Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие DoS-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании.
Приглашаем экспертов принять участие в опросе СИГРЭ по лучшим практикам SOC в электроэнергетике

Google Project Zero раскрыл 0-day уязвимость в Windows

Пресечена попытка встроить бэкдор в репозиторий PHP

Вчера злоумышленники попытались скомпрометировать репозиторий исходного кода PHP и добавить бэкдор.
GitHub Meetup 20 апреля, тема Security
Всем привет! Очень скоро, 20 апреля, GitHub будет проводить очередной митап в России. Как и всегда, команда организаторов ждёт вас и вашей обратной связи. Что вам интересно? Приходите послушать и пообщаться.
В этот раз митап будет про безопасность. В последние годы наблюдается рост интереса к этой теме. С одной стороны, это совершенно эволюционный процесс – базы уязвимостей растут, надо их имплементировать в инструменты, стараясь делать это так, чтобы эти инструменты сами не стали уязвимыми, писать регламенты. С другой стороны, появились рабочие группы по DevSecOps и Supply Chain Security. В индустрии обратили пристальное внимание на проблему общения о безопасности между командами разработки, саппортом, бизнес-группами и собственно отделом безопасности. Одними из ключевых факторов для попытки решения этой проблемы уже называют аккуратную автоматизацию процесса разработки и интеграцию с партнёрскими решениями. GitHub, являясь местом, которому разработчики доверяют своё самое ценное, плотно работает над новыми технологиями, и на митапе разработчики из GitHub, Алена Глобина и Артём Савельев, расскажут про CodeQL и обеспечение превентивной безопасности в цикле разработки.
Также недавно GitHub опубликовал пост про управление секретами и использование их в GitHub Actions (за авторством Philip Holleran), перевод которого мы и публикуем.
GitHub Actions – это расширяемый собственными и партнёрскими решениями механизм по автоматизации этапов разработки. Когда нужно обращаться наружу, можно хранить зашифрованные секреты для GitHub Actions для аутентификации на внешних ресурсах. Это делает доступ более простым и безопасным....
Бездействие Electronic Arts на предупреждения о дырах в системах безопасности

В начале июня стало известно о взломе информационных систем издателя игр Electronic Arts, хакеры украли у компании 780 Гбайт данных. Теперь выяснилось, что компания была заранее предупреждена о том, что её системы находятся в опасности, однако не предпринимала никаких мер, что бы предотвратить взлом.
Встречайте CrowdSec v1.1.x: новые пакеты и репозитории

Привет, Хабр. У нас хорошие новости: вышел новый релиз — CrowdSec v.1.1x, его теперь можно скачать через облачную платформу Package Cloud.
Больше мобильной безопасности на OFFZONE 2022
Друзья, всех, кто интересуется практическими аспектами обеспечения информационной безопасности, приглашаем принять участие в конференции Offzone 2022! Мероприятие в этом году пройдет в Москве 25-26 августа и соберет разработчиков, безопасников, исследователей, инженеров, тестировщиков, преподавателей и студентов из нескольких стран мира!
Важно, что на этот раз особое внимание будет уделено теме безопасности мобильных приложений, которая вызывает все больше вопросов и привлекает все больше энтузиастов. Рады сообщить, что Tg-канал Mobile Appsec World компании Стингрей Технолоджис был приглашен стать одним из коммьюнити партнеров конференции Offzone 2022. И у нас не только будет отдельный тематический стенд, но и специальные активности и конкурсы с крутыми призами. Обещаем много насыщенного и полезного контента по теме мобильной безопасности!
Следите за нашими анонсами в июне, июле и августе и примите участие в розыгрышах. Так у вас появится шанс получить инвайт на Offzone 2022. А что там будет? Как всегда, организаторы обещают немало качественного технического контента по ИБ, мастер-классы, конкурсы, розыгрыши и неформальные тусовки. Подключайтесь
Месяц мобильной безопасности: Июнь

И снова, после небольшого перерыва представляю вам главные новости из мира безопасности мобильных приложений за июнь. Было много интересных материалов - давайте посмотрим на самые-самые.
Инвайты в обмен на истории

Привет, Хабр!
По традиции, все билеты на конференции, которые мне попадаются или достаются за участие в различных мероприятиях и их освещение в телеграмм-канале Mobile AppSec World, я разыгрываю среди подписчиков. За прошедшие несколько недель я уже выдал ивайты на OFFZONE 2022, которая пройдет 25-26 августа в Москве, и на Mobius, которая была в Питере.
И здесь я как раз и собрал самые крутые истории, которые мне прислали, чтобы вы также могли их прочитать и улыбнуться вместе со мной (орфография и стиль полностью перенесены из сообщения авторов без изменений).
Итак, поехали!
Покажем свои продукты, устроим движ для хакеров, выступим и приведем маскота: рассказываем, что будет на OFFZONE 2022

