ZDNet - Programski jezik JavaScript, ki predstavlja eno glavnih tehnologij modernega svetovnega spleta, je dopolnil 25 let, kar je v računalništvu že zelo častitljiva starost. Začelo se je leta 1995, ko je Brendan Eich iz Netscapa (se še spomnite njihovega brskalnika?) dobil nalogo, da razvije skriptni jezik za odjemalce, ki bi dobro sodeloval z Javo. Nalogo je dokončal v 10 dneh in dobili smo prvo verzijo JavaScripta. Zanimivo je, da je standard ECMAScript izšel šele leta 1997, torej za JavaScriptom, ko je postalo jasno, da bo potrebna združljivost med tehnologijami v različnih brskalnikih. Microsoft in Netscape sta združila moči in rezultat je bila standardizacija. Tudi Microsoftov jezik TypeScript je združljiv z ECMAScript in se v brskalniku obnaša enako, saj je JavaScript podmnožica.

Vpliv, ki ga je imel JavaScript in razvoj in videz spleta, je ogromen. JavaScript je še danes eden najbolj priljubljenih programskih jezikov, običajno na drugem ali tretjem mestu različnih lestvic. Toda...

The Economist - V noči z 31. oktobra na 1. november je med 0.52 in 2.15 uro 501 spletna stran, ki uporablja PageFair, obiskovalcem stregla okužen JavaScript. Pod pretvezo, da gre za posodobitev za Adobovo programsko opremo Flash, je poizkušal okužiti obiskovalce z operacijskim sistemom Windows. PageFair je vdor odkril v nekaj minutah in ga saniral v dobri uri, podrobno analizo pa objavil na svojih straneh. Največja med prizadetimi stranmi je gotovo The Economist, medtem ko so bile preostale manjše.

...

CNet - Medtem ko je pisanje matematičnih simbolov v urejevalnikih besedil že odlično rešeno (najelegantnejše orodje je seveda LaTeX, a tudi Word ima svoj Equation Editor, OpenOffice pa Formulas Feature), predstavlja stavljenje kemijskih enačb in struktur še ne zadovoljivo rešen problem. Microsoft je lani marca izdal beta verzijo svojega urejevalnika Chem4Word, ki deluje kot dodatek za Word 2007 in Word 2010 ter omogoča vnos kemijskih simbolov. Odslej bo Chem4Word odprtokoden.

Razvoj sta leta 2008 začela Microsoft Research in Univerza v Cambridgeu, včeraj pa so izdali prvo stabilno verzijo. Hkrati so razvoj predali Outercurve Foundation, ki ga je dodala v svojo...

Slashdot - Microsoft Research je razvil orodje za odkrivanje zlonamernega JavaScripta v brskalniku med deskanjem po spletu. Orodje se imenuje Zozzle in izvaja statično analizo kode JavaScript na strani in hitro ugotovi, ali je stran zlonamerna in ali vsebuje zlorabo ranljivosti (exploit). Za učinkovito delovanje se mora Zozzle navaditi svojega posla, pojasnjuje Microsoft, saj razvršča JavaScript po statistiki (natančen opis delovanja). Zozzle je še v eksperimentalni fazi in še nekaj časa ne bo namenjen širši publiki. Microsoft

Slo-Tech - O XSS ranljivostih s(m)o na Slo-Techu že pisali. A kljub temu, da gre za tim. ranljivost na strani spletnega odjemalca, so posledice zlorabe lahko precej drastične.

Raziskovalec Billy Hoffman, znan tudi pod imenom Acidus, je namreč januarja lani na konferenci Black Hat Federal 2006 predstavil prispevek z naslovom Analysis of Web Application Worms and Viruses. V prispevku je predstavil možnosti napadov s tim. spletnimi virusi, ki izkoriščajo XSS ranljivosti ter AJAX tehnologijo.

V soboto pa bo imel Hoffman predavanje na to temo tudi na Smoocon konferenci v Washingtonu.

Na konferenci bo predstavil možnosti vzpostavitve prikritih omrežij (tim. botnetov) s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Predstavil bo tudi konkreten primer, aplikacijo Jikto, ki omogoča samodejno vzpostavitev prikritega omrežja.

Orodje Jitko se lahko preko okužene spletne strani namesti na uporabnikov računalnik. Po namestitvi lahko orodje izvaja samodejno skeniranje, oz. iskanje...

Slo-Tech - Pri FortConsult so objavili raziskovalni članek z naslovom Practical Onion Hacking: finding the real address of Tor clients. V njem do pokazali, kako je v HTML kodo mogoče vriniti "spletnega hrošča", ki razkrije pravo identiteto obiskovalca (pravi IP naslov). To so storili s pomočjo JavaScripta in Flasha, zaključujejo pa, da je uporaba teh tehnik razmeroma enostavna.

Pri odkriti ranljivosti pa ne gre za ranljivost Tor omrežja, pač pa za ranljivost podpornih programov in programov, ki uporabljajo Tor. Avtorji članka upajo, da bo na podlagi njihove raziskave popravljen podporni program privoxy (ki bo tako zlonamerno kodo sposoben odstranjevati), kot najhitrejšo rešitev pa svetujejo izklop Flasha, Active X, Jave in JavaScripta, uporabo SSL povezav, uporabo tujih DNS strežnikov ...

Samo za paranoike.

Arnes - JavaScript ranljivost inicializacije 'window()' metode v kombinaciji z <BODY onload> HTML oznako omogoča izvedbo poljubne kode. Exploit je že na voljo (seveda kot "proof of concept" koda). Onemogočite JavaScript še danes, vsaj dokler MS ne izda uradnega popravka. FireFox kot kaže kode ne izvede, vendar pa se neha odzivati. Več na Arnesu, CVE, Secunia, Microsoft.

The Register - Predvsem po grafičnem programu Photoshop znani tozd je pričel z prodajo novih verzij 2 spletu namenjenih izdelkov:

• LiveMotion 2.0: podpora JavaScriptu, ki se prevede v ActionScript (Flashov skriptni jezik),
• GoLive 6.0: dodana podpora skupinskemu delu, kompatibilna z ono v Dreamweaverju.

Klik!

The Register - Da - kljub temu, da naj bi Hotmail sicer v sporočilih pregledal JavaScript ter (morebiti) zlonamerno html kodo, je ObLiviON našel način, kako se to lahko obide.

Namreč, Hotmail sicer res pregleda telo sporočila, ne pa tudi polj 'Od' ter 'Za'. Spammerju oz. krekerju bi to omogočilo sestaviti sporočilo, ki bi naslovljenca preusmerilo na neko drugo stran, tam pa bi ga recimo ne-pravi 'Hotmail' zopet povprašal po geslu. Klik!