SDO СryptoNet

Эксперты Symantec обнаружили и помогли исправить серьезную ошибку в системе защиты персональных данных пользователей Facebook

14.07.11 При этом ошибка появилась не сейчас, она существовала долгие годы, и в течение этих лет приложения Facebook передавали частную информацию пользователей «третьим лицам», под которыми понимаются различные рекламные и маркетинговые конторы. Ошибку в системе защиты персональных данных пользователей обнаружили эксперты из Symantec, которые и провели общую оценку влияния обнаруженной уязвимости. Как оказалось, были затронуты сотни тысяч приложений, которые передавали тем самым третьим лицам идентификаторы пользователей.

Такие идентификаторы (tokens) получают приложения, когда пользователь устанавливает собственные права доступа для определенного приложения (например, право размещать сообщения на собственной стене, или право доступа к своим фото и другим личным данным). Как утверждается, затронуты приложения, которые... читать дальше

Истёкшие домены — дыра в безопасности Google Apps

14.07.11 Английский разработчик Бен Рейес написал в своём блоге, как он зарегистрировал только что истёкший домен и в качестве бонуса получил к нему чужой ящик Gmail, календарь и контакты. Завладев чужим ящиком, Бен смог зайти и в аккаунты на сторонних сервисах, таких как Amazon.

Провернуть такую операцию получилось с помощью Google Apps. Дело в том, что Бен захотел после получения домена сразу же привязать его к своему аккаунту Google App, но обнаружил, что домен уже к кому то привязан.

Бен обратился за помощью к знакомым в твиттере и ему ответил сотрудник Google, который объяснил, что у них в справочном разделе описана процедура, как восстановить привязку домена к аккаунту. Он изменил соответствующие настройки (скриншот) и получил админский доступ к сайту. Интересно, что Google предложил на выбор два... читать дальше

ФБР по ошибке украло сервер Instapaper

14.07.11 Неприятная история случилась с веб-сервисом Instapaper. Один из пяти серверов компании арендовался у швейцарского хостера DigitalOne в дата-центре в Вирджинии. Во вторник утром там проводило операцию ФБР (см. официальный пресс-релиз). Что конкретно искали спецслужбы — точно не известно. Говорят, они хотели конфисковать какой-то конкретный сервер, но исполнительный директор хостинговой компании DigitalOne Сергей Остроумов пояснил, что кроме искомого ФБР прихватило с собой «десятки серверов от непричастных компаний». ... читать дальше

Microsoft не считает кукиджекинг серьёзной угрозой

14.07.11 На недавней хакерский конференции в Швейцарии итальянский исследователь Розарио Валотта (Rosario Valotta) продемонстрировал интересный баг в IE 7/8/9, позволяющий скопировать кукисы с компьютера пользователя.

По аналогии с кликджекингом, метод работает через прозрачный iframe, куда выводится список файлов из папки с кукисами. Над ним размещается ещё один элемент, который пользователь перетягивает на другой фрейм с минимальными настройками безопасности (Security Zones в IE), фактически добровольно отдавая файлы злоумышленнику. В своём блоге Розарио Валотта выложил красивый паззл c полуобнажённой девушкой, где кусочки мозаики нужно убирать в сторону — и за несколько дней он получил ... читать дальше