Slo-Tech - Da ne podpira več Flasha, je po upokojitvi konec leta logično. Drugi veliki rez s preteklostjo pa predstavlja umik podpore za FTP, ki smo ga takisto dočakali v novem Chromu 88. O Flashu ne gre izgubljati besed, saj je za vse praktične potrebe mrtev - kdor res potrebuje stare animacije, lahko uporabi emulator - drugače pa je s FTP. Protokol za prenos datotek je še kako živ, le da je v dobi oblačnih shramb podatkov izgubil nekaj priljubljenosti.

Da bo FTP izginil, je Google napovedal že vnaprej. V verziji 86 je FTP izginil iz kanalov canary in beta. V verziji 87 je polovica uporabnikov imela privzeto izključen FTP, ki pa ga je bilo možno vključiti z dodatnim stikalom. V zadnji verziji ga ni. Kdor bo želel še uporabljati FTP, bo torej moral poseči po namenskem odjemalcu, denimo FileZilli, ali drugem brskalniku (Firefox ga še podpira).

Druga večja novost je strožja obravnava datotek, ki ne prihajajo z varnih strežnikov. Če spletna stran, ki sicer uporablja HTTPS, kliče povezavo do nešifriranega vira (HTTP), Chrome ne bo več podpiral prenosa izvršljivih datotek, arhivov, večpredstavnostnih datotek in nevarnih dokumentov (docx, pdf). V novi Chromu so prispeli še zaznavanje neaktivnost (da bi obvestila preusmeril na drugo napravo,...

ZDNet - Nekoč je bil glavni protokol za prenos večjih datotek z interneta, sedaj pa ga vsaj v brskalnikih kmalu ne bo več. Mozilla je sporočila, da bo v eni izmed prihodnjih verzij brskalnika Firefox odstranila podporo za protokol FTP. To pomeni, da uporabniki ne bodo mogli več dostopati do strežnikov FTP in prenašati datotek neposredno iz brskalnika. Razlog je varnostne narave, pojasnjujejo v podjetju. Namesto zastarelega FTP, katerega del kode je star, nevaren in pomanjkljivo vzdrževan, svetujejo uporabo HTTPS.

V verziji Firefox 77, ki bo bržkone izšla junija letos, bo FTP onemogočen. Še vedno ga bodo uporabniki lahko izrecno aktiviral, torej podobno kot so storili za Flash. V začetku leta 2021 pa bo podpora popolnoma odstranjena in je ne bo možno omogočiti.

Podobno načrtuje tudi Google, ki je že avgust lani naznanil, da se iz Chroma podpora za FTP poslavlja. Prvi korak, torej deaktivacija, je bil predviden za Chrome 81, ki je v beta fazi, a se je zaradi pandemije odmaknil. V še...

IEEE Log - Spletne strani organizacije IEEE (Institute of Electrical and Electronics Engineers), ki skrbi za standardizacijo številnih standardov, so bile vsaj en mesec hudo ranljive, poroča Radu Dragusin na svojem blogu. Iz neznanih razlogov so uporabniške podatke (uporabniška imena in gesla) hranili v tekstovni obliki (plain text), datoteka s podatki več kot 100.000 oseb pa je bila prosto dosegljiva na njihovem FTP-strežniku, dokler ni Dragusin 18. septembra IEEE na to opozoril. Še več, dosegljive so bile tudi dnevniške datoteke z informaciji, kaj je posameznik v tem mesecu storil. IEEE je strežnike za silo zakrpal, Dragusin pa je objavil analizo zbranih podatkov.

Dnevniške datoteke vsebujejo podatke, s katerimi je mogoče identificirati uporabnike, zato ne bi smele biti nikoli...

ZDNet - V zadnjih dneh so bili hekerjev očitno nadpovprečno aktivni, saj se poročila o vdorih na spletne stran in odtujitvah uporabniških podatkov kar vrstijo. Po uspešnem napadu na Yahoo! Voices sta novi žrtvi Android Forums in Nvidia.

Phandroid je potrdil, da so neznanci napadalci kompromitirali njihove strani Android Forums, pri čemer so pridobili uporabniška imena, elektronske naslove, IP-naslove in zgoščene vrednosti (hashed) gesel. Forum je imel dober milijon članov, ogroženi pa so vsi. Administratorji so že zagotovili, da je bila ranljivost, ki so jo napadalci izkoristili (varnostna luknja v forumu vBulletin), zakrpana in da so uvedli še nekaj dodatnih varnostnih ukrepov za vsak primer. Verjamejo, da so napadalci v prvi vrsti želeli pridobiti čim več elektronskih naslovov, ki jih preprodajo...

