Как стать автором
Поиск
Профиль
Обновить
Поиск
Публикации Хабы Компании Пользователи Комментарии
  • по релевантности
  • по времени
  • по рейтингу

Nginx опубликовал обновление безопасности против DoS-уязвимостей в HTTP/2

Блог компании Nixys Информационная безопасность *Системное администрирование *Nginx *Серверное администрирование *


Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие DoS-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании.

Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 4.8K
Комментарии 4

Приглашаем экспертов принять участие в опросе СИГРЭ по лучшим практикам SOC в электроэнергетике

Блог компании Ростелеком-Солар Информационная безопасность *
Рабочая группа РНК СИГРЭ по кибербезопасности систем связи и управления в электроэнергетике, «Ростелеком-Солар», АО «РТСофт» и Positive Technologies приглашают электроэнергетические компании принять участие в опросе по ключевым аспектам работы SOC (Security Operation Center) в отрасли. Опрос разработан при активном участии экспертов «Ростелеком-Солар» и направлен прежде всего на оценку технологий, кадровой политики и процессов, применяемых организациями по всему миру при реализации SOC в электроэнергетике.

Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Просмотры 401
Комментарии 0

Google Project Zero раскрыл 0-day уязвимость в Windows

Блог компании Ростелеком-Солар Информационная безопасность *
Project Zero, функционирующий в рамках Google, сообщил о том, что хакеры активно эксплуатируют уязвимость нулевого дня, которую вряд ли пропатчат в течение ближайших двух недель.


Читать дальше →
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 7.2K
Комментарии 3

Пресечена попытка встроить бэкдор в репозиторий PHP

Информационная безопасность *PHP *

Вчера злоумышленники попытались скомпрометировать репозиторий исходного кода PHP и добавить бэкдор.

Читать далее
Всего голосов 26: ↑25 и ↓1 +24
Просмотры 10K
Комментарии 27

GitHub Meetup 20 апреля, тема Security

Блог компании Microsoft GitHub

Всем привет! Очень скоро, 20 апреля, GitHub будет проводить очередной митап в России. Как и всегда, команда организаторов ждёт вас и вашей обратной связи. Что вам интересно? Приходите послушать и пообщаться

В этот раз митап будет про безопасность. В последние годы наблюдается рост интереса к этой теме. С одной стороны, это совершенно эволюционный процесс – базы уязвимостей растут, надо их имплементировать в инструменты, стараясь делать это так, чтобы эти инструменты сами не стали уязвимыми, писать регламенты. С другой стороны, появились рабочие группы по DevSecOps и Supply Chain Security. В индустрии обратили пристальное внимание на проблему общения о безопасности между командами разработки, саппортом, бизнес-группами и собственно отделом безопасности. Одними из ключевых факторов для попытки решения этой проблемы уже называют аккуратную автоматизацию процесса разработки и интеграцию с партнёрскими решениями. GitHub, являясь местом, которому разработчики доверяют своё самое ценное, плотно работает над новыми технологиями, и на митапе разработчики из GitHub, Алена Глобина и Артём Савельев, расскажут про CodeQL и обеспечение превентивной безопасности в цикле разработки. 

Также недавно GitHub опубликовал пост про управление секретами и использование их в GitHub Actions (за авторством Philip Holleran), перевод которого мы и публикуем.

GitHub Actions – это расширяемый собственными и партнёрскими решениями  механизм по автоматизации этапов разработки. Когда нужно обращаться наружу, можно хранить зашифрованные секреты для GitHub Actions для аутентификации на внешних ресурсах. Это делает доступ более простым и безопасным....

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 316
Комментарии 0

Бездействие Electronic Arts на предупреждения о дырах в системах безопасности

Информационная безопасность *IT-компании

В начале июня стало известно о взломе информационных систем издателя игр Electronic Arts, хакеры украли у компании 780 Гбайт данных. Теперь выяснилось, что компания была заранее предупреждена о том, что её системы находятся в опасности, однако не предпринимала никаких мер, что бы предотвратить взлом.

Поехали..
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 2.7K
Комментарии 1

Встречайте CrowdSec v1.1.x: новые пакеты и репозитории

Блог компании CrowdSec Информационная безопасность *Open source *Серверное администрирование *

Привет, Хабр. У нас хорошие новости: вышел новый релиз — CrowdSec v.1.1x, его теперь можно скачать через облачную платформу Package Cloud. 

Читать далее
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 331
Комментарии 0

Kaspersky for Vista

Тестирование IT-систем *
Лаборатория Касперского сообщает о выходе новых версий (MP2 — 6.0.2.614) своих флагмановских продуктов — Kaspersky AV 6.0 / Kaspersky IS 6.0 Важнейшее дополнение, появившееся в Maintenance Pack 2 — поддержка новой операционной системы Windows Vista.

