PHP - Minuli četrtek je izšel nujni varnostni popravek 5.3.10 za priljubljeni skriptni jezik PHP. Kot se je izkaže, so razvijalci med reševanjem precej manjšega varnostnega problema v predprejšnji različici (10.1. letos) nehote odprli vrata za mnogo resnejšo napako, ki omogoča celo oddaljeno izvršitev napadalčeve kode.

Izvorna napaka v PHP <= 5.3.8 je zadevala funkcijo za sprejem parametrov HTTP zahtevka (v stilu iskalnik.php?q=slo-tech&orderby=date). Posamezni parametri so se najprej primerjali po njihovi zgoščeni vrednosti (hash) in kot vemo, ima lahko več različnih nizov isti hash, vendar je sorazmerno težko najti še en niz z že določenim hashem. Napad, za katerega obstaja tudi proof-of-concept exploit (PoC), je zoper php strežnik poslal gručo zahtevkov z več tisoč parametri, od katerih so mnogi imeli isto zgoščeno vrednost. To je na določenih strežnikih lahko povzročilo preobremenitev sistema in s tem DOS (denial of service) napad.

Popravek 5.3.9 je preprosto dodal novo php.ini...

Slashdot - Facebook je v začetku tedna brez pretiranega pompa vklopil varnostno preverjanje povezav v status updejtih, kjer se na splošno nesrečo pojavlja vse več spama. Nepridipravi imajo namreč venomer manj uspeha s klasičnimi e-mail sporočili, zato se preusmerjajo na zlorabo poštnih nabiralnikov legitimnih uporabnikov, oz. (ker so gesla v veliko primerih ista), njihovih profilov na socialnih omrežjih.

Zaščita deluje v partnerstvu s podjetjem WebSense. Vsak link, ki ga uporabnik Facebooka vpiše v še svež status update, se pošlje njihovim strežnikom, ki ga poskenirajo in preverijo tako po url-ju kot po vsebini. Če je kaj sumljivega, bo status update opremljen z opozorilom, da polinkana vsebina morda ni varna, ob kliku pa še posebno opozorilno okno (glej sliko). S tem se skuša imitirati izkušnjo iz brskalnikov, ki že nekaj časa ponujajo opozarjanje...

Slashdot -

Wikileaks je nedavno preko twitterja objavil Facebookov priročnik za pravosodne organe (pdf, 180kb), ki našteva podatke, ki jih policija in drugi pravosodni organi lahko dobijo o uporabniku popularnega socialnega omrežja.

In ti so:

• User ID (številčni) in/ali kratko ime
• e-poštni naslov
• datum in čas...

TechCrunch - Jonathan Standefer in Matthew Genitempo iz Austina v Teksasu sta aprila lani zagnala spletno stran Lamebook, ki je parodija na priljubljeno družabno stran Facebook. Na njej lahko uporabniki s svetom delijo posrečene statuse, slike, komentarje in druge domislice s Facebooka, ki se jim zdijo huronsko smešni. Gre za jasno parodijo, a Facebook nad humoristi ni navdušen, zato so jim marca 2010 poslali zahtevo o prenehanju uporabe imena Lamebook (angl. cease and desist letter). To ni presenetljivo, saj je Facebook napovedal izkoreninjenje vseh strani z obliko imena -book.

Skrbniki strani Lamebook odgovarjajo, da stran ščiti prvi amandma ameriške ustave, saj z jasno nakazano parodijo ne kršijo...

Slashdot - Pri Websense Security Labs so izdali rezultate svoje polletne študije stanja na internetu. Pri pregledu stanja v drugi polovici lanskega leta so ugotovili, da je internet v resnici večidel res smetišče neuporabnih podatkov. Tako na primer 13,7 odstotka vseh poizvedb po modernih iskalnih frazah na internetnih iskalnikih vodi na strani z malwarom. Na splošno je število zlobnih spletnih strani poraslo za 225 odstotkov, kar pripisujejo vedno večjemu uveljavljanju Weba 2.0.

Velika večina, kar 71 odstotkov strani z zlobno kodo je v resnici povsem legitimnih strani, ki so bile napadene in kompromitirane. Polovica se jih nahaja v ZDA, na drugem mestu je s 17 odstotki Kitajska. Kar 86 odstotkov vseh poslanih elektronskih sporočil je predstavljal spam in kar 81 odstotkov vseh e-poštnih sporočil vsebuje povezave na zlobne strani, medtem ko je situacija na spletu še slabša - kar 95 odstotkov vsebin, ki jih ustvarijo uporabniki, je bodisi spam bodisi zlobne kode. Več o tem.