Как стать автором
Обновить

Исследователь рассказал об уязвимостях в WhatsApp, которые позволяли читать файлы с ПК

Время прочтения 2 мин
Просмотры 5.7K
Информационная безопасность *Мессенджеры *Facebook API *
image

Гал Вaйцман, исследователь информационной безопасности, описал технические детали уязвимостей высокой степени (CVE-2019-18426) в WhatsApp. Они позволяли злоумышленникам читать файлы с ПК под управлением Windows и macOS и выполнять произвольный код. Сейчас уязвимости устранены разработчиком.

Бреши обнаружились именно в настольных версиях WhatsApp, а также в веб-версии приложения. Они позволяли хакерам удаленно получать доступ к пользовательским файлам и отправлять специально созданное сообщение, похожее на код, просмотр которого позволял осуществить выполнение произвольного кода в контексте веб-домена WhatsApp.
Читать дальше →
Всего голосов 17: ↑13 и ↓4 +9
Комментарии 6

Микросервисная архитектура в управлении корпоративным контентом: приглашаем на вебинар

Время прочтения 2 мин
Просмотры 1.2K
Блог компании ГК ЛАНИТ ECM/СЭД *Конференции Микросервисы *
На рынке систем электронного документооборота, который традиционно считается зрелым, не наблюдается стагнации. Этот рынок постоянно меняется: новые игроки подталкивают «старожилов» двигаться быстрее.

60 млн документов в месяц — как управлять таким объемом и соответствовать потребностям бизнеса к изменениям? 23 апреля в 12:00 приглашаем на бесплатную онлайн-конференцию «Микросервисная архитектура в управлении корпоративным контентом». Участники встречи обсудят новые требования, решения и возможности ECM-рынка. Основная задача мероприятия — познакомить с трендами трансформации бизнеса в области корпоративного контента, возможностями и ограничениями гигантов рынка и новыми игроками.

Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 0

Palo Alto Unit 42: 99% облачных ресурсов дают чрезмерные разрешения

Время прочтения 2 мин
Просмотры 633
Информационная безопасность *Исследования и прогнозы в IT *Облачные сервисы *

Исследователи Palo Alto Unit 42 проанализировали работу облачных сервисов и пришли к выводу, что они предоставляют чрезмерные разрешения. По словам экспертов, неправильно настроенное управление идентификацией и доступом (IAM) повышает риски компрометации облачной инфраструктуры и учетных данных.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 0

Первая солнечная станция на расплавленной соли, работающая круглосуточно

Время прочтения 1 мин
Просмотры 9.6K
Энергия и элементы питания
Как известно, солнечная энергия уже дешевле в производстве, чем ядерная. Но у неё всё равно есть ряд проблем, и одна из них — «прерывистый» характер выработки. Другими словами, ночью солнечная станция не даёт никакой пользы. Но этот дефект тоже можно исправить.

Месяц назад возле Сиракуз (Италия) введена в строй первая в мире станции по концентрации солнечной энергии (concentrated solar power, CSP), которая круглосуточно работает на расплавленной соли.



Здесь вместо фотоэлементов используются параболические зеркала, сфокусированные на трубах с солью, которая способна нагреваться до 550°С. Расплавленная соль поступает в теплохранилище, кипятит воду, а пар крутит турбины.
Читать дальше →
Всего голосов 108: ↑88 и ↓20 +68
Комментарии 152

Криптографическая головоломка: импорт ключа WebMoney в Crypto Service Provider

Время прочтения 10 мин
Просмотры 4.9K
Криптография *
Приватные ключи в системе Windows, как правило, сохраняются в специальном хранилище ключей. Работа с этими ключами происходит путем вызова функций криптографического провайдера (далее CSP). При использовании стандартного CSP (Microsoft Base Cryptographic Provider) ключи пользователя хранятся в папке C:\Users\[Vasia]\AppData\Roaming\Microsoft\Crypto. При использовании специальных устройств, ключи хранятся в памяти самого устройства.

Для повышения безопасности, было принято решение импортировать ключ WebMoney (тот самый .kwm, которым подписывают запросы к интерфейсам) в CSP. Обычно те, кто использует ключ для подписи запросов к WM-интерфейсам, хранят его либо в виде файла .kwm в файловой системе, либо в виде xml-представления – оба варианта не очень-то безопасны.

Это оказалось не так уж просто.

