janPona
API безопасность Крипипаста Короче, расскажу страшилку на ночь.

В одной компании использовался один знаменитый индийский облачный сервис для HR-менеджмента. Ну там, справочник сотрудников, зарплаты, отпуска, тайм-трекер. Назовём его, к примеру, CrowdHR.

А у этого индийского сервиса есть мобильное приложение для сотрудников, чтобы отмечаться в тайм-трекере.

Очень неудобное. Очень.

А у компании, которая это использует, есть домен Active Directory, куда сотрудники логинятся виндовыми компами. Это пока не важно, но потом будет важно.

Когда началась война, компания решила упростить сотрудникам процедуру отметок в тайм-трекере, и запилила свой собственный клиент для CrowdHR, назовём его Blink.

Принцип простой. Пользователь логинится своей доменной учёткой Active Directory, и может отмечаться в CrowdHR через приложение Blink. Интерфейс "одна кнопка", идеально.

Я несколько месяцев не юзал Blink, потому что я не знал свои креденшиалы от доменной учётной записи, потому что мой рабочий комп был под линуксом.

А тут что-то задолбал меня нативный индийский клиент CrowdHR и я попросил админа компании сбросить мне доменный пароль, чтобы залогиниться в Blink.

А ещё у блинка есть мобильная и веб- версии. Это важно, очень важно.

И вот, я решил начать своё знакомство с блинком с его веб-интерфейса.

Первое, что меня насторожило, это то, что я почему-то должен был вводить логин-пароль от домена в формочку на сайте блинка. "А как же OAuth там или на худой конец SAML?" — сразу подумал я.

А потом подумал, да ведь это было бы прекрасно, будь там авторизация OAuth через майкрософтовскую учётку (не AD). И полез я в хедеры запросов, чтобы посмотреть, как там всё бегает.

А там красота. Когда юзер авторизовался в AD, ему отдают API ключ CrowdHR и ID юзера. ID вида: CY-NNNN. Где CY — код города, например KY для Киева, NNNN — номер сотрудника.

"Но что же это за апи-ключ?" — подумал я. Может, токен авторизации?

Нет. Это был секретный ключ от API сервиса CrowdHR. С очень широкими полномочиями. Индусы вообще в своём API не предусмотрели аутентификации для сотрудников, а сделали только сервисные ключи, права которых распространяются не на отдельных юзеров, а на отдельные ресурсы. Например "все расписания" или "все персональные данные" или "все отпуска".

И вот с помощью API ключа я обнаружил, что я могу отмечаться от имени других сотрудников, смотреть их персональную информацию, включая телефоны и адреса близких родственников. И многое, многое другое, о чём даже вспоминать страшно.

Вообще, на самом деле сервер авторизации даже не выдает ключ (как оказалось, ключ вообще захардкожен в клиентском коде Blink, и виден он кому попало даже БЕЗ авторизации).

Так, 9 месяцев в публичном пространстве провисела НЕХУЁВАЯ ТАКАЯ уязвимость, которую никто не замечал, а после моего репорта благополучно закрыли буквально за рабочий день.

Об этом уже можно писать, потому что всё пофикшено, но компанию упоминать нельзя, потому что NDA.

Выводы в комментариях.
cypa
безопасность по ходу мне нужна система хранения и передачи паролей директору небольшой продажной конторы с тремя интернет-магазинами
есть что хорошее? простое без излишеств и надёжное
(если что php и web-интерфейс относятся к излишествам)
janPona
безопасность npm Почему все шутят про node_modules, но не про растовские крейты, гошные модули, composer-овские пакеты? Там же тот же букет болячек, потому что никто ведь не придумал серебряной пули от dependency hell.

Ах ну да, я забыл. Ведь JavaScript — самый популярный язык. Тупо численностью взяли. И ещё, что немаловажно, он самый лёгкий язык, и в нём больше всего говнокодеров, которые вообще зачастую не понимают, где они находятся, и что они здесь делают. Увы, это бремя любого популярного языка.
janPona
marakgate Yarn безопасность npm А теперь про воркфлоу без локфайла, но сначала про ворфлоу с локфайлом.

Что такое локфайл? Это такой огромный json, в котором зафиксированы все зависимости данного пакета. Локфайл имеет одну особенность — пакетный менеджер (будь то npm или yarn) считывает его только для корневого пакета. Но не для зависимостей. «Но почему?!» — спросите вы.

