Google исправила уязвимости в Android

Автор: admin от 7-12-2015, 23:19, посмотрело: 628

Google выпустила обновление безопасности для Android Nexus Security Bulletin — December 2015, которое закрывает 19 уязвимостей в ОС. Некоторые из них являются достаточно серьезными и позволяют атакующим удаленно исполнить код на устройстве с использованием специальным образом сформированных мультимедийных файлов, причем эти файлы могут быть доставлены пользователю через электронную почту, веб-браузер или MMS-сообщение.

Google исправила уязвимости в Android

Уязвимость CVE-2015-6616 в системном компоненте Mediaserver позволяет злоумышленникам удаленно исполнить код с повышенными привилегиями на устройстве через отправку MMS-сообщения (Remote Code Execution). Другая критическая LPE-уязвимость в ядре с идентификатором CVE-2015-6619 позволяет приложению получить максимальные права root в системе и полный доступ ко всем ресурсам устройства. Подобный тип уязвимостей используется для выполнения операции rooting.

Категория: Операционные системы / Android

 

C# WPF – Собственный ListView с «блэкджеком и …»

Автор: admin от 7-12-2015, 21:18, посмотрело: 713

Введение


Признаем все, что «DotNetFramework» — гениальное изобретение Microsoft, которое предоставляет внушительный набор готовых компонентов и позволяет строить ПО по принципу «LEGO». Но не всегда их достаточно, особенно для специфических задач, требующих либо «особенного быстродействия», либо «особенного способа взаимодействия»… И Microsoft даёт возможность создавать свои компоненты. Итак, хочу поделиться опытом создания собственного ListView-компонента (будем называть так вид компонентов, которые выводят для просмотра список каких-либо объектов) — «по-быстрому» (в условиях, когда надо было ещё вчера).

Категория: Программирование / Веб-разработка

 

Microsoft добавил возможность отключения слежения в версиях Windows 10 для корпоративных клиентов

Автор: admin от 7-12-2015, 20:20, посмотрело: 490

Microsoft довольно своеобразно отреагировал на свалившуюся на него со всех сторон критику по поводу слежки за пользователями: как пишет сайт Techrepublic, новый апдейт популярной ОС позволит пользователям блокировать мониторинг, но только в Enterprise (корпоративной) версии. Об этом радостном событии было объявлено 12 ноября этого года.

Microsoft добавил возможность отключения слежения в версиях Windows 10 для корпоративных клиентов

Категория: Программирование / Веб-разработка / Информационная безопасность / Microsoft / Windows

 

Не все cookie одинаково полезны

Автор: admin от 7-12-2015, 19:22, посмотрело: 697

В этой статье я хотел бы рассказать о том, как можно объединить небольшие недочеты в обработке cookie-значений в цепочку, и произвести за счет этого атаку на пользователей популярных веб-приложений.
Не все cookie одинаково полезны

Категория: Информационная безопасность

 

Бесплатный курс «Android. Быстрый старт»

Автор: admin от 7-12-2015, 18:16, посмотрело: 343

Бесплатный курс «Android. Быстрый старт»

Урок курса «Android. Быстрый старт»

Операционная система Android, начиная с момента первого релиза, всегда притягивала к себе внимание людей из самых разных сфер бизнеса, программирования и академической среды. Сам факт ее появления на свет принес ее создателям, калифорнийскому стартапу из четырех друзей-программистов, кругленькую сумму в 130 млн. долларов.

История течет так быстро, что уже только убелённые сединами хипстеры начала этого века помнят, что в одном из гаражей города Пало Альто совсем недалеко от стен альма-матери множества IT-корпораций, в том числе, Sun Microsystems – Стэнфордского Университета, в 2003 году во время товарищеской вечеринки были сформулированы основные идеи программного продукта, который позже стал мировым хитом.

Базовые ценности никто не отменял


Почему мы упомянули Стэнфорд и Sun? Не только для того, чтобы передать тот дух свободы и творчества, который царил в это время в Кремниевой Долине, но и для того, чтобы с момента своего знакомства с Android, начинающие программисты понимали – эта ОС не появилась как бы сама собой на клочке бумаги и не была написана вот так «на коленке» юным дарованием.

За ней стояли люди, которые прекрасно понимали, что и зачем они делают. А заработанные ими 130 млн. долларов в 2005 году от продажи своего продукта корпорации Google только это доказывают.

Категория: Веб-разработка / Microsoft / Google / Android

 

Как устроены дыры в безопасности: переполнение буфера

Автор: admin от 7-12-2015, 17:56, посмотрело: 696

Прим. переводчика: Это перевод статьи Питера Брайта (Peter Bright) «How security flaws work: The buffer overflow» о том, как работает переполнение буфера и как развивались уязвимости и методы защиты.


Беря своё начало с Червя Морриса (Morris Worm) 1988 года, эта проблема поразила всех, и Linux, и Windows.

Как устроены дыры в безопасности: переполнение буфера

Переполнение буфера (buffer overflow) давно известно в области компьютерной безопасности. Даже первый само-распространяющийся Интернет-червь — Червь Морриса 1988 года — использовал переполнение буфера в Unix-демоне finger для распространения между машинами. Двадцать семь лет спустя, переполнение буфера остаётся источником проблем. Разработчики Windows изменили свой подход к безопасности после двух основанных на переполнении буфера эксплойтов в начале двухтысячных. А обнаруженное в мае сего года переполнение буфера в Linux драйвере (потенциально) подставляет под удар миллионы домашних и SMB маршрутизаторов.

По своей сути, переполнение буфера является невероятно простым багом, происходящим из распространённой практики. Компьютерные программы часто работают с блоками данных, читаемых с диска, из сети, или даже с клавиатуры. Для размещения этих данных, программы выделяют блоки памяти конечного размера — буферы. Переполнение буфера происходит, когда происходит запись или чтение объёма данных большего, чем вмещает буфер.

