Список форумов Шадринский форум -> Отдел игрушек (мягких и твёрдых) -> Операционные системы и сети -> Открытые исходники - залог безопасности
Открытые исходники - залог безопасности
Автор
Сообщение
| Нет я таким методом не пользуюсь...
Надо поглядеть будет просто сейчас некогда надо уходить, но мне кажется будет быстрее прсмотреть эту 171 строку чем прочитать книгу листов на 500 по этой теме....опять же ИМХО |
xdsl
просто хороший человек
Пол:
Зарегистрирован: 25.11.2004
Сообщения: 1252
Откуда: shadrinsk
Статус: Offline
просто хороший человек
Пол:
Зарегистрирован: 25.11.2004
Сообщения: 1252
Откуда: shadrinsk
Статус: Offline
| Без opensource есть алгоритм, о котором написано в толстых книжках. С открытыми исходниками есть еще многочисленные примеры реализации этого или близких алгоритмов. Вопрос - что лучше: одна книжка или книжка + примеры из работающих систем? |
xdsl писал(а): Без opensource есть алгоритм, о котором написано в толстых книжках. С открытыми исходниками есть еще многочисленные примеры реализации этого или близких алгоритмов. Вопрос - что лучше: одна книжка или книжка + примеры из работающих систем?Вот вот и я о том же... |
| Кстати,
Цитата Госкомпаниям запретят Windows
9/04/2006 12:25 Просмотров: 3695 Госкомпании и организации, работающие в стратегических отраслях, могут лишиться права использовать зарубежные программные продукты. Такой нормой предлагают дополнить проект закона "Об информации, информационных технологиях и защите информации", в ноябре одобренный Думой в первом чтении, член комитета по безопасности Геннадий Гудков и зампредседателя комитета по промышленности Александр Хинштейн. Об этом сообщает газета «Ведомости». Гудков предлагает дополнить законопроект пунктом, запрещающим "использование зарубежных программно-технических средств" "в государственных информационных системах, обеспечивающих стратегические отрасли и особо опасные (важные) объекты РФ". Комитет по информационной политике планирует рассмотреть поправки к закону уже 20 апреля. В стратегических отраслях уже есть ограничения — например, предприятия могут использовать только антивирусы, на которые имеются сертификаты Федеральной службы по техническому и экспортному контролю, ФСБ и Минобороны. Источник http://www.klerk.ru/ _________________ Йа - водоросль. |
Цитата Госкомпаниям запретят Windows Вот они, происки российских разработчиков 
|
| Stas
ага. скоро и иномарки запретят _________________ Ин дер гросен фамилие нихт клювен клац-клац 
|
| Сегодня секлаб опубликовал специальное для России написанное откровение Ричарда Столмана ( http://www.securitylab.ru/news/265496.php )
забавнейшая статейка. мне особенно понравились: Цитата термин "контрафакт" – пропаганда несвободных программ.Цитата Акции по изъятию нелегального программного обеспечения и привлечение к уголовной ответственности лоббируются проприетарными компаниями и это осуществление вредных для общества законов.Цитата Попирающие свободу разработчики проприетарного ПО, взяли на вооружение хитрую стратегию по использованию нелегальных копий программ в бедных странах. На первом этапе они закрывают глаза на широкое распространении несанкционированного использования, считая что это даёт пользователям "подсесть" на их ПОЦитата Как только общество становится зависимым от этих нелегальных копий, разработчики начинают преследования. Сначала компаний, затем частных лиц. Они называют пользователей "пиратами" и призывают их "легализовать" свои копии, ссылаясь на законы, которые весьма несправедливы. Цитата Ещё одним аспектом и преимуществом является то, что мы не должны платить за право запускать программыЦитата Делиться программами - не пиратство, это дружба. _________________ Ин дер гросен фамилие нихт клювен клац-клац
|
| Подружусь с Биллом Гейтсом. Адреса в личке. _________________ Йа - водоросль. |
| Действительно забавная.
