Slo-Tech - Pozorni obiskovalci ste nekaj pred dvajseto lahko opazili vročo novico, da je bil Slo-Tech "pohekan". Obvestilo se je ponašalo z opisom domnevne varnostne luknje (šlo naj bi za t.i. "XSS" - Cross Site Scripting napad), napotilom k boljšemu programiranju in pojasnilom, da domnevni heker ni povzročil nobene škode (t.j. ni ničesar brisal niti vgradil "zadnjih vrat").

Po takojšnjem ukrepanju se je ugotovilo, da je enemu od petih uporabnikov Slo-Techa z največ pravicami na za zdaj še neznan način "ušlo" geslo. ZliHeker se je s tem računom prijavil v sistem in svojemu običajnemu računu podelil niz pravic, ki mu sicer ne gredo, ter na njihovi podlagi objavil novico. Navedbe o tovrstni varnostni luknji so tako neresnične.

Slo-Tech ob tej priložnosti obiskovalcem zagotavlja, da do drugih posegov ali vpogledov v sistem Slo-Techa ni prišlo. Prav tako je tudi v primeru razbitja administratorskega gesla nemogoč nepovraten izbris katerihkoli podatkov.

Pri tem velja nadebudne "hekerje"...

The Register - Zopet luknja v kombinaciji MS Messenger in Internet Explorer; ker pa slika pove več kot nemalo besed, je tukajle 'demo'.

Opozorilo: bralec Robin, kateremu se najlepše zahvaljujem, me je opozoril, da naj bi bil na povezavi 'demo' virus. Moj NAV mi ne javi ničesar, tako da -- diskretno.

Še link: klik

The Register - Hekerji so zopet našli varnostno luknjo v Microsoftovi tehnologiji ASP.Net: tokrat gre za CSS ('cross-site scripting') težavo, ki stranem omogoča, da z uporabo hipertekstnih povezav ter JavaScriptom pridobi dostop do uporabnikovega računala, med drugim tudi njegovih piškotkov. Velikan je napako po mesecih le odpravil... Klik!

The Register - No, Microsoftu so dokazali še eno luknjo v njihovi programski opremi, ki sicer ne povzroči direktne škode, vendar pa vam lahko povzroči kar nekaj težav, če cenite svojo zasebnost. Precej "lepa" lastnost v MSN in programu Windows Messenger, ki omogoča prepoznavanje uporabnika programa Internet Explorer (seveda brez privolitve uporabnika), je lahko kaj hitro izkoriščena s strani hekerja, ki vsaj malo obvlada Javascript ali VBscript. Varnostna luknja omogoča, da heker brez težav pridobi uporabnikovo uporabniško ime v Messengerju ali pa si ogleda njegove "pogodbe". Če uporabniško ime slučajno ni na voljo, pa lahko pridobi uporabnikov e-mail (jao, kupi spama vam ne udiejo). To pomeni, da lahko Messenger brez ustreznega popravka kaj hitro postane orodje, ki vam pošteno prevoha vašo računalniško zasebnost. Na srečo pa ni vse tako črno, saj uporabniki Netscapov, Mozill, Oper in Trilliana ne boste imeli takih problemov. Dokler Microsoft ne spiše popravka (če ga ni že), se lahko pred luknjo...

ZDNet - Medtem ko je na dnevnem redu senatorskih govorov besedica 'Passport' ter MS piše Priročnike za prehod iz Linuxa/Unixa na Okna (... katere bo očitno tudi sam potreboval, ko bo prenesel Unix strežnike za Hotmail na Windowse ...), pa so v svojem Hotmail sistemu odkrili še eno luknjo: če bi zli uporabnik poznal neko uporabniško ime ter točen čas prejetja e-maila (beri: na stotinko sekunde natančno) plus še dvomestno naključno številko, bi lahko to sporočilo tudi prebral.

Po Microsoftovih besedah sodeč so luknjo že zakrpali, na hekerski strani Root Core pa je še vedno na voljo "how-to". Klik!

The Register - Ta pa je bosa. Microsoft je avtorsko zaščitil objavljanje popravkov za žužke v njihovi programski opremi. Elias Levy od Securityfocus.com je prejel pismo, v katerem so ga Microsoftovi odvetniki obvestili, da nima njihovega dovoljenja za obveščanje ljudi o popravkih, če pa bo s svojim "NELEGALNIM" !!! početjem nadaljeval, bo obravnavan kot kršitelj zakona o avtorskih pravicah. Za zgodbo z Microsoftove strani, niso našli nobenega sogovornika. Čeprav sem zagovornik MS-ja in trdim, da so z win2k opravili res dobro delo, sem tudi prepričan, da jim bo treba malo pristriči peruti .. pač, postali so preveliki in premočni. Več si lahko preberete na tem naslovu. [;((] Thanx JLP. [:))]