Детально о проблемах, с которыми вы столкнетесь, при повышении безопасности своего платежного сервиса, читайте под катом.

Читать дальше →
Всего голосов 47: ↑43 и ↓4 +39
Комментарии 19

Пишем ГОСТ криптопровайдер

Время прочтения 18 мин
Просмотры 38K
Криптография *
рис.1
Секреты создания CSP для Windows раскрыты в статье Ю.С.Зырянова.

Российские криптоалгоритмы ГОСТ реализованы в OpenSSL Gost.

Удивлен, что на просторах Интернета не удалось найти подтверждения, что кем-то был создан интерфейс криптопровайдера ГОСТ под Windows с использованием вышеприведенных инструментов.

Можно подумать, что эта задача под силу только крупным коммерческим компаниям, имеющим большой опыт в сфере информационной безопасности, к примеру, таким как:Опровергнуть, хотя бы частично, это утверждение и будет задачей данной статьи.
Читать дальше →
Всего голосов 71: ↑66 и ↓5 +61
Комментарии 41

Интересные решения для электронной подписи в браузере

Время прочтения 4 мин
Просмотры 30K
Информационная безопасность *
В одном из комментов к этому топику, отечественный потребитель ЭЦП написал:
У меня есть мечта… В самом деле — у меня есть мечта, что когда-нибудь в будущем я смогу обойтись без связки «windows + IE» для клиент-банков и прочего софта, который использует крипто-про. СБИС++, например. Блин, я надеюсь, что это когда-нибудь будет.



Конкретная такая мечта. И сейчас имеются все предпосылки для ее исполнения.

В топике я немного остановлюсь на решениях Крипто-Про, которые позволяют сделать квалифицированную ЭЦП в браузере действительно удобной.

А так же опишу одно оригинальное решение от фирмы Криптоком (www.cryptocom.ru), которое позволяет подписывать документы через интернет квалифицированной ЭЦП с помощью практически любого компьютера/браузера без предварительной настройки и без прав сисадмина (для варианта «срочно нужно провести сделку из интернет-кафе турецкого отеля»).

Читать дальше →
Всего голосов 32: ↑26 и ↓6 +20
Комментарии 98

Введение в теорию взаимодействующих последовательных процессов (Communicating Sequential Processes — CSP)

Время прочтения 6 мин
Просмотры 14K
Облачные вычисления *
Из песочницы

Предисловие


Данный текст является переводом и сокращённым пересказом начальных глав книги Чарльза Э. Хоара. Целью является ознакомление русскоязычной аудитории с данной алгеброй исчисления процессов, коя нашла достаточно широкое применение в современной вычислительной науке в связи с большим распространением параллельных систем. Наиболее близкими и понятными практическими применениями CSP, думаю, будут являться следующие языки программирования:

CSP является формальным математическим языком, позволяющим описывать взаимодействие параллельных систем, основным его применением является формальная спецификация параллельной работы систем, например таких как Транспьютер, кроме того он применяется при разработке высоконадёжных площадок электронной торговли.
В данной статье будут рассказаны основы данной алгебры, без которой невозможно её дальнейшее изучение, в основном это базовое описание процесса, что покрывает первую половину первой главы книги.
Читать дальше →
Всего голосов 31: ↑31 и ↓0 +31
Комментарии 9

Введение в теорию взаимодействующих последовательных процессов (CSP), часть 2

Время прочтения 5 мин
Просмотры 4.2K
Облачные вычисления *
Продолжаем цикл статей посвящённый алгебре исчисления процессов. Данный текст является переводом и сокращённым пересказом начальных глав книги Чарльза Э. Хоара. Теория применяется для формального описания работы параллельных систем. Примерам её практических применений являются такие языки программирования как Erlang, Go и Limbo.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 3

Локализация в СУБД Caché

Время прочтения 9 мин
Просмотры 5.2K
Блог компании InterSystems Разработка веб-сайтов *
Предположим, вы написали программу, выводящую «Hello, World!», например:
  write "Hello, World!"

Приложение работает, всё хорошо.
Но проходит время, ваше приложение развивается, становится популярным и вот, вам нужно эту строку вывести уже на другом языке, причём количество и состав требуемых языков заранее неизвестен.
Под катом вы узнаете, как задача локализации решается в Caché.