Насчет неправильного употребления термина "контрафакт" - это надо еще в словарях посмотреть, что он означает. Если это "подделка", то Столлман прав, потому, что продукция пиратов не подделка, а копия; а если это "незаконно изготовленная продукция", тогда Столлман не прав, потому что пираты делают свои диски действительно незаконно. Даже если закон кому-то кажется несправедливым, это не освобождает от необходимости его выполнения. Лоббирование - нейтральный термин, означает "отстаивание своих интересов в гос.структурах", причем совершенно законное отстаивание. А что делать, если гос.структуры сами не пошевелятся? "Вредными для общества законами" Столлман считает систему защиты авторских прав. Воровать он не считает полезным для общества, но он не считает копирование воровством с этической точки зрения. Юридически - да, это воровство. Этически - нет. Законы не соответствуют этике, значит нужно изменить либо законы, либо этику. Впрочем, для России это обычная ситуация, Столлман, возможно, не в курсе. Да, он признает, что платное ПО гораздо лучше свободного, по крайней мере некоторое. Впрочем, "лучше" - звучит слишком расплывчато, лучше сказать "удобнее". Чтобы понять, что лучше, а что хуже, нужно довольно долго и плотно эксплуатировать и то и другое, а вот об удобстве можно судить по первому впечатлению и по отзывам других людей. Столлман обвиняет законы, которые мешают распространять программы без каких-либо ограничений. Он вообще хочет, чтобы система авторского права была радикально переработана в сторону либерализации прав пользователей. Лично я с этим согласен. Но вот с тем, что "мы не должны поддерживать кампании по борьбе с пиратством", я не согласен. Я думаю как раз таки должны. Закон должен соблюдаться, причем безо всяких исключений. А иначе будет как у Карамзина: "суровость Российских законов компенсируется необязательностью их исполнения". Я думаю, что последовательное, жесткое и тотальное исполнение законов о защите авторских прав приведет в конце концов к их значительной либерализации, а иначе они так и останутся инструментом избирательных репрессий (вот эти не нравятся - будем их преследовать по закону, а вот эти - ведут себя хорошо, пока закрываем глаза). Делиться программами - это и правда не пиратство, это сотрудничество, если делишься бескорыстно и со знакомыми людьми - с партнерами, приятелями, да в конце концов, родственниками. А вот если организовываешь копировальное производство, выходишь на рынок, получаешь прибыль - это уже, извините, пиратство и есть. Это чисто мое этическое представление. У Столлмана оно другое. |
| moishe
во  я специально не уточнил что значит "пиратство", потому что столман перемешал в кучу всё. делиться программами с друзьями - это ваши проблемы, в частную жизнь (по идее) никто не может лезть. но если начинаешь их продавать (тут в форуме кто-то пытался продавать "копии лицензии" за 100 рублей) - это уже пират. тут понятно что вопросов нет.
и, кстати, юридические лица - это уже не частная жизнь, потому их и прессуют. ибо опять же извлечение прибыли (или сокращение издержек, что вобщем-то без разницы). а кстати, интересно, надо бы полюбопытствовать.. изготовление копии книги (журнала) "для подарить" - это законно или нет? _________________ Ин дер гросен фамилие нихт клювен клац-клац
|
| Блин. Задолбали баги в FireFox-e. Не успели выпустить 1.5.0.4 как опять для него эксплоит. Ррррр. Вставляйте в ваши странички, ДОСьте этого лИса
<html> <head> <title>Credit's go to n00b</title> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> </head> <body> <marquee><marquee><marquee><marquee><marquee><marquee><marquee><marquee><marquee> <marquee><marquee><marquee><marquee><marquee><marquee><marquee><marquee><marquee> <marquee><marquee><marquee><marquee><marquee><marquee><marquee><marquee><marquee> <marquee><marquee><marquee><marquee><marquee><marquee><marquee><marquee><marquee> <marquee><marquee><marquee><marquee><marquee><marquee><marquee><marquee><marquee> <marquee><marquee><marquee><marquee><marquee><marquee><marquee><marquee><marquee> <marquee><marquee><marquee><marquee><marquee><marquee><marquee><marquee><marquee> <marquee><marquee><marquee><marquee><marquee></marquee></marquee></marquee></marquee> </marquee></marquee></marquee></marquee></marquee></marquee></marquee></marquee> </marquee></marquee></marquee></marquee></marquee></marquee></marquee></marquee> </marquee></marquee></marquee></marquee></marquee></marquee></marquee></marquee> </marquee></marquee></marquee></marquee></marquee></marquee></marquee></marquee> </marquee></marquee></marquee></marquee></marquee></marquee></marquee></marquee> </marquee></marquee></marquee></marquee></marquee></marquee></marquee></marquee> </marquee></marquee></marquee></marquee></marquee></marquee></marquee></marquee> </marquee></marquee></marquee></marquee></marquee></marquee></marquee></marquee> </body> </html> _________________ Ин дер гросен фамилие нихт клювен клац-клац
