В одной компании использовался один знаменитый индийский облачный сервис для HR-менеджмента. Ну там, справочник сотрудников, зарплаты, отпуска, тайм-трекер. Назовём его, к примеру, CrowdHR.
А у этого индийского сервиса есть мобильное приложение для сотрудников, чтобы отмечаться в тайм-трекере.
Очень неудобное. Очень.
А у компании, которая это использует, есть домен Active Directory, куда сотрудники логинятся виндовыми компами. Это пока не важно, но потом будет важно.
Когда началась война, компания решила упростить сотрудникам процедуру отметок в тайм-трекере, и запилила свой собственный клиент для CrowdHR, назовём его Blink.
Принцип простой. Пользователь логинится своей доменной учёткой Active Directory, и может отмечаться в CrowdHR через приложение Blink. Интерфейс "одна кнопка", идеально.
Я несколько месяцев не юзал Blink, потому что я не знал свои креденшиалы от доменной учётной записи, потому что мой рабочий комп был под линуксом.
А тут что-то задолбал меня нативный индийский клиент CrowdHR и я попросил админа компании сбросить мне доменный пароль, чтобы залогиниться в Blink.
А ещё у блинка есть мобильная и веб- версии. Это важно, очень важно.
И вот, я решил начать своё знакомство с блинком с его веб-интерфейса.
Первое, что меня насторожило, это то, что я почему-то должен был вводить логин-пароль от домена в формочку на сайте блинка. "А как же OAuth там или на худой конец SAML?" — сразу подумал я.
А потом подумал, да ведь это было бы прекрасно, будь там авторизация OAuth через майкрософтовскую учётку (не AD). И полез я в хедеры запросов, чтобы посмотреть, как там всё бегает.
А там красота. Когда юзер авторизовался в AD, ему отдают API ключ CrowdHR и ID юзера. ID вида: CY-NNNN. Где CY — код города, например KY для Киева, NNNN — номер сотрудника.
"Но что же это за апи-ключ?" — подумал я. Может, токен авторизации?
Нет. Это был секретный ключ от API сервиса CrowdHR. С очень широкими полномочиями. Индусы вообще в своём API не предусмотрели аутентификации для сотрудников, а сделали только сервисные ключи, права которых распространяются не на отдельных юзеров, а на отдельные ресурсы. Например "все расписания" или "все персональные данные" или "все отпуска".
И вот с помощью API ключа я обнаружил, что я могу отмечаться от имени других сотрудников, смотреть их персональную информацию, включая телефоны и адреса близких родственников. И многое, многое другое, о чём даже вспоминать страшно.
Вообще, на самом деле сервер авторизации даже не выдает ключ (как оказалось, ключ вообще захардкожен в клиентском коде Blink, и виден он кому попало даже БЕЗ авторизации).
Так, 9 месяцев в публичном пространстве провисела НЕХУЁВАЯ ТАКАЯ уязвимость, которую никто не замечал, а после моего репорта благополучно закрыли буквально за рабочий день.
Об этом уже можно писать, потому что всё пофикшено, но компанию упоминать нельзя, потому что NDA.
Выводы в комментариях.
есть что хорошее? простое без излишеств и надёжное
(если что php и web-интерфейс относятся к излишествам)
Ах ну да, я забыл. Ведь JavaScript — самый популярный язык. Тупо численностью взяли. И ещё, что немаловажно, он самый лёгкий язык, и в нём больше всего говнокодеров, которые вообще зачастую не понимают, где они находятся, и что они здесь делают. Увы, это бремя любого популярного языка.
Что такое локфайл? Это такой огромный json, в котором зафиксированы все зависимости данного пакета. Локфайл имеет одну особенность — пакетный менеджер (будь то npm или yarn) считывает его только для корневого пакета. Но не для зависимостей. «Но почему?!» — спросите вы.
Причина такого (правильного) поведения в том, что, если бы учитывался каждый локфайл каждой библиотеки, то, поскольку в них бы для одних и тех же зависимостей разных библиотек были бы вторичные библиотеки разных версий, пришлось бы устанавливать огромное число дубликатов этих библиотек. Непонятно? Вот пример:
— Мы пишем приложение, пакет называется application.
