Zprávičky v rubrice Bezpečnost

Leviathan Security Group se pokusil zmapovat, co o vás může zjistit androidí aplikace, která nemá přidělená žádná práva, tzv. Zero-Permission aplikace. A není toho málo. Základem je čtení obsahu SD karty. Jak může aplikace získaná data odeslat,… Více

Pokud používáte Spring Security knihovnu pro zabezpečení volání metod v Javě, mohl by vás zajímat nápad, který umožňuje společná pravidla sdílet ve formě vlastních bezpečnostních anotací. Myšlenka je popsána v článku na blogu Honzy Novotného. Více

Recurity Labs vytvořili implementaci OpenPGP v JavaScriptu. Implementace s názvem GPG4Browsers je k dispozici v alfaverzi jako plugin pro Chrome. Autoři počítají s využitím pro webmaily, ovšem jak někteří upozorňují, nebude to tak snadné. Více

Mozilla na svých stránkách nabízí obsáhlý návod k vytváření bezpečných webových stránek – Secure Coding Guidelines. Dokument pokrývá široké spektrum problémů, od autentizace přes správu session či validace vstupních dat až po problematiku CSRF, XSS a podobých útoků. Více

Dle oficiálních informací Facebooku vzniká od 1. října 2011 povinnost využití protokolu HTTPS pro všechny Facebook aplikace. Facebook aplikace a tedy i veškeré vstupní stránky, Facebook eshopy a další iframe obsah na Faceoboku musí běžet na doméně… Více

Tohle pravidlo je mezi vývojáři notoricky známé – nebo by mělo být. Přesto nezaškodí si ho jednou za čas připomenout. Tentokrát na webu WebSpecies článkem Never trust your sources Více

Společnost Context IS na svém blogu představila možné bezpečnostní riziko technologie WebGL, která umožňuje pracovat s (akcelerovanou) 3D grafikou ve webových prohlížečích. Podle zprávy může útočník pomocí specifického postupu zaútočit na úrovni… Více

Právní úprava, na jejímž základě bylo prováděno preventivní uchovávání údajů o internetové a telefonické komunikaci, je protiústavní. Spornou část zákona a celou prováděcí vyhlášku dnes zrušil Ústavní soud. (text nálezu ÚS, PDF, 440kB, in: Ústavní… Více

Společnost Research In Motion (RIM, výrobce komunikátorů BlackBerry) zareagovala na objevení bezpečnostního rizika v modelu Torch 9800 doporučením, aby si uživatelé systému verze 6 a novějších zakázali JavaScript do doby, než bude k dispozici… Více

Ve verzi Twitter Client 3.3.0 pro iOS (iPad, iPhone) a předchozích existuje bezpečnostní díra, která umožňuje spustit Javaskriptový kód, vložený do tweetů. Pomocí tohoto kódu je možné vyvolat akci OS. Ukázku možného průniku nabízí James Whelton… Více

Pěkný hack, který umožní skriptům na stránce zjistit, jestli je uživatel přihlášený k Twitteru, Facebooku či GMailu (a dalším službám) zveřejnil Mike Cardwell. Princip spočívá v obsloužení událostí onload a onerror u elementů, kterými se pokusíme… Více

Společnost McAfee zveřejnila svoji předpověď hrozeb na příští rok, studii 2011 Threat Predictions. Odborníci z McAfee Labs předpovídají, že největší zájem internetových podvodníků budou v příštím roce vyvolávat sociální sítě. Zločinci se zde budou… Více

Slova „prolamování hesel“ a „JavaScript“ se v jedné větě dohromady téměř nevyskytují. Pro potřeby lámání hesla má JavaScript zásadní nevýhody – je pomalý a nedokáže práci rozdělit do více vláken. Nebo ne? Po pravdě řečeno tato tvrzení už tak moc… Více

Christopher Blizzard na svém blogu píše, že nová betaverze Firefoxu bude mít zakázánu technologii WebSockets. V návrhu je totiž bezpečnostní chyba, která umožňuje útočníkovi „otrávit“ cache. Více

Vývojáři webových stránek čas od času mohou ocenit možnost otestovat web v mobilním prohlížeči. Pokud nemáte po ruce mobil s nainstalovanou Operou, může se vám hodit PC verze tohoto prohlížeče, kterou nabízí přímo Opera – Opera Mobile Emulator. Více

