Передача пароля по открытому каналу (часть 2)

Автор: admin от 8-06-2011, 14:27, посмотрело: 2556

В первой части статьи обсуждалась ситуация, когда для защиты трафика мы по каким-либо причинам не можем использовать https. При этом, передаваемый в открытом виде пароль становится легкой добычей мошенников. Предложенный в статье метод позволял избавится от угрозы перехваты пароля или от кражи БД хэшей паролей, но был бессилен перед злоумышленником, который и БД владеет и контролирует трафик. Предлагаемый ниже метод безопаснее, но сложнее.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Защита пароля при передаче по открытому каналу (часть 1)

Автор: admin от 1-06-2011, 17:54, посмотрело: 2762

Использование https при аутентификации уже давно стало правилом хорошего тона. Однако, необходимость покупки сертификата приводит к тому, что многие владельцы web-ресурсов по прежнему используют для аутентификации открытый канал и ваши пароли доступа могут быть перехвачены злоумышленником, имеющим доступ к сети, в которой вы работаете. Следует отметить, что использование https в общем случае не гарантирует защиты от перехвата передаваемого трафика. На сегодняшний день существуют решения, основанные на использовании специальных прокси и доменных политик, позволяющие успешно читать https трафик в корпоративных сетях. Далее о том, как все же защитить пароль от перехвата.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Microsoft не считает кукиджекинг серьёзной угрозой

Автор: admin от 30-05-2011, 16:57, посмотрело: 999

На недавней хакерский конференции в Швейцарии итальянский исследователь Розарио Валотта (Rosario Valotta) продемонстрировал интересный баг в IE 7/8/9, позволяющий скопировать кукисы с компьютера пользователя.

По аналогии с кликджекингом, метод работает через прозрачный iframe, куда выводится список файлов из папки с кукисами. Над ним размещается ещё один элемент, который пользователь перетягивает на другой фрейм с минимальными настройками безопасности (Security Zones в IE), фактически добровольно отдавая файлы злоумышленнику. В своём блоге Розарио Валотта выложил красивый паззл c полуобнажённой девушкой, где кусочки мозаики нужно убирать в сторону — и за несколько дней он получил кукисы от 80 из 150 своих френдов на Facebook. Сайт Валотты на хостинге Google уже отключен за нарушение ToS.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Истёкшие домены — дыра в безопасности Google Apps

Автор: admin от 20-05-2011, 15:46, посмотрело: 2072

Английский разработчик Бен Рейес написал в своём блоге, как он зарегистрировал только что истёкший домен и в качестве бонуса получил к нему чужой ящик Gmail, календарь и контакты. Завладев чужим ящиком, Бен смог зайти и в аккаунты на сторонних сервисах, таких как Amazon.

Провернуть такую операцию получилось с помощью Google Apps. Дело в том, что Бен захотел после получения домена сразу же привязать его к своему аккаунту Google App, но обнаружил, что домен уже к кому то привязан.

Истёкшие домены — дыра в безопасности Google Apps

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Эксперты Symantec обнаружили и помогли исправить серьезную ошибку в системе защиты персональных данных пользователей Facebook

Автор: admin от 11-05-2011, 12:13, посмотрело: 2427

Эксперты Symantec обнаружили и помогли исправить серьезную ошибку в системе защиты персональных данных пользователей Facebook

При этом ошибка появилась не сейчас, она существовала долгие годы, и в течение этих лет приложения Facebook передавали частную информацию пользователей «третьим лицам», под которыми понимаются различные рекламные и маркетинговые конторы. Ошибку в системе защиты персональных данных пользователей обнаружили эксперты из Symantec, которые и провели общую оценку влияния обнаруженной уязвимости. Как оказалось, были затронуты сотни тысяч приложений, которые передавали тем самым третьим лицам идентификаторы пользователей.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Серверы Sony работали на устаревшей версии Apache

Автор: admin от 5-05-2011, 23:37, посмотрело: 1050

Сегодня на слушаниях в Конгрессе по поводу взлома PSN дал показания независимый эксперт по безопасности д-р Джен Спэффорд (Gene Spafford) из университета Пердью. Он сказал, что серверы Sony работали на непропатченной версии веб-сервера Apache с известными уязвимостями и «без файрвола».

Компании Sony это было известно за два-три месяца до инцидента, который привёл к утечке персональных данных более 100 млн пользователей. По словам Спэффорда, данный вопрос «обсуждался на открытом форуме, модераторами которого являются сотрудники Sony».

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Список сайтов, которые хранят пароли открытым текстом

Автор: admin от 7-04-2011, 01:33, посмотрело: 1798

В это трудно поверить, но около 30% сайтов держат пароли своих пользователей в незащищённом виде. Если кто-то проникнет к ним в систему, то все пароли будут перед ними открытым текстом.

Продвинутым пользователям должно быть обидно, если они генерируют и запоминают 15-символьные пароли, которые так хранятся.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Про перехват HTTPS-трафика или про личную Обезьяну В Середине

Автор: admin от 3-04-2011, 02:44, посмотрело: 8026

Однажды встретился на просторах интернета один клиент-серверный продукт название которого я приводить пока не буду, назовём его просто «продукт TH». Работал он по технологии похожей на Free2Play, но бесплатно предоставлял дай бог 10% от своего функционала, остальные плюшки только по платной подписке. Какое время (год или около того) я смиренно ждал решения со стороны, но в конце концов любопытство оказалось сильнее лени и я засел за более глубокое изучение этого продукта.

TH — дитя тотальной вебдванольности, клиентская часть в отдельности не представляет никакого интереса, весь цимес находится на серверной стороне в виде среднеразвитой социальной сети, форума и магазина. Всю информацию о наличии/отсутствии плюшек клиент получает оттуда же, остаётся только взять её, изучить содержание и изменить по потребностям. Сразу оговорюсь, конечной целью не было создание т.н. «локального сервера» или клона коммерческого сайта с целью извлечения прибыли, причиной был зуд в известном месте и обычное детское «а что там внутри».

А внутри оказалось, что общение клиента с сервером проходит через HTTPS-канал. Поэтому если ваше любопытство в этой области совпадает с моим, то ниже рассказ о довольно запутанном для новичка в этой области, но успешно раскрытом вопросе.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Стимулируем посетителей использовать безопасные пароли

Автор: admin от 2-03-2011, 15:20, посмотрело: 1412

Небольшой jQuery плагин, способствующий вводу сложных паролей.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Лайфстрим сервис chi.mp (бесплатный домен 2-ого уровня, блог) не фильтрует javascript

Автор: admin от 1-01-2011, 20:52, посмотрело: 2388

Лайфстрим сервис chi.mp (бесплатный домен 2-ого уровня, блог) не фильтрует javascript
Небезызвестный лайфстрим сервис с бесплатным доменом второго уровня.
Погуглим:
Лайфстрим сервис chi.mp (бесплатный домен 2-ого уровня, блог) не фильтрует javascript
227 000 — не так уж и мало. Большая часть выдачи — как раз блоги на chi.mp.
Но про безопасность как всегда забыли.

Категория: Информационная безопасность » Безопасность в веб-технологиях