— application зависит от библиотеки, скажем, виджета для отрисовки таблиц tables@0.1.0.
— tables@0.1.0 зависит от маленькой библиотеки, скажем, leftpad@0.2.0
— но application, кроме этого зависит ещё от одной библиотеки: виджет отрисовки графиков charts@0.1.0
— а charts@0.1.0, в свою очередь, зависит от leftpad@0.2.1 (обратите внимание, версия другая)
Что мы имеем в реальной жизни? В реальной жизни при установке зависимостей нашего application, создастся локфайл, в котором пропишется leftpad@0.2.1. Почему так происходит? Потому что и charts, и tables, во-первых зависят от leftpad мягко, то есть вот так: "leftpad": "^0.2.0" и "leftpad": "^0.2.1". Это даёт пакетному менеджеру определённую свободу выбора компромиссной версии, каковой в данном случае будет leftpad@0.2.1.
А теперь представьте, что было бы, если бы у пакетов charts и tables были бы локфайлы, в которых была бы жёстко зафиксирована зависимость на leftpad двух разных версий (при условии, что эти локфайлы бы принимались всерьёз пакетным менеджером)? В итоговый локфайл приложения попали бы ОБЕ версии. И leftpad@0.2.0 установился бы в node_modules/tables/node_modules, а leftpad@0.2.1 установился бы в node_modules/charts/node_modules. Произошло бы задвоение пакета leftpad. А в реальном проекте таких пакетов были бы сотни, если не тысячи!
Вывод №1. В библиотеках не работает ни package-lock.json, ни yarn.lock, и это так задумано. Кроме того, иметь нефиксированные номера версий зависимостей — правильно. Это позволяет пакетному менеджеру устанавливать пакеты экономно, без дубликатов.
Продолжение в комментариях.
Ввёл свой пароль от сбербанк онлайн в нижнем регистре и... успешно залогинился!
FaCePaLm.jpg
catalog.argus-spectr.ru и тк госконтора=денег нема, систему ставили одни гастеры, настраивали другие, договор на обслуживание отсутствует как класс, да и специалисты тоже, начинаю почитывать мануал ибо заманало в пульте кроны менять тк постоянно трещит сигнал тревога (неисправность то ли по датчику объёма охраняемого периметра, то ли по пожарному датчику — ещё не разбирался) и "неисправность. А система охраны от герконового датчика на двери и лампочки шагнула далеко к работе на радиоканале 860 мегагерц с кучей ретрансляторов, датчиков по проводам и опять же радиоканалу. И оно ещё программируется, прошивается и привязывается. Есть кто сталкивался, дабы позадавать тупые вопросы ?
На работе стала дико глючить сигналка Аргус спектр Тащемта я ожидал, что увижу взлет ракеты и некую заглавку с кнопками типа Drugs, Whores, Warez и там что еще по списку главных грехов даркнета...
А оно мне открыло модденный огнелис и DuckDuckGo.
Такого поворота событий я не ожидал.
14 сентября специалисты по безопасности из компании Microsoft обнаружили серьёзную уязвимость в Chrome — CVE-2017-5121, — сообщив об этом Google с одновременной передачей эксплоита для возможности удалённого исполнения кода (RCE exploit). Авторам этого отчёта Google подарила 7500 USD, а вместе с другими багами, найденными в Microsoft в результате проведённого ими комплексного исследования работы песочниц в Chrome, общая премия составила 15 837 USD. Но куда занимательнее в этой истории оказался взгляд Microsoft на дальнейшие действия инженеров Google.