Привет, Хабр!
Это снова мы, команда Swordfish Security. Уже почти 10 лет внедряем процессы безопасной разработки и практики DevSecOps, заботимся о безопасности приложений.
А еще Swordfish Security - давний и любимый (ну так нам хотелось бы думать) партнер конференции OFFZONE, которая проводится с 2018 года. Совсем скоро ивент состоится вновь — 25 и 26 августа 2022 года. Мы приготовили для гостей мероприятия много зажигательного и интересного. Наши спикеры тоже постарались — написали крутые и полезные доклады. А теперь переходим непосредственно к спойлерам!
Как защищать мобильные приложения в текущих условиях: обсудим на вебинаре

Привет, Хабр!
Это снова я, Юрий Шабалин — генеральный директор и один из основателей Стингрей Технолоджиз. Наша команда занимается анализом защищенности мобильных приложений: ищет уязвимости и помогает их устранять.
Надеюсь, вы уже соскучились по хорошим новостям. Так вот, у нас тут новый движ: 30 августа в 14:00 проведем вебинар, где я расскажу про безопасность мобильных приложений в текущих условиях. Приглашаю всех вас, подключайтесь! Обещаю дать как можно больше полезной информации и даже попробую добиться оваций (почему бы и нет).
Kaspersky for Vista
Второй пакет обновлений обеспечивает продуктам Kaspersky Internet Security 6.0 и Антивирус Касперского 6.0 возможность полноценно работать как с 32-битной, так и с 64-битной версиями Windows Vista.
При этом Maintenance Pack 2 включает в себя все функции и дополнения, содержавшиеся в первом пакете – в частности, полноценную поддержку операционной системы Windows XP 64-bit Edition, расширенную функциональность задач проверки по требованию, ряд усовершенствований модуля проактивной защиты, и защиту Менеджера задач Windows от внедрения вредоносных библиотек динамических связей (dll).
Загрузить пакет обновлений Maintenance Pack 2 для Kaspersky Internet Security 6.0 и Антивирус Касперского 6.0 можно здесь.
Я Яндекс ленте нашли дыру
Проект «One Laptop Per Child» опубликовал спецификации по безопасности
Безопасность в Гугле
Microsoft передумала продавать Windows Vista
Шифрование писем в Gmail.
После установки скрипта в службе Gmail.com, а, точнее, в окнах ввода нового сообщения и просмотра присланных писем появится новая панелька для кодирования и расшифровки электронных весточек:

Процесс установки и настройки описан в статье Компьютерры Online.
Полезно ввиду последних событий
Антивирус Касперского 7.0
Как сообщают разработчики, данная версия является первой публичной сборкой Антивируса Касперского седьмого поколения и пока включает в себя только самые базовые нововведения:
— прохождение leak-tests (BITStester, Breakout2, CPILSuite(#3), Osfwbypass, Surfer);
— прохождение keylogger тест aklt #3;
— детектирование руткитов, во время сканирования. Вердикт «Hidden Objects». Тестирование проходило на экземплярах Unreal.A, Rustock, EliteKeylogger.
Позже функционал программы будет расширен, в т.ч. будет добавлен и новый графический интерфейс.
Скриншот Антивируса Касперского 7.0. Обсуждение новой версии, а также ссылки для скачивания находятся на официальном формуме ЛК.
JavaScript – «слабое место» Web 2.0?
В частности, использование Ajax делает более уязвимыми корпоративные приложения, сообщил The Register.
«Очень сложно заметить разницу между действиями Ajax и атакой JavaScript, — сказал Чесс. – Потенциально он [Ajax] представляет собой мост между внешними интернет-приложениями и внутренними интранет-приложениями, находящимися под брандмауэром».
На этой неделе Fortify представила новую версию своего продукта Secure Coding Rulepacks, предназначенного для анализа уязвимостей кода на JavaScript.
Источник: safe.cnews.ru/news/line/index.shtml?2007/05/17/250473
Оригинал статьи: www.fortifysoftware.com/news-events/releases/2007/2007-04-02.jsp
P.S.: с вышеприведенным материалом не согласен. К тому же не нашел ни доводов, ни примеров к тому, чтобы так полагать.
Разве что — сформировать Ajax-запрос к серверу вручную. Но разве кто-то отменял проверку входных данных?