Второй пакет обновлений обеспечивает продуктам Kaspersky Internet Security 6.0 и Антивирус Касперского 6.0 возможность полноценно работать как с 32-битной, так и с 64-битной версиями Windows Vista.

При этом Maintenance Pack 2 включает в себя все функции и дополнения, содержавшиеся в первом пакете – в частности, полноценную поддержку операционной системы Windows XP 64-bit Edition, расширенную функциональность задач проверки по требованию, ряд усовершенствований модуля проактивной защиты, и защиту Менеджера задач Windows от внедрения вредоносных библиотек динамических связей (dll).

Загрузить пакет обновлений Maintenance Pack 2 для Kaspersky Internet Security 6.0 и Антивирус Касперского 6.0 можно здесь.
Всего голосов 7: ↑4 и ↓3 +1
Просмотры 1.1K
Комментарии 4

Я Яндекс ленте нашли дыру

IT-компании
В ЖЖурнале пользователя netlux появилось сообщение о том, что через Яндекс ленту можно получить пароли некоторых пользователей ЖЖ. Достаточно забавная дырка, демонстрирующая пароли открытым текстом. К настоящему моменту ее уже прикрыли. Сообщение, в котором сообщается о дыре, моментально попала в топ популярных записей :)
Всего голосов 13: ↑1 и ↓12 -11
Просмотры 279
Комментарии 2

Проект «One Laptop Per Child» опубликовал спецификации по безопасности

Open source *
Проектом «One Laptop Per Child» опубликована спецификацию на продвинутую систему безопасности под названием Bitfrost.
Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Просмотры 696
Комментарии 3

Безопасность в Гугле

IT-компании
Чтобы доказать потенциальным клиентам Google Apps Business Edition заботу Гугла о безопасности, компания опубликовала пресс-релиз под названием «Полный анализ безопасности и защиты от угроз для Приложений Гугла» (PDF). Ниже представлены некоторые интересные факты.

Читать дальше →
Всего голосов 31: ↑29 и ↓2 +27
Просмотры 594
Комментарии 36

Microsoft передумала продавать Windows Vista

Чулан
После многих потраченных лет и миллиардов долларов, вложенных в разработку своей новой операционной системы Vista, корпорация Microsoft объявила блокаду покупателям, желающим приобрести ее новинку.
Читать дальше →
Всего голосов 6: ↑2 и ↓4 -2
Просмотры 236
Комментарии 5

Шифрование писем в Gmail.

IT-компании
Скрипт для Greasemonkey, который поможет вам с шифрованием вашей e-mail корреспонденции.

После установки скрипта в службе Gmail.com, а, точнее, в окнах ввода нового сообщения и просмотра присланных писем появится новая панелька для кодирования и расшифровки электронных весточек:



Процесс установки и настройки описан в статье Компьютерры Online.
Полезно ввиду последних событий
Всего голосов 5: ↑2 и ↓3 -1
Просмотры 326
Комментарии 0

Антивирус Касперского 7.0

Тестирование IT-систем *
Сегодня на официальном форуме Лаборатории Касперского (ЛК) был представлен первый прототип Антивируса Касперского 7.0.

Как сообщают разработчики, данная версия является первой публичной сборкой Антивируса Касперского седьмого поколения и пока включает в себя только самые базовые нововведения:
— прохождение leak-tests (BITStester, Breakout2, CPILSuite(#3), Osfwbypass, Surfer);
— прохождение keylogger тест aklt #3;
— детектирование руткитов, во время сканирования. Вердикт «Hidden Objects». Тестирование проходило на экземплярах Unreal.A, Rustock, EliteKeylogger.

Позже функционал программы будет расширен, в т.ч. будет добавлен и новый графический интерфейс.

Скриншот Антивируса Касперского 7.0. Обсуждение новой версии, а также ссылки для скачивания находятся на официальном формуме ЛК.
Всего голосов 11: ↑7 и ↓4 +3
Просмотры 949
Комментарии 4

JavaScript – «слабое место» Web 2.0?

Ajax *
Появление большего числа сайтов по технологии Web 2.0, написанных на языке Ajax (ну, Ajax разве язык?!), в основе которого лежит язык сценариев JavaScript, представляет новую угрозу для компьютерной безопасности, утверждает главный учёный и основатель компании защиты информации Fortify Software Брайан Чесс (Brian Chess).

В частности, использование Ajax делает более уязвимыми корпоративные приложения, сообщил The Register.

«Очень сложно заметить разницу между действиями Ajax и атакой JavaScript, — сказал Чесс. – Потенциально он [Ajax] представляет собой мост между внешними интернет-приложениями и внутренними интранет-приложениями, находящимися под брандмауэром».

На этой неделе Fortify представила новую версию своего продукта Secure Coding Rulepacks, предназначенного для анализа уязвимостей кода на JavaScript.