Причина такого (правильного) поведения в том, что, если бы учитывался каждый локфайл каждой библиотеки, то, поскольку в них бы для одних и тех же зависимостей разных библиотек были бы вторичные библиотеки разных версий, пришлось бы устанавливать огромное число дубликатов этих библиотек. Непонятно? Вот пример:

— Мы пишем приложение, пакет называется application.
— application зависит от библиотеки, скажем, виджета для отрисовки таблиц tables@0.1.0.
— tables@0.1.0 зависит от маленькой библиотеки, скажем, leftpad@0.2.0
— но application, кроме этого зависит ещё от одной библиотеки: виджет отрисовки графиков charts@0.1.0
— а charts@0.1.0, в свою очередь, зависит от leftpad@0.2.1 (обратите внимание, версия другая)

Что мы имеем в реальной жизни? В реальной жизни при установке зависимостей нашего application, создастся локфайл, в котором пропишется leftpad@0.2.1. Почему так происходит? Потому что и charts, и tables, во-первых зависят от leftpad мягко, то есть вот так: "leftpad": "^0.2.0" и "leftpad": "^0.2.1". Это даёт пакетному менеджеру определённую свободу выбора компромиссной версии, каковой в данном случае будет leftpad@0.2.1.

А теперь представьте, что было бы, если бы у пакетов charts и tables были бы локфайлы, в которых была бы жёстко зафиксирована зависимость на leftpad двух разных версий (при условии, что эти локфайлы бы принимались всерьёз пакетным менеджером)? В итоговый локфайл приложения попали бы ОБЕ версии. И leftpad@0.2.0 установился бы в node_modules/tables/node_modules, а leftpad@0.2.1 установился бы в node_modules/charts/node_modules. Произошло бы задвоение пакета leftpad. А в реальном проекте таких пакетов были бы сотни, если не тысячи!

Вывод №1. В библиотеках не работает ни package-lock.json, ни yarn.lock, и это так задумано. Кроме того, иметь нефиксированные номера версий зависимостей — правильно. Это позволяет пакетному менеджеру устанавливать пакеты экономно, без дубликатов.

Продолжение в комментариях.
PoZitron
деньги безопасность Прочёл на Пикабу пост где Сбербанк спрашивают почему у них регистронезависимые пароли. Думал шутка. Решил проверить.
Ввёл свой пароль от сбербанк онлайн в нижнем регистре и... успешно залогинился!
FaCePaLm.jpg
Scobar
безопасность Аргус На работе стала дико глючить сигналка Аргус спектр catalog.argus-spectr.ru и тк госконтора=денег нема, систему ставили одни гастеры, настраивали другие, договор на обслуживание отсутствует как класс, да и специалисты тоже, начинаю почитывать мануал ибо заманало в пульте кроны менять тк постоянно трещит сигнал тревога (неисправность то ли по датчику объёма охраняемого периметра, то ли по пожарному датчику — ещё не разбирался) и "неисправность. А система охраны от герконового датчика на двери и лампочки шагнула далеко к работе на радиоканале 860 мегагерц с кучей ретрансляторов, датчиков по проводам и опять же радиоканалу. И оно ещё программируется, прошивается и привязывается. Есть кто сталкивался, дабы позадавать тупые вопросы ?
lv
TOR Даркнет безопасность Поставил этот ваш тор браузер.

Тащемта я ожидал, что увижу взлет ракеты и некую заглавку с кнопками типа Drugs, Whores, Warez и там что еще по списку главных грехов даркнета...

А оно мне открыло модденный огнелис и DuckDuckGo.

Такого поворота событий я не ожидал.
SolderStain
некрософт безопасность гуголь Сообщив об уязвимости в безопасности веб-браузера Chrome, представители Microsoft проследили за ходом её устранения и указали Google на неправильную последовательность действий при работе с Open Source-проектом.

14 сентября специалисты по безопасности из компании Microsoft обнаружили серьёзную уязвимость в Chrome — CVE-2017-5121, — сообщив об этом Google с одновременной передачей эксплоита для возможности удалённого исполнения кода (RCE exploit). Авторам этого отчёта Google подарила 7500 USD, а вместе с другими багами, найденными в Microsoft в результате проведённого ими комплексного исследования работы песочниц в Chrome, общая премия составила 15 837 USD. Но куда занимательнее в этой истории оказался взгляд Microsoft на дальнейшие действия инженеров Google.