На поверхности, это выглядит как весьма глупая ошибка. В конце концов, программа знает размер буфера, а значит, должно быть несложно удостоверится, что программа никогда не попытается положить в буфер больше, чем известный размер. И вы были бы правы, рассуждая таким образом. Однако переполнения буфера продолжают происходить, а результаты часто представляют собой катастрофу для безопасности.

Чтобы понять, почему происходит переполнение буфера — и почему результаты столь плачевны — нам нужно рассмотреть то, как программы используют память, и как программисты пишут код.

(Примечание автора: мы рассмотрим, в первую очередь, переполнение стекового буфера (stack buffer overflow). Это не единственный вид переполнения, но оно является классическим и наиболее изученным видом)

Категория: Программирование / Веб-разработка / Информационная безопасность

 

Конверсия платежей: 4 причины, снижающие успешность оплаты на вашем сайте и способы их устранения

Автор: admin от 7-12-2015, 17:31, посмотрело: 476

Конверсия платежей: 4 причины, снижающие успешность оплаты на вашем сайте и способы их устранения
Друзья,

Сегодня мы хотим поговорить о конверсии платежей. Что это такое? По каким причинам чаще всего происходят отказы? Как оптимизировать проходимость платежей?

Разные люди считают конверсию по-разному: по проходимости платежей (отношение успешных платежей к общему количеству попыток), по количеству успешно оплаченных заказов (вне зависимости от количества попыток, потребовавшихся для успешной оплаты), и даже — в особо тяжелых случаях — по количеству переходов на платежную форму. Мы считаем по первому варианту — для нас, как для платежного шлюза, показатель проходимости платежей является наиболее важным и поддающимся оптимизации с нашей стороны.
Подробности

Категория: Программирование / Веб-разработка

 

Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 21. «Master Splyntr»

Автор: admin от 7-12-2015, 17:25, посмотрело: 369

Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 21. «Master Splyntr»Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого».

В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров.

Квест по переводу книги начался летом в ИТшном лагере для старшеклассников — «Шкворень: школьники переводят книгу про хакеров», затем к переводу подключились и Хабраюзеры и даже немного редакция.

(Приношу извинения, потерялся перевод 20-й главы, ждать нет сил и буду выкладывать остальные.)

Глава 21. Master Splyntr

(за перевод спасибо ungswar )

Занимая целый этаж зеленого офисного строения на берегу реки Мононгахила, Национальный Альянс Кибер-Криминалистики и Обучения (НАККО) был весьма далек от секретности Вашингтонского разведывательного сообщества, где Муларски делал первые шаги. Здесь дюжины экспертов по безопасности из банков и технологических компаний работали наряду со студентами из близлежащего университета Карнеги-Меллон в кучно расставленных аккуратных кабинках, окруженных кольцом кабинетов и, затем, стенами здания из тонированного стекла. Со стульями Aeron* и вайтбордами, офис создавал ощущение одной из технологических компаний, которые снабжали НАККО основной частью средств. ФБР внесли несколько изменений перед тем как въехать, переделали один из кабинетов в комнату с электронными коммуникациями, заполнили ее компьютерами одобренными правительством и шифровальным оборудованием, чтобы безопасно коммуницировать с Вашингтоном.

В своем кабинете Муларски изучил схему связей Крэбба — почтового инспектора, который прислал ее по e-mail — большая схема показывающая различные связи между 125-ю целями из подполья. Муларски осознал, что он делал все неправильно: ожидал преступления, а потом пытался вычислить виновников. Преступники вовсе не прятались. Они рекламировали свои услуги на форумах. Это делало их уязвимыми, так же, как ритуалы и строгая иерархия Нью-Йоркской и Чикагской мафии, которые дали ФБР инструкцию чтобы сломить банды десятилетия назад.

Все что ему надо было сейчас сделать — это присоединиться к кардерам.

Категория: Информационная безопасность

 

Вызываем обработчики событий потокобезопасно без лишнего присваивания в C# 6

Автор: admin от 7-12-2015, 17:21, посмотрело: 399

От переводчика


Часто начинающие разработчики спрашивают, зачем при вызове обработчика нужно копировать его в локальную переменную, а как показывает код ревью, даже опытные разработчики забывают об этом. В C# 6 разработчики языка добавили много синтаксического сахара, в том числе null-conditional operator (null-условный оператор или Элвис-оператор — ?.), который позволяет нам избавиться от ненужного (на первый взгляд) присваивания. Под катом объяснения от Джона Скита — одного из самых известных дот нет гуру.

Категория: Программирование

 

Проектирование ПО для начинающих методом снежинки

Автор: admin от 7-12-2015, 17:07, посмотрело: 308

Публикация может быть полезной скорее начинающим программистам, чем тем, кто знаком с разработкой и проектированием ПО (не нужно знать каких либо продуктов для проектирования ПО).

Я думаю, знающие согласятся, что их первый опыт программирования реального приложения (не Hello World) свелся с простому вопросу: с чего, собственно, начать? Как начать проектирование программы? Что писать-то?!

И, как правило, первый опыт — это куча кода, который потом либо забывался, либо переписывался полностью, в зависимости от нужности программы.

Я долгое время шарил по интернету в поисках рецепта проектирования, но везде все сводили к определенным моделям, которые как шаблоны, нужно было применить и на них натянуть свою программу. Для примера можно взять MVC — все знают, что это, но рекомендации, как реализовывать ее, разнятся кардинально.

И вот, однажды утром, мне пришла в голову простая мысль: а что, если программу проектировать по методу снежинки?

Категория: Программирование

 
Назад Вперед