Поехали!
Всего голосов 9: ↑5 и ↓4 +1
Комментарии 5

Переводим Chrome extension на manifest_version 2

Время прочтения 6 мин
Просмотры 22K
Google Chrome
Владельцам расширений (а также приложений) для Хрома уже пора бы задуматься над поддержкой второй версии манифеста.
Если кто не в курсе, то не так давно были объявлены новые изменения и нововведения в разработку расширений для браузера.
Далее будет выборочный перевод двух страниц и мой способ использования шаблонизатора изнутри песочницы.
Читать дальше →
Всего голосов 17: ↑14 и ↓3 +11
Комментарии 5

Реализация фоновой загрузки файлов на сервер Caché

Время прочтения 10 мин
Просмотры 5K
Блог компании InterSystems Разработка веб-сайтов *JavaScript *
Туториал
У разработчиков веб-приложений на Caché и Ensemble часто возникает задача «file upload» — загрузки файлов с браузера. Недавно на форуме по Caché на SQL.ru снова возникло несколько вопросов о том, как сделать фоновую загрузку файлов. Решил описать как это можно сделать с использованием технологий CSP и ZEN.
Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Комментарии 1

Использование MS CRYPTO API в Caché

Время прочтения 10 мин
Просмотры 3.7K
Блог компании InterSystems Криптография *
Говоря о базах данных, как об источниках знаний, мы всегда подразумеваем, что это не только большой склад разнообразной упорядоченной (или не очень) информации, но и место ее безопасного хранения. Под безопасностью, как правило, понимается защита цифровых данных от несанкционированного доступа при передаче через каналы связи, но не стоит забывать и о физической защите носителей данных. Тем не менее, я не буду рассуждать, какие бронированные двери лучше ставить в вашу серверную и сколько охранников должно дежурить на проходной, а расскажу о криптографии.
Читать дальше →
Всего голосов 14: ↑10 и ↓4 +6
Комментарии 0

Как мы сделали чтение писем безопаснее: Content Security Policy в Яндекс.Почте

Время прочтения 8 мин
Просмотры 49K
Блог компании Яндекс Информационная безопасность *Разработка веб-сайтов *
Одним из приоритетов для команды Яндекс.Почты всегда была и есть безопасность данных пользователя. Причем это касается не только хранения писем, но и безопасного доступа к ним. Еще в 2011 году мы стали пропускать все изображения в письмах через наши прокси-сервера, перекрыв один из каналов распространения вредоносного кода, а также кешировать их для экономии трафика и обеспечения большей приватности. В ноябре этого года мы внедрили шифрование при приеме и отправке почты, а также и перевели почту в режим HTTPS-only — теперь веб-интерфейс доступен только по безопасному протоколу.

А с недавних пор мы стали поддерживать новый механизм защиты данных пользователя – стандарт Content Security Policy. С его помощью можно запретить скриптам на странице подгружать какие-либо ресурсы с хостов, не указанных в белом списке.

Это пока довольно редкая штука (ни одна крупная известная нам почта этого ещё не применяет), и в этом посте мы поделимся опытом внедрения стандарта.

image
Читать дальше →
Всего голосов 79: ↑69 и ↓10 +59
Комментарии 26

Content Security Policy, для зла

Время прочтения 2 мин
Просмотры 14K
Информационная безопасность *Разработка веб-сайтов *
Есть такой специальный хедер для безопасности вебсайтов CSP.

CSP ограничивает загрузку каких либо ресурсов если они не были пре-одобрены в хедере, то есть отличная защита от XSS. Атакующий не сможет загрузить сторонний скрипт, inline-скрипты тоже отключены…

На уровне браузера вы можете разрешить только конкретные урлы для загрузки а другие будут запрещены. Помимо пользы этот механизм может принести и вред — ведь факт блокировки и есть детекция! Осталось только придумать как ее применить.
Читать дальше →
Всего голосов 42: ↑35 и ↓7 +28
Комментарии 20

Релиз Firefox 33

Время прочтения 2 мин
Просмотры 43K
Firefox Браузеры
Для загрузки стал доступен Firefox для десктопов. Основные нововведения: (и снова) оптимизация потребления памяти, Off Main Thread для Windows, интеграция OpenH264, различные улучшения в работе поиска в адресной строке, повышение стабильности восстановления сессий и т.д. Список всех изменений в Firefox 33 под катом.
Читать дальше →
Всего голосов 52: ↑48 и ↓4 +44
Комментарии 79

Эмуляция CORS на стороне клиента: кроссбраузерное решение некоторых пользовательских задач без расширений

Время прочтения 40 мин
Просмотры 22K
Firefox JavaScript *Internet Explorer Google Chrome Браузеры
Туториал

I. В чём проблема



Расширения для браузеров — мощный инструмент продвинутого веб-сёрфинга, самая доступная, развитая и распространённая часть целого ряда инструментов. Однако расширения имеют и слабые стороны: каждый браузер требует знания и применения своих правил и форматов, а это дополнительная сложность для создателя. Расширения не кроссбраузерны, что сразу ограничивает их адресат. Есть попытки обобщить создание расширений, но они могут добавлять уже свою дополнительную прослойку форматов и правил.