|
| Макровирус Stardust поражает офис OpenOffice.org, StarOffice
Исследователи из «Лаборатории Касперского» обнаружили, как они считают, первый вирус для OpenOffice, конкурента комплекта деловых программ Microsoft Office. Вирус, получивший название Stardust, способен заражать OpenOffice и пакет StarOffice, который продает Sun Microsystems, утверждается на веб-сайте российской компании. «Stardust — это макровирус для StarOffice, первый, который я встретил, — пишет исследователь. — Как правило, макровирусы заражают приложения MS Office». Вирус написан на языке Star Basic. Он загружает из интернета файл изображения «для взрослых» и открывает его в новом документе. Пока это только демонстрационный вирус, предназначенный для доказательства возможности создания вирусов для OpenOffice.org. Он не выпущен в открытый интернет и еще не заражал реальные системы. _________________ Ин дер гросен фамилие нихт клювен клац-клац
|
Fakir
Шадринский лавочник™
Пол:
Зарегистрирован: 25.11.2004
Сообщения: 12665
Откуда: Шадринск
Статус: Offline
Шадринский лавочник™
Пол:
Зарегистрирован: 25.11.2004
Сообщения: 12665
Откуда: Шадринск
Статус: Offline
Т.е. у Офисов под Лин-Системы свой формат файлов? 
|
| Реакция от разработчиков OpenOffice.org последовала незамедлительно. Они сообщили, что заражение при помощи макровирусов возможно для любой программы, которая поддерживает макросы. Макросы, по их словам, это очень полезная опция, но они также могут быть причиной деструктивных действий, таких как изменение или удаление файлов, и именно поэтому ими интересуются вирусописатели.
Разработчики сказали также, что программа всегда делает пользователю запрос на запуск макроса, и ни одна команда не выполняется автоматически. Никакого патча OpenOffice выпускать не собирается, поскольку считает, что макро-вирус вряд ли можно считать настоящим вирусом, ведь без вмешательства пользователя, с настройками программы, установленными по умолчанию, он не может размножаться. http://3dnews.ru/software-news/openoffice_org_net_nikakogo_virusa-166252/ я валяюсь пад стулом. значит если в MS Office - то это вирус, а если в OpenOffice - это не вирус. _________________ Ин дер гросен фамилие нихт клювен клац-клац
|
xdsl
просто хороший человек
Пол:
Зарегистрирован: 25.11.2004
Сообщения: 1252
Откуда: shadrinsk
Статус: Offline
просто хороший человек
Пол:
Зарегистрирован: 25.11.2004
Сообщения: 1252
Откуда: shadrinsk
Статус: Offline
| Нда. То есть вот такой вариант, несомненно - безопасней.
Программа: Microsoft Office XP Microsoft Office 2003 Опасность: Критическая Наличие эксплоита: Да Описание: Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может выполнить произвольный код на целевой системе. URL производителя: http://microsoft.com Решение: Способов устранения уязвимости не существует в настоящее время. http://www.securitylab.ru/bitrix/redirect.php?event1=extra_article_click&event2=vulnerability&event3=267711&goto=%2Fvulnerability%2Fsource%2F267715.php[/i] |
xdsl
просто хороший человек
Пол:
Зарегистрирован: 25.11.2004
Сообщения: 1252
Откуда: shadrinsk
Статус: Offline
просто хороший человек
Пол:
Зарегистрирован: 25.11.2004
Сообщения: 1252
Откуда: shadrinsk
Статус: Offline
| Или вот такой:
Программа: Microsoft Internet Explorer 6.x Опасность: Средняя Наличие эксплоита: Да Описание: Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании. Уязвимость существует в библиотеке mshtml.dll при обработке тега OBJECT. Удаленный пользователь может с помощью специально сформированной Web страницы вызвать отказ в обслуживании браузера. Примеры: http://lcamtuf.coredump.cx/iedie2-1.html http://lcamtuf.coredump.cx/iedie2-2.html http://lcamtuf.coredump.cx/iedie2-3.html http://lcamtuf.coredump.cx/iedie2-4.html URL производителя: www.microsoft.com Решение: Способов устранения уязвимости не существует в настоящее время. http://www.securitylab.ru/bitrix/redirect.php?event1=extra_article_click&event2=vulnerability&event3=266152&goto=%2Fvulnerability%2Fsource%2F266151.php |
Fakir
Шадринский лавочник™
Пол:
Зарегистрирован: 25.11.2004
Сообщения: 12665
Откуда: Шадринск
Статус: Offline
Шадринский лавочник™
Пол:
Зарегистрирован: 25.11.2004
Сообщения: 12665
Откуда: Шадринск
Статус: Offline
xdsl писал(а): Уязвимость существует в библиотеке mshtml.dll при обработке тега OBJECT. Удаленный пользователь может с помощью специально сформированной Web страницы вызвать отказ в обслуживании браузера. Примеры.... Походил по ссылкам, отказа в обслуживаниии не было.
