L29Ah
Linux security Using an unprivileged user and `su`/unrestricted (not limited to a closed set of trustworthy executables by sudoers) `sudo` to obtain root perms on a typical GNU/Linux system without restrictive MAC polices doesn't offer any considerable security improvement over using root directly for all activities the unprivileged user is used for. It does, though, provide plenty of feel-good inconvenience (typing all these `su`s when needed), even reinforced by some application developers, whose software refuses to run as root. Prove me wrong.
n3lab
security бабе короче пентесть, а то я взломаю весь твой майкрософт. просто у тебя нечего красть и за это никто не платит. ты не джедай, котоорый хочет хочет добра, ты ситх- пинтестер
schors
usher2 security ⚔️ Пока там закон о «сувенирном Рунете» не заработал, поработаю немного за государство на страже, так скажем, устойчивости этого самого Рунету.

⚡️ У нас тут в мире случайно зомби-аппокалипсис:
cpu.fail

‼️ В процессорах Intel нашли новую критическую уязвимость, которую назвали ZombieLoad. Уязвимость позволяет злоумышленнику, запустившему специально подготовленный код на компьютере, почитать произвольные данные, к которым имеет доступ процессор. Например, историю посещений браузера в реальном времени, данные соседних «виртуалок» в «облаке». Уязвимость требует возможности запуска кода на компьютере и не позволяет заражать или запускать что-то, но позволяет всё читать. Intel уже выпустил микрокод для исправления уязвимости. Говорят, 3%-9% потерь производительности. Но вот Apple утверждает, что только отключение Hyper-Threading и 40% потери производительности:
support.apple.com

☝️ Обновляйтесь. Особенно, если вы в облаках. Да, виртуалки тоже надо обновить.
SolderStain
fail security Уязвимость в macOS позволяет любому пользователю получить доступ к учетной записи суперпользователя. Для этого достаточно всего лишь ввести в поле имени пользователя «root» и два раза нажать кнопку ввода. Представители компании Apple уже признали проблему, и заявили, что работают над обновлением системы. Также ее можно решить и в текущей версии системы, установив пароль суперпользователя, сообщает издание Wired.
SolderStain
некрософт security В начале мая 2017 года пользователь, известный как Matthias I., сообщил разработчикам Microsoft о странной проблеме, которую удалось обнаружить в браузере Edge. Как оказалось, браузер отображает на экране один набор цифр, но если отправить документ в печать, на бумаге цифры изменятся. Специалисты Microsoft уже подтвердили наличие проблемы. Баг возникает, если пользователь просматривает в браузере PDF-документ, а затем использует встроенную функцию Microsoft Print To PDF, чтобы распечатать файл (аналогично нажатию стандартного сочетания клавиш CTRL+P в Edge). Проблема осложняется тем, что в Windows 10 именно браузер Edge является приложением по умолчанию для просмотра PDF-документов.
SolderStain
прекрасное безопасность security В третий день два раза был успешно атакован Microsoft Edge, а также продемонстрировано два взлома VMWare Workstation, которые привели к выполнению кода за пределами виртуальной машины. Первый взлом был совершён в рамках атаки на Edge, а второй в виде отдельной демонстрации. Для организации выполнения кода на стороне хоста при совершении атаки внутри гостевой системы были вовлечены три 0-day уязвимости: уязвимость в ядре Windows, утечка инфорамции в VMware и использование неинициализированного буфера в VMware.

за пределами виртуальной машины, Карл! ну и про эффективность модели Security through obscurity и безопасной проприетари
schors
lifestory CloudFlare security Вот тут значит все на CloudFlare пальцем показывают... Лето/осень 2003 года. Peterhost.ru. Я к apache 1.3.x прилаживаю "патч Котерова", который делает vfork(). Суть в том, что vfork() он не настоящий fork(), но позволяет сделать setgid, setuid и даже всякие setrlimit, чем я и воспользовался. Там конечно есть проблемы с тем, что можно испортить код и запустить его от рута, но это уж очень высокая магия. Короче, приладил я его и он работал на Peterhost.ru до момента пока там был apache 1.3.x и на diphost.ru тоже.

2005 год. Peterhost.ru. Сижу никого не трогаю. Вдруг пишет клиент, что мол у него сайт солидного строительного консалтинга, но иногда секс-игрушки и проституток Москвы и Питера показывает. Ну его мы стандартно покрутили — мол у вас прокся не такая, комп не такой. Но я чую неладное — секс-игрушки на том же сервере у нас. И тут я вдруг ловлю этот баг у себя на компе. Туда-сюда, редко, но повторяется. Походил по другим клиентам — да, тоже иногда вдруг вылезают куски соседних сайтов. Причем там слом мозга — вдруг в середине твоего сайта появляется чужой. В основном конечно куски часто посещаемых сайтов.

