Все, что делаешь, надо делать хорошо, даже если совершаешь безумство.

Самолет терпит аварию, в этом самолете всего два парашюта и три мужика, которые спорят, кому же все-таки достанутся парашюты. ...

Платформа совместной работы Microsoft Teams доступна для Linux
Wed, 11 Dec 2019 08:29:37 +0300

Google подготовил систему поиска и навигации по коду Android
Wed, 11 Dec 2019 08:00:28 +0300

VPN WireGuard принят в ветку net-next и намечен для включения в ядро Linux 5.6
Mon, 09 Dec 2019 18:42:28 +0300

Началось общее голосование о системах инициализации в Debian
Sat, 07 Dec 2019 13:32:21 +0300

Самый популярный пример Java-кода на StackOverflow оказался с ошибкой
Thu, 05 Dec 2019 13:48:33 +0300

Microsoft развивает новый язык программирования на основе Rust
Tue, 03 Dec 2019 08:54:04 +0300

В KDE улучшена поддержка декорирования окон в GTK-приложениях
Mon, 02 Dec 2019 22:49:28 +0300

Введён в строй Qt Marketplace, каталог-магазин модулей и дополнений для Qt
Mon, 02 Dec 2019 16:49:05 +0300

Тенденции в аппаратном обеспечении, используемом с Linux
Mon, 02 Dec 2019 09:42:10 +0300

Прогресс в использовании ОС Redox на реальном оборудовании
Sun, 01 Dec 2019 10:56:09 +0300

Вышла новая версия Open CASCADE Technology - 7.4.0
Fri, 29 Nov 2019 16:28:49 +0300

Обновлены планы по поставке 32-разрядных библиотек в Ubuntu 20.04
Fri, 29 Nov 2019 09:37:15 +0300

В ядре Linux выявлена ошибка, приводящая к нарушению работы некоторых программ, использующих AVX
Wed, 27 Nov 2019 10:32:13 +0300

Ошибка в прошивке SSD-накопителей HPE, приводящая к потере данных через 32768 часов работы
Tue, 26 Nov 2019 17:49:06 +0300

Компания Mozilla опубликовала финансовый отчёт за 2018 год
Tue, 26 Nov 2019 10:35:08 +0300

Новости OPENNET
Новости

Платформа HackerOne, дающая возможность исследователям безопасности информировать разработчиков о выявлении уязвимостей и получать за это вознаграждения, получила отчёт о собственном взломе. Одному из исследователей удалось получить доступ к учётой записи аналитика по безопасности компании HackerOne, имеющего возможность просмотра закрытых материалов, в том числе со сведениями об ещё не устранённых уязвимостях. За время существования платформы через HackerOne исследователям в сумме было выплачено 23 млн долларов за выявление уязвимостей в продуктах более 100 клиентов, среди которых Twitter, Facebook, Google, Apple, Microsoft, Slack, Пентагон и ВМС США.

Примечательно, что захват учётной записи стал возможен из-за человеческого фактора. Один из исследователей отправил на рассмотрение заявку о потенциальной уязвимости в HackerOne. Аналитик HackerOne в ходе разбора заявки попытался повторить предложенный метод взлома, но проблему воспроизвести не удалось, и автору заявки был отправлен ответ с запросом дополнительных деталей. При этом аналитик не заметил, что вместе с результатами неудачной проверки по недосмотру отправил содержимое своей сессионной Cookie. В частности, в ходе диалога аналитик привёл пример выполненного утилитой curl HTTP-запроса, включающего HTTP-заголовки, из которых забыл почистить содержимое сессионной Cookie.

Исследователь заметил данную оплошность и смог получить доступ к привилегированной учётной записи на сайте hackerone.com, просто подставив замеченное значение Cookie без необходимости прохождения применяемой в сервисе многофакторной аутентификации. Атака стала возможной, так как на hackerone.com не применялась привязка сеанса к IP или браузеру пользователя. Проблемный сессионный идентификатор был удалён через два часа после публикации отчёта об утечке. За информирование о проблеме исследователю решено выплатить 20 тысяч долларов.

HackerOne инициировал аудит для анализа возможного возникновения подобных утечек Cookie в прошлом и для оценки потенциальных утечек закрытых сведений о проблемах клиентов сервиса. Аудит не выявил фактов утечек в прошлом и определил, что продемонстрировавший проблему исследователь мог получить сведения о примерно 5% из всех представленных в сервисе программ, к которым был открыт доступ аналитику, сессионный ключ которого был использован.

Для защиты от совершения подобных атак в будущем реализована привязка сессионного ключа к IP-адресу и фильтрация сессионных ключей и токенов аутентификации в комментариях. В дальнейшем привязку к IP планируют заменить на привязку к устройствам пользователя, так как привязка к IP неудобна для пользователей с динамически выдаваемыми адресами. Также решено расширить систему логов с информацией о доступе пользователей к данным и реализовать модель гранулированного доступа аналитиков к данным клиентов.

9.0306 70.4558 0.5845 63.5653

НОВОСТИ: Выпуск дистрибутива NomadBSD 1.3 Tue, 10 Dec 2019 20:36:50 +0300

Доступен выпуск Live-дистрибутива NomadBSD 1.3, представляющего собой редакцию FreeBSD, адаптированную для использования в качестве переносного рабочего стола, загружаемого с USB-накопителя. Графическое окружение основано на оконном менеджере Openbox. Для монтирования накопителей применяется DSBMD (поддерживается монтирование CD9660, FAT, HFS+, NTFS, Ext2/3/4), для настройки беспроводной сети - wifimgr, а для управления громкостью - DSBMixer. Размер загрузочного образа 2.3 Гб (x86_64, i386).

Opera Firefox INFOBOX - хостинг Google Chrome