQL и обеспечение превентивной безопасности в цикле разработки. 

Также недавно GitHub опубликовал пост про управление секретами и использование их в GitHub Actions (за авторством Philip Holleran), перевод которого мы и публикуем.

GitHub Actions – это расширяемый собственными и партнёрскими решениями  механизм по автоматизации этапов разработки. Когда нужно обращаться наружу, можно хранить зашифрованные секреты для GitHub Actions для аутентификации на внешних ресурсах. Это делает доступ более простым и безопасным....

Читать далее
Total votes 3: ↑3 and ↓0+3
Views295
Comments 0

Бездействие Electronic Arts на предупреждения о дырах в системах безопасности

Information SecurityIT-companies

В начале июня стало известно о взломе информационных систем издателя игр Electronic Arts, хакеры украли у компании 780 Гбайт данных. Теперь выяснилось, что компания была заранее предупреждена о том, что её системы находятся в опасности, однако не предпринимала никаких мер, что бы предотвратить взлом.

Поехали..
Total votes 6: ↑6 and ↓0+6
Views2.7K
Comments 1

Встречайте CrowdSec v1.1.x: новые пакеты и репозитории

CrowdSec corporate blogInformation SecurityOpen sourceServer Administration

Привет, Хабр. У нас хорошие новости: вышел новый релиз — CrowdSec v.1.1x, его теперь можно скачать через облачную платформу Package Cloud. 

Читать далее
Total votes 10: ↑10 and ↓0+10
Views291
Comments 0

Kaspersky for Vista

IT systems testing
Лаборатория Касперского сообщает о выходе новых версий (MP2 — 6.0.2.614) своих флагмановских продуктов — Kaspersky AV 6.0 / Kaspersky IS 6.0 Важнейшее дополнение, появившееся в Maintenance Pack 2 — поддержка новой операционной системы Windows Vista.

Второй пакет обновлений обеспечивает продуктам Kaspersky Internet Security 6.0 и Антивирус Касперского 6.0 возможность полноценно работать как с 32-битной, так и с 64-битной версиями Windows Vista.

При этом Maintenance Pack 2 включает в себя все функции и дополнения, содержавшиеся в первом пакете – в частности, полноценную поддержку операционной системы Windows XP 64-bit Edition, расширенную функциональность задач проверки по требованию, ряд усовершенствований модуля проактивной защиты, и защиту Менеджера задач Windows от внедрения вредоносных библиотек динамических связей (dll).

Загрузить пакет обновлений Maintenance Pack 2 для Kaspersky Internet Security 6.0 и Антивирус Касперского 6.0 можно здесь.
Total votes 7: ↑4 and ↓3+1
Views1K
Comments 4

Я Яндекс ленте нашли дыру

IT-companies
В ЖЖурнале пользователя netlux появилось сообщение о том, что через Яндекс ленту можно получить пароли некоторых пользователей ЖЖ. Достаточно забавная дырка, демонстрирующая пароли открытым текстом. К настоящему моменту ее уже прикрыли. Сообщение, в котором сообщается о дыре, моментально попала в топ популярных записей :)
Total votes 13: ↑1 and ↓12-11
Views279
Comments 2

Безопасность в Гугле

IT-companies
Чтобы доказать потенциальным клиентам Google Apps Business Edition заботу Гугла о безопасности, компания опубликовала пресс-релиз под названием «Полный анализ безопасности и защиты от угроз для Приложений Гугла» (PDF). Ниже представлены некоторые интересные факты.

Читать дальше →
Total votes 31: ↑29 and ↓2+27
Views594
Comments 36

Microsoft передумала продавать Windows Vista

Lumber room
После многих потраченных лет и миллиардов долларов, вложенных в разработку своей новой операционной системы Vista, корпорация Microsoft объявила блокаду покупателям, желающим приобрести ее новинку.
Читать дальше →
Total votes 6: ↑2 and ↓4-2
Views231
Comments 5

Шифрование писем в Gmail.

IT-companies
Скрипт для Greasemonkey, который поможет вам с шифрованием вашей e-mail корреспонденции.

После установки скрипта в службе Gmail.com, а, точнее, в окнах ввода нового сообщения и просмотра присланных писем появится новая панелька для кодирования и расшифровки электронных весточек:



Процесс установки и настройки описан в статье Компьютерры Online.
Полезно ввиду последних событий
Total votes 5: ↑2 and ↓3-1
Views326
Comments 0

Антивирус Касперского 7.0

IT systems testing
Сегодня на официальном форуме Лаборатории Касперского (ЛК) был представлен первый прототип Антивируса Касперского 7.0.

Как сообщают разработчики, данная версия является первой публичной сборкой Антивируса Касперского седьмого поколения и пока включает в себя только самые базовые нововведения:
— прохождение leak-tests (BITStester, Breakout2, CPILSuite(#3), Osfwbypass, Surfer);
— прохождение keylogger тест aklt #3;
— детектирование руткитов, во время сканирования. Вердикт «Hidden Objects». Тестирование проходило на экземплярах Unreal.A, Rustock, EliteKeylogger.

Позже функционал программы будет расширен, в т.ч. будет добавлен и новый графический интерфейс.

Скриншот Антивируса Касперского 7.0. Обсуждение новой версии, а также ссылки для скачивания находятся на официальном формуме ЛК.
Total votes 11: ↑7 and ↓4+3
Views947
Comments 4

JavaScript – «слабое место» Web 2.0?

