Schneier.com - Pred približno mesecem dni so na Dark Reading objavili članek o varnostnih ranljivostih, odkritih v različnih aplikacijah. Na prvem mestu je z 21,5% Cross Site Scripting (XSS exploit), sledi možnost SQL vrivanja (SQL injection) ki so ga našli v 14% aplikacij, na tretjem mestu so PHP vrivanja (9,5%), sledijo pa prekoračitve pomnilnika (buffer overflow s 7,9%.

To so seveda varnostne ranljivosti, ki so jih odkrili v aplikacijah. Michael Sutton pa si je zastavil vprašanje, koliko teh ranljivosti je dejansko mogoče najti v resničnem svetu. Osredotočil se je na SQL vrivanje in analiziral spletne strani. S pomočjo Googla je izbral 1000 spletnih strani, ki uporabljajo SQL in poiskusil izvesti nedolžno SQL vrivanje. V primeru, da je spletna stran vrnila napako, je Sutton ugotovil, da je spletna stran ranljiva, sicer pa ni.

In rezultat? Izkaže se, da je s SQL vrivanjem trenutno ranljivih kar 11,3% spletnih strani, ki uporabljajo SQL baze podatkov.

'Hekerjem' dela torej še ne bo...

Slo-Tech - V sredo 18. januarja vas ob 19.00 vabimo v Kiberpipo na predavanje Gašperja Korena z naslovom Merjenje obiskanosti spletnih strani.

Radovednost ponosnih lastnikov prvih spletnih prestavitev se je s pojavom spletnega oglaševanja sprevrgla v pravo bitko za obiskovalce. Kljub temu, da so internet zaradi njegovega tehnološkega ozadja večkrat omenjali kot enega izmed najbolj merljivih medijev, se vedno znova pojavlja vprašanje ali lahko in v kakšni meri je sploh mogoče iz analize 'tehničnih', kvantitativnih podatkov sklepati na dejanske obiskovalce? Kako je mogoče da medij sam sebi meri doseg? In zakaj še vedno merimo spletno obiskanost tudi s pomočjo anketiranja?

Sprehodili se bomo čez osnove tehničnih, anketnih in kombiniranih pristopov k štetju števila obiskovalcev na spletnih straneh in si ogledali nekaj izsledkov zadnjih raziskav v slovenskem spletnem prostoru.

Gašper Koren je občasni sodelavec projekta RIS - Raba interneta v Sloveniji.

Google News - Kot poroča britansko podjetje za spremljanje prometa na internetu in kot lahko preskusite sami, je spletna stran ameriškega predsednika Georga W. Busha nedosegljiva. Ko jo želimo obiskati, nam neprijazno sporočilo pove, da nimamo pravic za dostop do vsebine strani.

Kot vse kaže gre le za zanimivo odločitev vzdrževalcev strani, saj je stran znotraj ZDA in Kanade dostopna. Omeniti pa velja, da je prejšnji teden stran doživela kar nekaj izpadov, ki bi lahko bili posledica napadov DoS.

Slo-Tech - Na parlamentarnih volitvah 2004 je kandidiralo 26 političnih strank, strankarskih list in neodvisnih kandidatov in večina jih je v času volilne kampanje imela svoje spletne strani.

Njihove spletne strani smo si ogledali, vendar tokrat ne njihove vsebine in oblike, pač pa njihove tehnološke in varnostne vidike.

Večina, kar 17 jih teče pod odprtokodnim spletnim strežnikom Apache, ostalih 5 pa pod Microsoftovim IIS-jem. Večina strežnikov je v internet vključena preko Siolovega omrežja, nekoliko bolj pa sta zastopana še Voljatel in Netsi.net. Štirje gostujejo v tujini.

Z izjemo ene spletne strani, politične stranke svojih obiskovalcev ne informirajo z izjavo o zasebnosti, smo pa med njimi našli tudi dve, ki sta odpirali pop-up okna (pri čemer se je pri eni skušala izvesti ActiveX skripta, ki na računalnik obiskovalca namesti orodno vrstico), ena spletna stran je skušala predvajati glasbo (zaradi česar skuša obiskovalcu naložiti poseben programski dodatek), ena spletna stran za...

Wired News - Seveda ne v anketah, pač pa v številu varnostnih napak in pomankljivosti, ki jih vsebuje njegova spletna stran georgewbush.com.

Wired News namreč poroča, da se je nekaj varnostnih analitikov odločilo analizirati Bushevo in Kerryevo spletno stran iz varnostnega vidika. Pri Bushu so odkrili več kot 30 varnostnih pomankljivosti s pomočjo katerih je mogoče prevzeti popoln nadzor nad Bushevo spletno stranjo, kar pomeni, da jo je mogoče sesuti, ali pa spreminjati informacije na njej (tudi slogane in slike).

Pri Kerryu je stvar malenkost boljša, vendar pa je ravno tako mogoče s pomočjo SQL injection brskati in spreminjati SQL bazo, ki poganja Kerryevo spletno stran.

Pri tem pa je na obeh spletnih straneh zapisano, da je poskrbljeno za najstrošje varnostne ukrepe, saj se strežnika nahajata v zaklenjenih prostorih, Kerry pa se še pohvali, da njegov strežnik varuje stražar. Očitno je tako za varnost strežnika dovolj poskrbljeno.

Oba kandidata pa s pomočjo spletnih hroščev zbirata...