ZDNet - Hekerska skupina z vzdevkom D33ds Company je napadla Yahoojevo storitev Yahoo! Voices in pridobila uporabniška imena in gesla več kot 450.000 uporabnikov. Svoje besede so podkrepili tudi z dejanji, in sicer so pridobljene podatke javno priobčili. V tekstovni obliki so objavljena tudi gesla, kar pomeni, da jih Yahoo ni hranil šifrirano. Napadalci so zapisali, da so Yahoo želeli le opozoriti na malomarno varnost in da ne gre za grožnjo. Ali ste med prizadetimi, lahko preverite na posebej v ta namen postavljenih straneh.

Yahoo je potrdil, da se je vdor zgodil, a poizkušajo škodo prikazati kot minimalno. V izjavi za javnost so zapisali, da datoteka z ukradenimi podatki izvira s starega sistema Yahoo! Contributor Network, ki ga je Yahoo dobil s prevzemom Associated Content. Trdijo, da je med...

activepolitic.com - O tegonah uporabe gesel smo že precej pisali. Uporabniki so pač leni in izbirajo zelo slaba gesla, ki jih potem še reciklirajo na celi vrsti spletnih storitev, tako da je z padcem ene pornografske strani oz. poslovnega socialnega omrežja velikokrat ogrožena kar celotna uporabnikova spletna identiteta. Napadalcem ob tem pomaga tudi malomarnost ponudnikov storitev, ki gesla pogosto hranijo kar v cleartext obliki ali pa uporabijo neprimerno zgoščevalno funkcijo (glej linkedin).

Še en problem je, da se uporabnikom resnično ne ljubi spreminjati gesel. Nizozemski ponudnik dostopa do interneta KPN je tako pred kratkim ugotovil, da je kar 140.000 njihovih naročnikov po prijavi na DSL internet ohranilo privzeto geslo, in sicer "welkom01". To geslo je varovalo servisne strani, preko katerih so bili potem dostopni tudi kontaktni in plačilni podatki naročnika, vključno s številko bančnega računa in kreditnih kartic. Uporabniška imena so bila še bolj predvidljiva - kombinacije poštne številke...

CNet - Prejšnji mesec smo pisali o malomarnosti skrbnikov strani RockYou, ki so uporabniška imena in gesla hranili kar v tekstovni obliki v bazi, ki je bila povrhu še občutljiva na napad SQL injection. Kdor izziva nesrečo, si je kriv sam, in tudi v tem primeru se je našel nepridiprav, ki je izkoristil na stežaj odprta vrata in odtujil 30 milijonov uporabniških podatkov. RockYou je reagiral slabo, saj so najprej poskusili vse skupaj zamolčati, nato pa so uporabnike obvestili z veliko zamudo.

Alan Claridge iz Indiane je mnenja, da je takšno varovanje podatkov nedopustno, zato podjetje RockYou toži, ker niso uspeli zagotoviti zaščite podatkov. Tožbo je vložil v ponedeljek na sodišču v San Franciscu, prizadeva pa si, da bi dobila status skupinske tožbe (class action). V tožbi piše, da je RockYou lahkomiselno in zavedno opustil najosnovnejše korake za zaščito podatkov, uporabnike pa obvestil šele 12 dni po vdoru. V devetih točkah jim očita malomarnost, kršitev pogodbe, kršitev kalifornijskih...

The Register - Na internetu se je znašlo približno deset tisoč uporabniških imen s pripadajočimi gesli za dostop do računov Microsoft Live, kamor sodi tudi elektronski predal Hotmail. Na spletni strani Pastebin.com, kamor lahko uporabniki s celega sveta nalagajo datoteke, so našteli 10.028 parov podatkov. Ker so si sledili po abecedi od ararat973@hoymail.com do blando2713@hotmail.com, je verjetno, da je to le en del večje zbirke podatkov - grob izračun pokaže, da jih je okrog 143.000. Zlobni jeziki so takoj začeli natolcevati, da je bila Microsoftova baza podatkov kompromitirana, a v tem primeru bi se ukvarjali s 450 milijoni podatkov. Prav tako Microsoft podatkov gotovo ne shranjuje v tekstovni obliki (plain text).

Verjetnejša je teorija, da so se nepridipravi do teh podatkov prikopali zaradi neosveščenosti ali naivnosti uporabnikov. Obstaja namreč cela kopica strani, ki oglašujejo, da bodo uporabniku pokazale, kdo jih je blokiral v IM-programu MSN, če ti seveda vpišejo uporabniško ime in...