Источник: safe.cnews.ru/news/line/index.shtml?2007/05/17/250473
Оригинал статьи: www.fortifysoftware.com/news-events/releases/2007/2007-04-02.jsp

P.S.: с вышеприведенным материалом не согласен. К тому же не нашел ни доводов, ни примеров к тому, чтобы так полагать.
Разве что — сформировать Ajax-запрос к серверу вручную. Но разве кто-то отменял проверку входных данных?
Всего голосов 12: ↑9 и ↓3 +6
Просмотры 2.2K
Комментарии 19

Каптча?

Чулан
По мотивам «Уроков рисования в notepad». Из этого можно сделать каптчу. Причем практически непробиваемую. Изображение, которое надо распознать находится в теле html-документа, значит придется или визуализировать его полностью, а это может быть много (если форум, например, то там все выше/нижележащие сообщения), или выделять поддерево DOM и визуализировать отдельно. Несложный трюк с css приведет к тому, что выделенное поддерево не будет выглядеть правильно. Кроме того код можно «размазать» по всему документу и тогда трюк с поддеревом DOM не прокатит (кстати само выделение нужного DOM-элемента по набору условий уже задача ИИ, не всегда успешно решаемая).

Если в дело подключить java-script, от робота потребуется еще и умение его исполнять.

И только пройдя через все эти шаги настанет очередь OCR. Есть мысль, что не каждый робот доберется до этой стадии…

UPD.

Нарисовал пример. К слову такая каптча ненамного превосходит обычную по защищенности. Искаженный текст (степень искажения мала нарочно) легко вырезается как минимум 2-мя способами.

Интерес может представлять сочетание нарисованного текста с вопросом на понимание. Ответить на вопрос невозможно без прочтения (или прослушивания) фрагмента текста, в который встроена картинка, созданная таким образом.

Перед роботом встает несколько задач: найти область распознавания, распознать нужный фрагмент текста и сгенерировать ответ на вопрос. Главное, сделать так, чтобы нельзя было обойтись без распознавания. Т.е. получить достаточно высокую гарантию от создания алгоритма подбора ответа.
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 305
Комментарии 111

Ухудшается ситуация с безопасностью Java

Чулан
12 смертоностных и трудноустронимых ошибок в языке JAVA о которых вы не знали, по мнению журнала PC Week/RE от 19.06.07:
1. Возможность внедрения кода, например, команд SQL;
2. Уязвимость XSS;
3. Недостатки управления идентификации;
4. Неверная процедура поиска ошибок;
5. Использованный для тестирования программный код попадает в окончательную версию;
6. Наличие методов, позволяющих разработчикам вызывать из java-программ код на С/C++, что привносить проблемы в области безопасности, характерные для С/С++;
7. Ошибки совместимости и синхронизации;
8. Отсутствие контроля за доступом к серверам;
9. Недостатки управления сессиями;
10. Использование непроверенных cookies и заголовком пакетов HTTP;
11. Занесение в журналы конфиденциальных сведений без обеспечения их безопасности;
12. Конфигурация предоставляет неограниченный доступ без использования мониторинга и аудита.

Статья очень развеселила. Только остался вопрос при чем тут JAVA? А… Понял, ниже идет статья: Главный стимул перехода на Vista — безопасность.
Всего голосов 8: ↑3 и ↓5 -2
Просмотры 353
Комментарии 17

Hardened Gentoo: описание

Настройка Linux *
Для начала расскажу, зачем я публикую эту статью. Дело в том, что большинство пользователей Gentoo Linux до сих пор не использует Hardened Gentoo. И вызвано это обычно тем, что они либо не знают, что это такое, либо считают что это слишком сложно, либо считают что от этого пострадает стабильность, функциональность или производительность системы. Вот эти опасения я и хочу попытаться развеять.

Hardened Gentoo — это несколько изменений в компиляторе и ядре, которые увеличивают общую защищенность системы от взлома. Например, hardened-ядро умеет блокировать массу потенциально опасных операций, а hardened-gcc позволяет защитить компилируемые им программы от взлома типовыми методами а-ля переполнение буфера. Грубо говоря, если у вас стоит «дырявая» версия программы X, и её пытается взломать хакер, то в обычной системе у него это получится, а в hardened — не получится, да ещё и в лог запись пойдёт.
Читать дальше →
Всего голосов 29: ↑25 и ↓4 +21
Просмотры 18K
Комментарии 15

Hardened Gentoo: настройка

Настройка Linux *
Tutorial
Настройка Hardened состоит из двух частей: настройка ядра, и настройка ролей (RBAC или SELinux). Пример настройки ядра 2.6.20 я сейчас покажу. А RBAC/SELinux я пока не настраивал.
Читать дальше →
Всего голосов 17: ↑14 и ↓3 +11
Просмотры 6.3K
Комментарии 16
1
2 3 ...
46 47

Ваш аккаунт

Разделы

Информация

Услуги

О сайте Техническая поддержка Вернуться на старую версию
© 2006–2021 «Habr»