Slo-Tech - Kljub temu, da je na internetu ogromno informacij, ki bi jih človek nepovezane le stežka našel, se veliko teh informacij centralno arhivira na različnih iskalnikih, zato načeloma nimamo problemov, če želimo te razpršene informacije najti.

Problem pa nastopi, če kakšne informacije v iskalniku ni. Lastniki spletnih strani namreč lahko na svojem strežniku ustvarijo posebno datoteko z imenom robots.txt, v kateri določijo, do katerih spletnih mest naj iskalni roboti (programi, ki iščejo in arhivirajo spletne strani) ne dostopajo. Sicer se iskalni roboti teh navodil niso obvezani držati, vendar jih načeloma spoštujejo.

Drugo vprašanje je seveda, zakaj bi si kdo želel, da njegove spletne strani ali njenih delov ni v iskalniku. Administratorji spletnih strežnikov se za to možnost pogosto odločajo zato, ker ne želijo, da jim iskalni roboti prekomerno obremenjujejo strežnik, lahko pa si seveda želijo, da nekatere informacije ne bi bile preveč javno dostopne. To morda še bolj velja za...

Wired News - Informacijsko tehologijo je mogoče uporabiti za marsikaj. Tudi za... volitve. Volitve pa so, kot vemo, občutljiva zadeva.
Tudi - ali po Floridi sploh - v ZDA. Ameriško podjetje Diebold, namreč ponuja glasovalne naprave, ki nadomeščajo klasično glasovanje. Gre za to, da volilec namesto preko glasovnice svoj glas odda preko zaslona občutljivega na dotik, njegov glas pa zabeleži računalnik.


Vendar pa se je izkazalo, da tak način glasovanja ni zanesljiv oziroma varen. Ob tem ni zanemarljiv podatek, da njihove sisteme uporablja že 37 ameriških zveznih držav.
Odgovorni v podjetju so se sicer skušali delati nevedne, vendar je marca na njihov slabo zaščiten FTP strežnik vdrl heker in novinarjem ter aktivistom posredoval 15.000 internih obvestil podjetja, ki dokazujejo, da je bilo podjetje Diebold z varnostnimi pomankljivostmi seznanjeno, vendar so sistem kljub temu prodajali še naprej. Zaradi teh varnostnih pomankljivosti je lahko kdorkoli, ki je imel dostop do glasovalnih naprav dodajal...

The Register -

Zasebnost je vedno vroča tema, saj v dobi elektronizacije našega življenja vedno več ljudi meni, da jo izgubljamo. Še zlasti bi naj to veljalo za ZDA. A očitno to le ni čisto tako.

Na AEI.Brookings so izpeljali študijo o tem in dobili nekatere zanimive rezultate. Primerjali so britanske in ameriške komercialne spletne strani ter ugotovili, da so, presenetljivo, ameriške varnejše. Njihovi izsledki kažejo, da imamo v Evropi več nepotrebnih birokratskih zakonov, dejansko pa na področju zasebnosti podatkov naredimo premalo, saj je Petnajsterica zgolj predpisala minimum, ki se ga spletne strani morajo držati. V Ameriki izboljšanje varnosti zasebnih informacij povzroča sam trg, ki izbira varnejše spletne strani. Ponudniki, ki svojim uporabnikom niso zmožni ponuditi kakovostne zaščite zasebnih podatkov, tako enostavno izpadejo iz igre. Klik!

O stanju pri nas lahko za zdaj samo ugibamo ...

BBC - Hitro si pojdite prebrat to zgodbo, ki bo potrdila dejstvo, ki ga trobimo že dobro leto dni: glasbena industrija se oklepa zadnjih ponujenih bilk, ki jih dobiva. Po burleski pred nekaj dnevi, ko so začele produkcijske hiše primeke zgoščenk pošiljati v CD predvajalnikih (da ne bi prišlo do ilegalnega kopiranja), je Bon Jovi ubral nekako bolj humano, mehkejšo taktiko. Ob nakupu zgoščenke tega izvajalca boste notri našli trinajstmestno številko, ki jo boste lahko vpisali na njegovi spletni strani. Tako boste "zastonj" v predprodaji kupili karte za njegove koncerte, vunpotegovali žive izvedenke njegovih komadov, in tako dalje. Če pomislim, zna ta rešitev požeti še največ uspeha. Klik!

CNN - Vsi že vemo, da zasebnosti na spletu bolj ali manj ni. Največje oglaševalske agencije zbirajo podatke o vaših navadah, vaših konjičkih, vaših nakupovalnih navadah in tako naprej. Dober primer je tudi recimo Amazon, ki zbira podatke o tem, kakšne knjige iščete in glede na te podatke vam prikaže priporočene knjige za vas.
Zaradi očitkov oglaševalski industriji, da nenehno vdira v zasebnost uporabnikov, so postavili dve spletni strani (t.i. "opt-out" strani), Network Advertising Initiative in Andersen Compliance, kjer lahko uporabniki odklonijo uporabo njihovih podatkov, ko obiščejo popularne komercialne spletne strani.
V preteklosti so morali uporabniki na vsaki spletni strani posebej označiti, da ne želijo uporabe njihovih podatkov na spletni strani, kar je povzročilo kritiko varuhov zasebnosti in nekaterih zakonodajalcev. Tako se ameriški kongres nagiba k temu, da bi na splošno uredil to problematiko na ta način, da bi lahko oglaševalske agencije uporabljale podatke o uporabnikih...