Ajax
Появление большего числа сайтов по технологии Web 2.0, написанных на языке Ajax (ну, Ajax разве язык?!), в основе которого лежит язык сценариев JavaScript, представляет новую угрозу для компьютерной безопасности, утверждает главный учёный и основатель компании защиты информации Fortify Software Брайан Чесс (Brian Chess).

В частности, использование Ajax делает более уязвимыми корпоративные приложения, сообщил The Register.

«Очень сложно заметить разницу между действиями Ajax и атакой JavaScript, — сказал Чесс. – Потенциально он [Ajax] представляет собой мост между внешними интернет-приложениями и внутренними интранет-приложениями, находящимися под брандмауэром».

На этой неделе Fortify представила новую версию своего продукта Secure Coding Rulepacks, предназначенного для анализа уязвимостей кода на JavaScript.

Источник: safe.cnews.ru/news/line/index.shtml?2007/05/17/250473
Оригинал статьи: www.fortifysoftware.com/news-events/releases/2007/2007-04-02.jsp

P.S.: с вышеприведенным материалом не согласен. К тому же не нашел ни доводов, ни примеров к тому, чтобы так полагать.
Разве что — сформировать Ajax-запрос к серверу вручную. Но разве кто-то отменял проверку входных данных?
Total votes 12: ↑9 and ↓3+6
Views2.2K
Comments 19

Каптча?

Lumber room
По мотивам «Уроков рисования в notepad». Из этого можно сделать каптчу. Причем практически непробиваемую. Изображение, которое надо распознать находится в теле html-документа, значит придется или визуализировать его полностью, а это может быть много (если форум, например, то там все выше/нижележащие сообщения), или выделять поддерево DOM и визуализировать отдельно. Несложный трюк с css приведет к тому, что выделенное поддерево не будет выглядеть правильно. Кроме того код можно «размазать» по всему документу и тогда трюк с поддеревом DOM не прокатит (кстати само выделение нужного DOM-элемента по набору условий уже задача ИИ, не всегда успешно решаемая).

Если в дело подключить java-script, от робота потребуется еще и умение его исполнять.

И только пройдя через все эти шаги настанет очередь OCR. Есть мысль, что не каждый робот доберется до этой стадии…

UPD.

Нарисовал пример. К слову такая каптча ненамного превосходит обычную по защищенности. Искаженный текст (степень искажения мала нарочно) легко вырезается как минимум 2-мя способами.

Интерес может представлять сочетание нарисованного текста с вопросом на понимание. Ответить на вопрос невозможно без прочтения (или прослушивания) фрагмента текста, в который встроена картинка, созданная таким образом.

Перед роботом встает несколько задач: найти область распознавания, распознать нужный фрагмент текста и сгенерировать ответ на вопрос. Главное, сделать так, чтобы нельзя было обойтись без распознавания. Т.е. получить достаточно высокую гарантию от создания алгоритма подбора ответа.
Total votes 13: ↑12 and ↓1+11
Views299
Comments 111

Ухудшается ситуация с безопасностью Java

Lumber room
12 смертоностных и трудноустронимых ошибок в языке JAVA о которых вы не знали, по мнению журнала PC Week/RE от 19.06.07:
1. Возможность внедрения кода, например, команд SQL;
2. Уязвимость XSS;
3. Недостатки управления идентификации;
4. Неверная процедура поиска ошибок;
5. Использованный для тестирования программный код попадает в окончательную версию;
6. Наличие методов, позволяющих разработчикам вызывать из java-программ код на С/C++, что привносить проблемы в области безопасности, характерные для С/С++;
7. Ошибки совместимости и синхронизации;
8. Отсутствие контроля за доступом к серверам;
9. Недостатки управления сессиями;
10. Использование непроверенных cookies и заголовком пакетов HTTP;
11. Занесение в журналы конфиденциальных сведений без обеспечения их безопасности;
12. Конфигурация предоставляет неограниченный доступ без использования мониторинга и аудита.

Статья очень развеселила. Только остался вопрос при чем тут JAVA? А… Понял, ниже идет статья: Главный стимул перехода на Vista — безопасность.
Total votes 8: ↑3 and ↓5-2
Views353
Comments 17

Hardened Gentoo: описание

Configuring Linux
Для начала расскажу, зачем я публикую эту статью. Дело в том, что большинство пользователей Gentoo Linux до сих пор не использует Hardened Gentoo. И вызвано это обычно тем, что они либо не знают, что это такое, либо считают что это слишком сложно, либо считают что от этого пострадает стабильность, функциональность или производительность системы. Вот эти опасения я и хочу попытаться развеять.

Hardened Gentoo — это несколько изменений в компиляторе и ядре, которые увеличивают общую защищенность системы от взлома. Например, hardened-ядро умеет блокировать массу потенциально опасных операций, а hardened-gcc позволяет защитить компилируемые им программы от взлома типовыми методами а-ля переполнение буфера. Грубо говоря, если у вас стоит «дырявая» версия программы X, и её пытается взломать хакер, то в обычной системе у него это получится, а в hardened — не получится, да ещё и в лог запись пойдёт.
Читать дальше →
Total votes 29: ↑25 and ↓4+21
Views18K
Comments 15