|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Dmitry Leonov 2:5020/400 09 Oct 2007 00:00:02
To : All
Subject : Russian Security Newsline 08.10.2007
--------------------------------------------------------------------------------
Приветствую!
Russian Security Newsline 08.10.2007
Перехват почты в GMail
dl // 26.09.07 15:35
Hеутомимый Петко Петков на этот раз добрался до GMail. Заманив жертву на
свой сайт, атакующий может отправить специально сформированный POST-запрос
к одному из интерфейсов GMail, что (если пользователь включил запоминание
паролей либо в этот момент залогинен) приведет к установке в почтовом
ящике жертвы произвольного фильтра, например, переправляющего всю входящую
почту по указанному адресу. Разумеется, фильтр останется работать до тех
пор, пока пользователь не соберется посмотреть список своих фильтров (что
многие делают не слишком часто).
Детали уязвимости пока не публикуются, хотя воспроизвести ее не составит
особого труда. Сама атака относится к классу так называемых CSRF
(cross-site request forgery) и становится возможной в ситуациях, когда при
обработке формы сайт забывает проверить, что ее сформировал именно он, а
не какой-то внешний ресурс. Защита от них тривиальна - проверка referer,
формирование и проверка уникального сессионного id формы.
Источник:
http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/
-----------------------------
Госдума может ввести лицензирование записи CD/DVD
dl // 08.10.07 23:28
Фракция "Единая Россия" внесла на рассмотрение Госдумы законопроект
N475488-4 "О мерах по противодействию обороту отдельных видов продукции,
произведенной с нарушением требований законодательства Российской
Федерации".
Помимо таких прелестей как обязательная маркировка и учет операций с семью
новыми видами продукции, включающими "аудиовизуальные произведения,
фонограммы, программы для ЭВМ и базы данных на любых видах носителей"
(привет шароварщикам и онлайновым продажам), предполагается, что
оборудование, позволяющее копировать аудиовизуальные произведения,
фонограммы, программы для ЭВМ и базы данных, можно будет продавать лишь
лицам, получившим лицензии на такую деятельность.
Из действия нормы исключены случаи воспроизведения фонограмм и
аудиовизуальных произведений в личных целях (магнитофоны, видеоплейеры), а
также использование оборудования для записи произведения в память ЭВМ
(оставляя под запретом пишущие CD/DVD-приводы).
Hу что, по магазинам? Интересно, как это доблестные законодатели
проморгали сканеры и ксероксы.
Источник: http://cnews.ru/news/top/index.shtml?2007/10/08/269401
-----------------------------
Также в выпуске:
MS откроет код .NET
(http://bugtraq.ru/rsn/archive/2007/03.html) // 04.10.07 08:10
О защите текстов на вебе
(http://bugtraq.ru/rsn/archive/2007/02.html) // 04.10.07 00:18
CCH7
(http://bugtraq.ru/rsn/archive/2007/01.html) // 03.10.07 23:24
Третья пятерка из рейтинга статей:
[ http://bugtraq.ru/library/rating/ ]
В Финляндии с интернет-зависимостью не берут в армию [9.11]
[ http://bugtraq.ru/rsn/archive/2004/08/06.html ]
04.08.04 03:17
Space dot com [8.94]
[ http://bugtraq.ru/library/fiction/spacedotcom.html ]
16.04.06 05:26
Теория и практика аудита и восстановления паролей Windows NT/2000/XP/2003
[8.91]
[ http://bugtraq.ru/library/security/passwords.html ]
26.02.03 01:49
Как был взломан "Релком-Украина" [8.88]
[ http://bugtraq.ru/library/www/relcom.html ]
19.09.98 12:00
Техника анализа программных защит на примере Ulead COOL 3D v3.5 [8.85]
[ http://www.bugtraq.ru/library/programming/uleadtrial.html ]
12.04.03 07:57
Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru
--- ifmail v.2.15dev5.4
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Russian Security Newsline 08.10.2007 |
Dmitry Leonov |
09 Oct 2007 00:00:02 |
|
|