|
||||||||||||
| Блин самая лучшая система Win"XP SP2 + ООО. Без проблем с макровирусами, одни траблы от дырявости XP.
Правдa если не для игр то лучше FreeBSD+Gnom+OOO+Mozilla. Эксплоитов и вирей на порядок меньше чем для Win'XP/2к3+IE5/6+MSOffice. |
| юзайте Windows Update. _________________ Ин дер гросен фамилие нихт клювен клац-клац
|
| Ну и юзаем, а толку одну дырку закроют три открывают! ИМХО. |
DCI писал(а): ООО. Без проблем с макровирусами_________________ Ин дер гросен фамилие нихт клювен клац-клац
|
andy ice писал(а): DCI писал(а): ООО. Без проблем с макровирусамиAndy ты что имел в виду. У меня уже более двух лет стоит OpenOffice и особых проблем с ним не видил. Все удобно, надо только привыкнуть. XP регулярно падает после установки очередного обновления, а с OOO проблем кроме как с открытием некоторых файлов под редакцией MSO не наблюдал! |
| Имел в виду, что в связи с малым распространением ОО вирусов и прочего не наблюдается. Вот потом посмотрим, когда он поболее распространен будет. Так же было и с мозилой. Кстати, всё еще против ДОС-а заплаты нет _________________ Ин дер гросен фамилие нихт клювен клац-клац
|
Кстати про лиса - во время обновления с 1.5.0.2 до 1.5.0.3 лис сам скачал обновление (включено по дефолту, кстати. впрочем не жалко - 100-200кб), сказал что не смог установить, скачал ПОЛНЫЙ дистр и только тогда смог себя обновить  _________________ Ин дер гросен фамилие нихт клювен клац-клац
|
andy ice писал(а): Кстати про лиса - во время обновления с 1.5.0.2 до 1.5.0.3 лис сам скачал обновление (включено по дефолту, кстати. впрочем не жалко - 100-200кб), сказал что не смог установить, скачал ПОЛНЫЙ дистр и только тогда смог себя обновить Не заметил такой проблемы мой спокойно обновился и даже не пискнул. На счет ООО andy, любая программа получившая достаточное распростронение в нагрузку получает полчища идиотов мнящих себя крутыми хакерами, готовых на все лищ бы нагадить пользователю и прославиться. Это не зависит ни от типа лицензии, ни от производителя конкретного продукта. |
| Mozilla Firefox 1.5.0.4, Mozilla Suite 1.7.13, Mozilla SeaMonkey 1.0.2, and Netscape 8.1 and earlier allows user-complicit remote attackers to read arbitrary files by tricking a user into typing the characters of the target filename in a text box and using the OnKeyDown, OnKeyPress, and OnKeyUp Javascript keystroke events to change the focus and cause those characters to be inserted into a file upload input control, which can then upload the file when the user submits the form. _________________ Ин дер гросен фамилие нихт клювен клац-клац
|
DCI писал(а): Не заметил такой проблемы_________________ Ин дер гросен фамилие нихт клювен клац-клац
|
xdsl
просто хороший человек
Пол:
Зарегистрирован: 25.11.2004
Сообщения: 1252
Откуда: shadrinsk
Статус: Offline
просто хороший человек
Пол:
Зарегистрирован: 25.11.2004
Сообщения: 1252
Откуда: shadrinsk
Статус: Offline
Krechet on linux.org.ru писал(а): >Без антивирусов в винде очень тяжко.