Через неделю нахожу, что я из форкнутого по vfork() процесса выхожу по exit(), хотя в мне русским по белому написано — _exit(), иначе там стек сместится и сломаете себе всё.
L29Ah
Skype Linux security xpra НАКОСТЫЛЕНО
‰ cat ~/bin/skype
#!/bin/sh
# wtf xpra+xorg problems?
sudo -u skype killall -u skype
# xpra.org
sudo -u skype rm -f /home/skype/.xpra/l29ah-x201-99
LANG=en_US sudo -u skype xpra --socket-dir=/tmp --mmap-group start :99 --start-child=/opt/bin/skype --pulseaudio=no
# xpra.org
sleep 3
#while [ ! -e /home/skype/.xpra/l29ah-x201-99 ]; do
# sleep 1
#done
xpra --socket-dir=/home/skype/.xpra/ attach :99 -d clipboard -z 0
L29Ah
Linux Gentoo security ? Mac Какой mandatory access control позволит разграничить мне права для скриптоговнища, которое живёт в виде кучи симлинков с разными именами на один говноскрипт, который по имени понимает что именно запускать, без дополнительных обёрток на каждый симлинк?
SolderStain
Telegram security Найденный в Telegram вирус запускает некий модуль, который сообщает пользователю о взломе его гаджета, а затем выдвигает требования в обмен на расшифровку данных пользователя, которые к тому моменту уже зашифрованы на устройстве жертвы.
rueconomics.ru
unfalse
Windows security Х — безопасность.
В Windows 10 из Safe mode, запустив control userpasswords2, можно сбросить пароль любого пользователя. Тут что-то не так. Ведь чтобы войти в систему, надо сначала ввести тот самый пароль, не?

ng358ex-2
ненависть security ебланы Вот что происходит когда пытаешься "на пальцах" объяснить криптографию сраному быдлу — посетителям сраного яплакал yaplakal.com Комментарии лучше всего свидетельствуют об уровне этих тупых животных.
L29Ah
Linux security К firejail прикрутили xpra, а к xpra — xdummy, и после некоторой обработки напильником теперь можно запускать браузер почти без тормозов в зааналенной прокладке для иксов (не даёт заниматься кейлоггингом, скриншоттингом и позволяет управлять доступом к клипборду), вебки и звука, в дополнение к имевшейся ранее анальной тюрьме для файлов и сети. Единственный наблюдаемый недостаток — не подсасывается DPI материнских иксов, из-за чего размер букв будет неестественный.
Для гентушников написал ебилд для сабвершона:
USE=x11 emerge firejail '=xpra-9999'
firejail --x11=xpra /usr/bin/firefox
Hawat
OpenBSD security opennet.ru
Под впечатлением от серии уязвимостей, о которых сообщалось утром, разработчики OpenBSD приняли решение об удалении функции монтирования файловых систем непривилегированным пользователем (sysctl kern.usermount=1).Заметив бородавку на пальце отрубают руку целиком. Видимо разработчиков не хватает на иное решение проблем.
Hawat
security geektimes.ru
Сейчас же ученые исследовали возможность похищения данных с помощью кулеров компьютера. ...
программа GSMem, которая передаст данные с зараженного ПК на любой, даже самый древний кнопочный телефон, при этом используя GSM-частоты.Куллер генерирует GSM-частоты...ребята наверное накурились.
Hawat
USB security geektimes.ru
Очередной девайс для отъема денег у населения.
1. Это черный ящик, так что неизвестно что там внутри поисходит.
2. Функция сос татистиков — игрушка для хипстеров, обычный человек пару раз откроет и забьет.
3. mysku.ru можно спаять безопасный кабель самостоятельно или найти готовый на рынке, который будет стоить заметно дешевле данного девайса.
Self-Perfection
security [[https://www.opennet.ru/opennews/art.shtml?num=44576|OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems]]. А надо мной ещё смеялись, что я все названия переменных, библиотек и пр. вставляю только копипастингом или автодополнением редактора.
Dant
AD WPAD links security Одна из причин, по которой крайне нежелательно использовать реальные, но непринадлежащие организации доменные имена 2-го уровня для внутренней инфраструктуры леса АДе: us-cert.gov