Когда расширение улучшает специфические стороны браузерного интерфейса, без него не обойтись. Но некоторые задачи универсальны, не связаны с частными средствами браузера и, тем не менее, без расширения их тоже не выполнить. Одна из таких задач — кроссдоменные XMLHttpRequest запросы, нарушающие политику одного источника.
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 5

Безопасность веб-ресурсов банков России

Время прочтения 12 мин
Просмотры 22K
Блог компании Digital Security Информационная безопасность *
image

В нашей компании мы постоянно проводим различные исследования (список), выбирая интересную для нас тему и как итог — представляя общественности pdf с результатами.

Данная статья статья как раз из разряда таких исследований. Проводя работы по анализу защищенности мы приводим обычно очень схожие (общие для всех) советы, которым мало следует, некоторые best practices, которые или просто повышают общий уровень защищенности системы (например — применение CSP), или действительно позволяют предотвратить атаку.

Введение


Как известно, уровень безопасности системы определяется надежностью её самого слабого узла. На практике, после проведения анализа защищенности, основываясь на перечне найденных уязвимостей, выбирается одна брешь или целая цепочка и определяется наиболее проблемное звено. Сразу можно сказать, что зачастую правильно настроенная система может нивелировать риски существующей уязвимости. В ходе исследования мы выяснили, какие потенциальные векторы атак могут быть доступны злоумышленникам. Например, легко ли похитить сессионные данные пользователя при наличии уязвимости межсайтового скриптинга. Также нам было интересно посмотреть, насколько просто реализовать фишинговую атаку на пользователей банка. Пройдясь по этим пунктам и условно проставив “галочки”, злоумышленник может выстроить векторы дальнейших атак на банк и его пользователей.
Читать дальше →
Всего голосов 24: ↑19 и ↓5 +14
Комментарии 7

Многопоточность в C++ и SObjectizer с CSP-шными каналами, но совсем без акторов…

Время прочтения 7 мин
Просмотры 4.5K
Open source *Программирование *C++ *

Раньше мы рассказывали про SObjectizer как про акторный фреймворк для C++, хотя в действительности это не совсем так. Например, уже давно в SObjectizer есть такая классная штука, как mchain-ы (они же каналы из модели CSP). Mchain-ы позволяют легко и непринужденно организовать обмен данными между рабочими потоками. Не создавая агентов, которые нужны далеко не всегда. Как раз на днях довелось в очередной раз этой фичей воспользоваться и упростить себе жизнь за счет передачи данных между потоками посредством каналов (т.е. SObjectizer-овских mchain-ов). Так что не только в Go можно получать удовольствие от использования CSP. В C++ это так же возможно. Кому интересно, что и как, прошу под кат.

Читать дальше →
Всего голосов 17: ↑16 и ↓1 +15
Комментарии 4

Задачи планирования и программирование в ограничениях

Время прочтения 8 мин
Просмотры 22K
Блог компании Nexign Программирование *Алгоритмы *Математика *
Туториал
Когда у тебя в запасе много популярных инструментов вроде JAVA, Python, Ruby, PHP, C#, C++ и других, чувствуешь себя почти всемогущим. Стандартный подход в разработке рулит. Но только до тех пор, пока не столкнешься с определенным типом задач.

 
Подумайте, как правильно написать программу, которая оптимально…

• решит головоломку типа судоку или задачу о восьми ферзях;
• распределит задачи между определенным набором ресурсов;
• рассчитает расписание занятий;
• определит эффективный маршрут движения транспорта;
• составит график дежурств и т.п.
 
Если программирование в ограничениях и решение сложных комбинаторных задач планирования не самая сильная ваша сторона, то эта статья как раз для вас.

image
Читать дальше →
Всего голосов 19: ↑19 и ↓0 +19
Комментарии 5
1