В целом работа Google над уязвимостью CVE-2017-5121 «Out-of-bounds access in V8» в Chrome произвела хорошее впечатление, потому что её исправление было опубликовано уже через 4 дня после первого сообщения*, а исправленная сборка продукта появилась через 3 дня после этого. Однако проблема, которую увидели в Microsoft в этом процессе, заключается в том, что исходный код исправления был опубликован в GitHub до того, как эти обновления стали доступны для пользователей приложения: «Хотя исправление этой проблемы не давало мгновенного доступа к эксплуатации соответствующей уязвимости, в других случаях всё могло бы пройти не так гладко», — пишет в блоге Windows Security Джордан Рабет (Jordan Rabet) из команды Microsoft Offensive Security.
nixp.ru
В третий день два раза был успешно атакован Microsoft Edge, а также продемонстрировано два взлома VMWare Workstation, которые привели к выполнению кода за пределами виртуальной машины. Первый взлом был совершён в рамках атаки на Edge, а второй в виде отдельной демонстрации. Для организации выполнения кода на стороне хоста при совершении атаки внутри гостевой системы были вовлечены три 0-day уязвимости: уязвимость в ядре Windows, утечка инфорамции в VMware и использование неинициализированного буфера в VMware.
за пределами виртуальной машины, Карл! ну и про эффективность модели Security through obscurity и безопасной проприетари
за пределами виртуальной машины, Карл! ну и про эффективность модели Security through obscurity и безопасной проприетари
thelocal.at
интересно, это прекрасное будущее уже настает, или пока пиар?
интересно, это прекрасное будущее уже настает, или пока пиар?
Новость от 28 июля 2016 года
news.drweb.com
И таки по случаю вопрос.
Кто чем нынче своего Андрюху защищает?
Мне лично хватает XPrivacy и (в основном) здравого смысла.
Опасность: Критическая
Описание: Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.Уязвимость существует из-за ошибки проверки границ данных в модуле DeleteRangeTimelineOperation. Удаленный пользователь может с помощью специально сформированного .swf файла вызвать переполнение буфера и выполнить произвольный код на целевой системе.Примечание: уязвимость активно эксплуатируется в настоящее время.
CVE-2016-1886 — уязвимость в драйвере клавиатуры atkbd, связанная с переполнением буфера при обработке вызовов ioctl. Локальный злоумышленник может организовать выполнение кода в контексте ядра, отправив специально оформленный ioctl для изменения раскладки клавиатуры. Проблема проявляется во всех ветках FreeBSD. В качестве обходного пути блокирования уязвимости можно отключить изменение раскладки ("sysctl hw.kbd.keymap_restrict_change=4").
geektimes.ru
ФБР получило ПО для идентификации пользователей Tor от бывшего разработчика Tordb.img.v4.skyrock.net
ПО использовало уязвимость во Flash приложении в Tor Browser.intelisoftbd.net
reuters.com
собственно ничего очень страшного, зараженная сеть была изолирована от сети управления АЭС.
Единственное что — триппер 2010 года, есть подозрение что до своей помойки на предмет вирусов парни дошли с 2010 только сейчас.
собственно ничего очень страшного, зараженная сеть была изолирована от сети управления АЭС.
Единственное что — триппер 2010 года, есть подозрение что до своей помойки на предмет вирусов парни дошли с 2010 только сейчас.
Есть ли тут вариант безопасно проехать или надо искать объезд?
rss.slashdot.org
Петя... Петя, блин...
Петя... Петя, блин...
securitylab.ru
неплохо так
неплохо так
therunet.com
1.8 млрд рублей! угадайте операционную систему
1.8 млрд рублей! угадайте операционную систему
Google does deliberately teach you HELPLESSNESS.Кто-то тут хорошую ссылку запостил о безопасности Android.
ithipster.com
"Google намеренно учить вас беспомощности [в отношении безопасности]".
rel="nofollow">securitylab.ru
Adobe рекомендует прекратить использование Flash
(падает)
(встаёт, пьёт валерьянку)
(падает)
Директора по безопасности Oracle заколебали покупатели, проверяющие их код на наличие уязвимостей.
Ишь чё придумали, самовольно проверять безопасность. По лицензии можно только верить на слово. Это вам не гнатик, где всё открыто.
Ишь чё придумали, самовольно проверять безопасность. По лицензии можно только верить на слово. Это вам не гнатик, где всё открыто.
apparat.cc — всё понятно, троян блокирует оповещения по СМС, но списывает-то как?
«Сбербанк» потерял 2 млрд рублей из-за атаки хакеров через телефоны с ОС Android