Slo-Tech - Malokdo se zaveda, da spletne strani lahko beležijo vnose v polja, še preden kliknemo gumb Pošlji. To sicer ni nobena skrivnost in marsikod je to uporabno, saj lahko stran shrani vnos in ga ponovno prikaže, če se vmes prekine internetna povezava, še preden bi besedilo poslali. Raziskovalci z univerz v Leuvnu, Lausanni in Radbound v Nijmegenu pa so sistematično preverili, kako razširjena je tovrstna praksa. Rezultati so pokazale, da precej bolj, kot bi pričakovali. Članek bodo predstavili na konferenci Usenix avgusta letos.

Analizirali so 100.000 najpopularnejših spletnih strani in preverjali, kako se obnašajo, če jih obiščemo iz EU ali iz ZDA. Ugotovili so, da je 1844 spletnih strani zbirali evropske elektronske naslove brez soglasja, ameriške pa 2950 spletnih strani. Tega pogosto ne počno same strani, temveč imajo vgrajene dele kode za oglaševanje in analitiko, ki to počne. V nekaterih primerih so spletne strani celo vpisala gesla posredovale dalje, spet zaradi vtičnikov in...

Slo-Tech - V priljubljenem modulu za Wi-Fi podjetja Realtek (RTL8195A), ki ga uporabljajo številne nezahtevne naprave, so raziskovalci iz izraelskega podjetja Vdoo odkrili šest resnih ranljivosti. Sumijo, da so iste ranljivosti prisotne tudi v čipih RTL8711AM, RTL8711AF in RTL8710AF, česar pa niso izrecno preverili. V vseh primerih gre za napake prekoračitve sklada (stack overflow) in branje izven okvirja (out-of-bounds reads), ki se skrivajo v izvedbi rokovalnega protoka pri vzpostavljanju povezave WPA2 (four-way handshake).

Ena izmed ranljivosti napadalcu, ki je v dovolj blizu čipa, omogoča prevzem popolnega nadzora nad čipom, ne da bi poznal ključ, če je RTL8195A dostopna točka ali odjemalec. To napadalcu dovoljuje, da izvede poljubno kodo. Dve drugi ranljivosti omogoča izvedbo napada DoS, preostale tri pa izrabo odjemalcev in izvajanje poljubne kode.

Napake v programski kodi Ameba Arduino 2.0.8, ki teče na čipu, je Realtek že zakrpal. Vse verzije po 21. 4. 2020 so odporne na...

Slo-Tech - SQL vrivanje (SQL injection) je preprost in žal še vedno razmeroma pogost napad na spletne aplikacije. V osnovi poteka tako, da napadalec v vnosna polja spletne aplikacije vnaša delce programske kode (SQL ukaze). S tem ranljivo aplikacijo prepriča, da mu posreduje podatke iz zaledne baze (npr. gesla, seznam uporabnikov, ipd.), do katerih sicer ne bi smel imeti dostopa.

SQL vrivanje je mogoče preprečiti s tim. filtriranjem vnosov, obstaja pa še bolj enostaven način, in sicer, da spletna aplikacija sploh ne uporablja SQL baze. Slednjega pristopa so se očitno poslužili na spletni strani MyStops.eu. Gre za spletno stran, ki je namenjena popotnikom, saj omogoča hitro iskanje in pregled postankov ter prikaz navodil za pot do izbranega postanka.

...

Slo-Tech - Leta 1998 je Daniel Bleichenbacher v šifrirnem protokolu SSL (predhodniku TLS) odkril ranljivost, ki je omogočala prebiranje z RSA šifriranih sporočil celo brez zasebnega ključa. Iz sporočil o napakah, ki so jih vračali...

The Register - Raziskovalci s Katoliške univerze v Leuvnu in francoskega Inštituta Eurecom so preiskali sto strani za deljenje datotek (kakršna je na primer RapidShare) in ugotovili, da tudi zasebne datoteke, ki niso namenjene deljenju z vsem svetu, niso nujno varne. O tem poročajo v članku Exposing the Lack of Privacy in File Hosting Services.

Te strani namreč uporabnikom ponujajo nalaganje datotek, ki so dostopne samo ljudem, ki poznajo točen naslov. Vsaka naložena datoteka dobi svojega, potem pa je od nastavitev odvisno, ali se bo ta znašel v bazah iskalnikov ali ne. Toda raziskovalci so ugotovili, da lahko tudi do datotek, ki naj bi imele nevidne naslove, dostopijo nepoklicani uporabniki. Problem je v številčenju in generiranju...

Ars Technica - Zadnje različice priljubljenih spletnih brskalnikov imajo vgrajen tako imenovan anonimni način brskanja (InPrivate Browsing v IE, Private Browsing v Firefoxu in Safariju ter Incognito mode v Chromu), v katerem naj si po zaprtju uporabniške seje ne bi zapomnili ničesar o zgodovini brskanja. Anonimnost v tem primeru moramo razumeti pravilno - zagotavljajo jo lokalno, tako da naslednji uporabniki na istem računalniku ne morejo videti zgodovine brskanja predhodnikov, medtem ko lahko po spletu še vedno trosite podatke o sebi. Iz očitnih razlogov je popularno poimenovanje te funkcionalnosti tudi porn mode. Raziskovalci s Stanford University in Carnegie Mellon University pa so ugotovili, da ti načini...