В целом работа Google над уязвимостью CVE-2017-5121 «Out-of-bounds access in V8» в Chrome произвела хорошее впечатление, потому что её исправление было опубликовано уже через 4 дня после первого сообщения*, а исправленная сборка продукта появилась через 3 дня после этого. Однако проблема, которую увидели в Microsoft в этом процессе, заключается в том, что исходный код исправления был опубликован в GitHub до того, как эти обновления стали доступны для пользователей приложения: «Хотя исправление этой проблемы не давало мгновенного доступа к эксплуатации соответствующей уязвимости, в других случаях всё могло бы пройти не так гладко», — пишет в блоге Windows Security Джордан Рабет (Jordan Rabet) из команды Microsoft Offensive Security.

nixp.ru
SolderStain
прекрасное безопасность security В третий день два раза был успешно атакован Microsoft Edge, а также продемонстрировано два взлома VMWare Workstation, которые привели к выполнению кода за пределами виртуальной машины. Первый взлом был совершён в рамках атаки на Edge, а второй в виде отдельной демонстрации. Для организации выполнения кода на стороне хоста при совершении атаки внутри гостевой системы были вовлечены три 0-day уязвимости: уязвимость в ядре Windows, утечка инфорамции в VMware и использование неинициализированного буфера в VMware.

за пределами виртуальной машины, Карл! ну и про эффективность модели Security through obscurity и безопасной проприетари
Messerschmitt
интернет безопасность анонимность Я уверен, что автор книги "Искусство легального, анонимного и безопасного доступа к ресурсам Интернета" ничего принципиально нового не изложил, но я бы взглянул мельком. Покупать я её, конечно же, не буду. Подожду пока зальют на Флибусту или на торренты какие-нибудь. ozon.ru
Balancer
mitm https безопасность Планирую переводить сайты на https, но сейчас всё чаще попадаются провайдеры, перехватывающие трафик под свой сертификат. Хотелось бы в этом случае пользователю выдавать жирное предупреждение. Как это сделать, куда копать?
Dementy
безопасность Android 155 приложений с троянцем из Google Play скачало более 2 800 000 пользователей

Новость от 28 июля 2016 года

news.drweb.com

И таки по случаю вопрос.
Кто чем нынче своего Андрюху защищает?
Мне лично хватает XPrivacy и (в основном) здравого смысла.
SolderStain
Flash безопасность CVE-2016-4117. Уже и стебаться лень.
Опасность: Критическая
Описание: Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.Уязвимость существует из-за ошибки проверки границ данных в модуле DeleteRangeTimelineOperation. Удаленный пользователь может с помощью специально сформированного .swf файла вызвать переполнение буфера и выполнить произвольный код на целевой системе.Примечание: уязвимость активно эксплуатируется в настоящее время.
SolderStain
безопасность FreeBSD CVE-2016-1887 — уязвимость в коде обработки аргументов системного вызова sendmsg() позволяет перезаписать содержимое больших областей памяти ядра, что может быть использовано локальным злоумышленником для получения прав root. Проблема проявляется в ветке FreeBSD 10.x.

CVE-2016-1886 — уязвимость в драйвере клавиатуры atkbd, связанная с переполнением буфера при обработке вызовов ioctl. Локальный злоумышленник может организовать выполнение кода в контексте ядра, отправив специально оформленный ioctl для изменения раскладки клавиатуры. Проблема проявляется во всех ветках FreeBSD. В качестве обходного пути блокирования уязвимости можно отключить изменение раскладки ("sysctl hw.kbd.keymap_restrict_change=4").
SolderStain
аэс вирусы безопасность reuters.com
собственно ничего очень страшного, зараженная сеть была изолирована от сети управления АЭС.
Единственное что — триппер 2010 года, есть подозрение что до своей помойки на предмет вирусов парни дошли с 2010 только сейчас.
provaton
безопасность вело совет Сегодня столкнулся с неразрешимой дорожной проблемой. Надо было проехать мимо заезда на путепровод (см рисунок). По основной дороге едет непрерывный поток машин на скорости 80-100. Заезд на путепровод очень плавный, машины перед ним не тормозят, пешеходных переходов там никаких нет. Я еду вдоль основной дороги на скорости где-то 30 и мне надо проехать прямо (на рисунке обозначено стрелочками). Но получается что моя траектория будет пересекаться с траекторией машин поворачивающих с крайнего правого и среднего рядов на путепровод, и есть большая вероятность что они не притормозят.

Есть ли тут вариант безопасно проехать или надо искать объезд?

SolderStain
Windows безопасность Поздравляем невольников майкрософт с прекращением деятельности очередного ботнета. 4 года фунциклировал dorkbot ботнет. Пожелаем же, друзья, чтобы заботливая МС разкрывала в два раза больше ботнетов и в два раза уменьшила средний срок их существавания. Слава роботам!
blogs.technet.com
mahury
безопасность а яндекс двухфакторную авторизацию поддерживает пока еще ограничено. яндекс диск её не хочет понимать. пичалька. и многие другие моменты тоже пока еще тупят. ждемс.