Рейтинг
0.00

Безопасность

3 читателя, 3 записи

Django - генерация защищенного первичного ключа

Разработка: DjangoВ процессе работы над Django multiuploader мы столкнулись с ситуацией, когда стандартный PrimaryKey может привести к небольшой уязвимости: возможности смотреть чужие загруженные файлы. Для того чтобы изменить стандартную генерацию pk, мы сделали небольшой декоратор, который берет эту задачу на себя.

Смотреть код →

Интервью с Евгением Касперским

Аналитика: Интервью с Евгением Касперским

Генеральный директор «Лаборатории Касперского» Евгений Касперский, в своем интервью порталу Reuters, высказал свое мнение о том, что Apple не сможет поддерживать успешный рост компании из-за своей «закрытой философии».

Он сказал: «Я думаю, что сейчас время открытых систем типа Android. Я уверен, что Apple продолжит терять свою рыночную долю». Касперский также отметил, что распространённое мнение о безопасности и надёжности компьютеров с Mac OS X является ошибочным, и 2012 год подтвердил это, продемонстрировав нам вирусную атаку, успешно заразившую более полумиллиона компьютеров Apple.

Подробнее в видеоинтервью (англ).

В PHP Gift Registry исправлена уязвимость возрастом 8 лет

Безопасность: PhpGiftRegistryСообщение о уязвимости появилось в январе 2005 года и оно было одним из тысяч подобных сообщений: PHP приложение не проводит валидацию передаваемых в запрос параметров, что со специально сформированным URL может привести к инъекции SQL кода и его выполнению.

PHP Gift Registry — это довольно функциональное и известное приложение с привлекательным web-интерфейсом для составления списков желаний (подарков). Как бы то ни было разработчики закрыли дыру только через 8 лет, о чем они написали 3 декабря: «Во всех SQL-запросах был осуществлен переход на использование подготавливаемых выражений в версии 2.0.0»



Читать дальше →

Очередная попытка инфицирования web-серверов Linux, теперь руткитом из России

Безопасность: Linux руткитОбнаружен ранее неизвестный руткит, который инфицирует Linux web-серверы и вставляет вредоносный код в страницы, выдаваемые сервером. Зловредный код был выявлен одним подписчиком "Full Disclosure" (список рассылки на тему компьютерной безопасности), он поделился своими исследованиями, предоставив подозрительный модуль ядра. Malware добавляет iframe в каждую страницу, которую обслуживает инфицированная система через nginx-прокси, включая страницы ошибок.


Читать дальше →

Инфраструктура проекта FreeBSD подверглась взлому

Безопасность: FreeBSD взломВ воскресенье 11 ноября было обнаружено вторжение на двум машины внутри кластера, обслуживающего инфраструктуру FreeBSD.org. Данные компьютеры были отключены от сети для анализа, дополнительно от сети была отключена оставшаяся часть кластера ради мер предосторожности. Разработчики утверждают, что какие-либо модификации, которые могут отразиться на безопасности пользователей операционной системы, не обнаружены, но тем не менее предлагают при необходимости самостоятельно провести соответствующие мероприятия на своих системах. Результаты анализа, которые будут говорить, что злоумышленники все-таки смогли внести модификации, сразу же будут озвучены на этой странице. Уже были проведены оперативные работы по повышению безопасности в инфраструктуре проекта FreeBSD, для того, чтобы предотвратить подобные инциденты в будущем. В связи с этим в скором будущем планируется отключить устаревший сервис, такой как cvsup, использующийся для получения исходного кода FreeBSD. Как вы считаете, необходимо ли разработчикам предпринимать дополнительные меры, чтобы навсегда исключить подобные случаи?