Просто надо меньше ходить по порно сайтам и вирусав у вас не будет (99% гарантия). А вообще рецепт безопасности в венде таков: 1. Не пользуемся ИЕ. Никогда. 2. Сидим за файрволом. Лучше конечно физическим, но встроенный, виндовый сойдет в 95% случаев. 3. Не качяем кряки и варез (нужно игруху? перепиши у друга!) 4. Не пользуемся AIM и не кликаем в нем окей на все что ни поподя. 5. Не ставим тулбары, помошники, кнопочки, тяпочки. 5. Не пользуемся ИЕ. А это уже было. Антивирус при таком использовании венды нужен только параноикам. Я параноик: сканировал на spyware и вирусы постоянно. Так вот придерживаясь эти шесть простых правил вы не только потеряете вес, приобретете ненормально большую для мужчины вашего возроста потенцию и популярность у женьщин, но и не увидите вирусов/спайваря на протяжении 8 месяцев (это мой рекорд и поломался он только надобностью какой то проги и скачиванием кряка с вирусом). В никсах тоже есть свои правила. Вот мои: 1. Сидим за фаерволом. Желательно физическим, но iptables подойдет. 2. Не включаем ftp. 3. Не включаем ssh без надобности. 4. Если включаем, то не держим тестовых и безпорольных юзеров в системе. 5. Держим крепкие пароли (у меня они более 16 символов длинной). Все применимо про потенцию и про вес и про женьщин и тем более про вирусы. |
| Это к чему?
ps: на лор уже ссылаются  _________________ Ин дер гросен фамилие нихт клювен клац-клац
|
| 27 июля, 2006
Программа: Mozilla Firefox версии до 1.5.0.5 Опасность: Критическая Наличие эксплоита: Нет Описание: Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, повысить свои привилегии на системе, и скомпрометировать целевую систему. 1. Уязвимость существует из-за ошибки при обработке очистки JavaScrip ссылок на фрейм или окно. Удаленный пользователь может выполнить произвольный JavaScript код в браузере жертвы. 2. Уязвимость существует из-за ошибки при обработке очистки JavaScrip ссылок на свойства объекта window.navigator. Удаленный пользователь может выполнить произвольный код, если страница заменяет navigator до запуска Java. 3. Повреждение памяти обнаружено при обработке одновременных XPCOM событий во время использования удаленного объекта таймера. Удаленный пользователь может выполнить произвольный код на целевой системе. 4. Уязвимость существует из-за недостаточной проверки правд доступа к стандартным DOM методам объекта верхнего уровня (например, "document.getElementById()"). Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте безопасности произвольного сайта. 5. Уязвимость состояния операции существует при удалении временных JavaScript файлов, если они используются в это время для создания нового объекта Function. Удаленный пользователь может выполнить произвольный код на целевой системе. 6. Уязвимость существует из-за большого количества ошибок в JavaScript engine в механизме garbage collection при обработке длинных строк, передаваемых методам "toSource()". Удаленный пользователь может выполнить произвольный код на целевой системе. 7. Уязвимость существует в JavaScript функциях, у которых родительский объект создан с помощью стандартного конструктора "Object()", который может быть переопределен в сценарии. Удаленный пользователь может выполнить код с повышенными привилегиями, если конструктор "Object()" возвращает ссылку на привилегированный объект. 8. Уязвимость существует из-за ошибки при обработке PAC (Proxy AutoConfig) сценария. Злонамеренный PAC прокси сервер может выполнить произвольный сценарий в браузере жертвы с повышенными привилегиями. 9. Уязвимость существует из-за ошибки в сценариях, наделенных привилегиями "UniversalBrowserRead". Удаленный пользователь может повысить свои привилегии на системе. 10. Уязвимость существует из-за ошибки в конструкции "XPCNativeWrapper(window).Function(...)". Удаленный пользователь может выполнить произвольный код сценария на целевой системе в контексте безопасности произвольного сайта. 11. Повреждение памяти обнаружено при вызове функции "nsListControlFrame::FireMenuItemActiveEvent()"; обнаружено также несколько потенциальных переполнений буфера и ошибок повреждения памяти. Удаленный пользователь может выполнить произвольный код на целевой системе. 12. Уязвимость существует из-за ошибки при обработке "chrome:" URI, которые могут ссылаться на произвольные файлы и запускать их с повышенными привилегиями. источник - секлаб. _________________ Ин дер гросен фамилие нихт клювен клац-клац
|
Страница 7 из 10
Список форумов Шадринский форум -> Отдел игрушек (мягких и твёрдых) -> Операционные системы и сети -> Открытые исходники - залог безопасности
| |
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы можете скачивать файлы |