Ars Technica - Kot smo že pisali, bo čez dva tedna brskalnik Chrome začel nekoliko bolj kričeče označevati spletne strani, ki še niso prešle na naslov https z veljavnim TLS certifikatom. Na spletni strani Ars Technica so se pred dnevi nekoliko ozrli naokoli in ugotovili, da se s prehodom ne mudi niti nekaterim velikim medijskim družbam. BBC je ta prehod sicer opravil nedavno, so pa med zamudniki tudi take družbe, kot so Fox News, Time in Newsweek.

Znano je, da take strani Google že nekaj časa razvršča nižje pri prikazovanju zadetkov svojega iskalnika, predvsem pa je problematična varnostna vrzel med spletno stranjo in uporabnikom, saj lahko nepridipravi vanjo z BGP napadi...

Slashdot - Spletni prevarantje so neizmerno iznajdljivi ljudje. RSA poroča o novem načinu napada na nič hudega sluteče uporabnike, ki so ga poimenovali kar chat-in-the-middle napad. Začetek je poznan - uporabnik tako ali drugače pristane na zlobni strani, ki od njega zahteva vpis uporabniškega imena in gesla za vstop v elektronsko banko (klasično ribarjenje). Inovativni del sledi za tem, saj uporabnika stran ne preusmeri na naslednjo ponarejeno stran ali na legitimno stran, temveč odpre pojavno okno, kjer se prevarantje predstavljajo kot tehnična podpora in poskušajo s spletnim klepetom pridobiti še več informacij od žrtve. Poudariti gre, da ne...

Slo-Tech - O XSS ranljivostih s(m)o na Slo-Techu že pisali. A kljub temu, da gre za tim. ranljivost na strani spletnega odjemalca, so posledice zlorabe lahko precej drastične.

Raziskovalec Billy Hoffman, znan tudi pod imenom Acidus, je namreč januarja lani na konferenci Black Hat Federal 2006 predstavil prispevek z naslovom Analysis of Web Application Worms and Viruses. V prispevku je predstavil možnosti napadov s tim. spletnimi virusi, ki izkoriščajo XSS ranljivosti ter AJAX tehnologijo.

V soboto pa bo imel Hoffman predavanje na to temo tudi na Smoocon konferenci v Washingtonu.

Na konferenci bo predstavil možnosti vzpostavitve prikritih omrežij (tim. botnetov) s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Predstavil bo tudi konkreten primer, aplikacijo Jikto, ki omogoča samodejno vzpostavitev prikritega omrežja.

Orodje Jitko se lahko preko okužene spletne strani namesti na uporabnikov računalnik. Po namestitvi lahko orodje izvaja samodejno skeniranje, oz. iskanje...

Slo-Tech - Včasih si želim, da bil bi poštar.

Slo-Tech - O XSS (Cross-site Scripting) napadih je bilo že veliko povedanega. Še vedno pa jih ogromno uporabnikov in skrbnikov jemlje kakor nenevarne ali pa jih preprosto ignorira. Tovrstne pomankljivosti omogočajo vstavljanje poljubne skriptne kode, masovno se uporabljajo pri izvajanju phishing napadov, kraji piškotkov in ostalih oblikah spletnih prevar. Spretno izvedeni XSS napadi pa se lahko uporabljajo tudi za manipulacijo z informacijami v obliki vstavljanja neavtoriziranih novic v spletne portale medijskih družb. Tudi slovenski spletni prostor ni imun na tovrstne napade...




Spletne strani v nobenem primeru niso bile razobličene, tudi podatki na strežnikih niso bili kompromitirani ali kako drugače...

Slo-Tech - Kreativni ruski računalniško-varnostni raziskovalec Valery Marchuk na svoji spletni strani opozarja javnost na nevarnost spletnih razobličenj v obliki XSS napadov. Spretno formulirana XSS razobličenja so namreč lahko zelo prikrita. S tem prevarajo večino uporabnikov, ki prirejene informacije tako sprejmejo kakor legitimne. Lep primer sta XSS napada na CBS in BBC:
- lažna CBS News stran,
- lažna BBC stran.

Ob času objavljanja novice ranljivosti še nista odpravljeni, sicer pa se zaslonski sliki nahajata tukaj:
- slika lažne CBS News strani,
- slika lažne BBC strani.

Valerij dokazuje, da XSS ranljivosti niso nedolžna varnostna razpoka, ter da pred njimi niso imuni...

Mozilla.org - Nova verzija priljubljenega odprtokodnega pregledovalnika spletne pošte je izšla. Vsebuje obilo novosti, med drugim:

• naprednejše samodejne posodobitve
• vgrajen detektor za phising
• možnost brisanja priponk iz sporočil
• izboljšana podpora RSS
• preverjanje črkovanja
• podporo podcastom
• in še kaj.

Novo različico lahko snamete z uradne strani.

Slashdot - Wikipedija je ta teden uvedla svojo novo zaščito pred spletnim vandalizmom, ki se pojavlja na Wikipedijinih straneh z občutljivejšo vsebino. Teh zaščitenih strani tako ne bo mogoče več prosto urejati; to možnost bodo imeli le dlje kot štiri dni registrirani uporabniki Wikipedije, dočim jih bodo neregistrirani uporabniki lahko le brali.

Uredniki poudarjajo, da bodo pri uporabi tega ekstremnega ukrepa sila previdni in da ga bodo uporabili zgolj v boju zoper vandalizem na že oskrunjenih straneh. Vsebin, ki še niso bile tarča vandalizma, ta zaščita ne bo prizadela. Trenutno so s to tehnologijo zaščiteni članki o ameriškem predsedniku, Hitlerju in Jezusu, v prihodnosti pa kaže pričakovati še kakšnega.

Arnes - JavaScript ranljivost inicializacije 'window()' metode v kombinaciji z <BODY onload> HTML oznako omogoča izvedbo poljubne kode. Exploit je že na voljo (seveda kot "proof of concept" koda). Onemogočite JavaScript še danes, vsaj dokler MS ne izda uradnega popravka. FireFox kot kaže kode ne izvede, vendar pa se neha odzivati. Več na Arnesu, CVE, Secunia, Microsoft.