MojeID, tedy OpenID poskytovatel od CZ.NIC, běží právě měsíc. Za tu dobu si svou vlastní identitu založilo 3041 uživatelů, plnou validaci (tj. všechny stupně ověření) má 118 uživatelů. Identitu lze použít na velkém množství webů, které podporují… Více

Sdružení CZ.NIC právě představilo a do ostrého provozu uvedlo autentizační technologii MojeID. V posledních týdnech jsme o MojeID informovali, takže není třeba službu dlouze představovat. Jedná se o službu, založenou na protokolu OpenID. Na rozdíl… Více

Smashing Magazine vydal seznam častých bezpečnostních chyb ve webových aplikacích. Seznam zahrnuje CSRF, XSS, clickjacking, SQL injection a další chyby, které se, ačkoli jsou notoricky známé, stále opakují… Více

Cookies jsou užitečnou technologií, která však může být celkem snadno zneužita ke „špehování“ uživatelů. Samotné HTTP cookies ale nejsou jediné místo, kde lze podobné údaje ukládat. Uživatelé, kteří dbají na soukromí a myslí si, že stačí smazat jen… Více

Byla objevena poměrně závažná chyba v ASP.NET, konkrétně v použití kryptografických knihoven ze strany ASP.NET, která za určitých okolností umožňuje zjistit obsah konfiguračního souboru webu. Oficiální záplata zatím nebyla vydána, a do jeho vydání… Více

Kolekci nástrojů pro kryptografii v JavaScriptu nabízí článek JavaScript Cryptography. Naleznete v ní např. implementaci bezpečného zadávání hesla přes AJAX, ale i běžnější knihovny, které se nějak týkají kryptografie – AES, SHA, Blowfish či OpenPGP Více

Bezpečnostní chyba, respektive chyby ve starších verzích reklamního systému OpenX umožňují SQL Injection. V minulých dnech kvůli ní byly úspěšně napadeny např. Pirate Bay a NY Times. Útočníci velmi často podstrčí do připojených částí (append)… Více

Na webu WebNT vyšel článek o ECMAScriptu 5, věnovaný objektu Math. Článek postupně popisuje jednotlivé vlastnosti a metody tohoto objektu sloužícího k provádění matematických operací. Kromě toho jsou u jednotlivých funkcí zmíněné i hraniční situace pro nestandardní parametry funkcí. Více

Programátoři, kteří používají PHP již nějaký čas, pamatují už víc doporučených způsobů, jak získat hodnoty předané v GET či POST požadavku – od $HTTP_GET_VARS přes doporučované a opět zatracované proměnné až k superglobálnímu $_GET. Vydrželo s námi… Více

Funkce „Obnovit zapomenuté heslo“ je velmi užitečná a jistě většině z nás už někdy vytrhla trn z paty. Jak tuto funkci implementovat a neudělat z ní zároveň bezpečnostní díru radí na svém blogu Jakub Vrána a připomíná základní pravidla, jako je… Více

Jakub Vrána na svém blogu PHPTriky připomněl metodu vícenásobného hašování, která by měla ztížit útok na případnou zcizenou databázi hašovaných hesel. Zároveň upozorňuje na případné nebezpečí vzniku konfliktních řetězců. Více

Bezpečnostní výzkumník Dan Kaminski, známý především kvůli objevu chyby v systému DNS,  založil start-up Recursion Ventures. Společnost by chtěla nabídnout především bezpečnostní nástroje určené pro webové vývojáře. První z produktů, Interpolique,… Více

Podle výzkumu provedeného společností Symantec je zhruba třetina výsledků na prvních sto místech ve vyhledávačích při hledání 300 nejpopulár­nějších výrazů  „otrávených“ – tedy vedou na stránky, na nichž se vyskytuje nějaký druh malware nebo které… Více

Nově objevená kritická chyba v některých apliakcích od Adobe může útočníkům otevřít zadní vrátka do počítače oběti. Zranitelnost byla zjištěna ve verzích Flash Player 10.0.45.2 a starší pro Windows, MacOS X i Linux. Verze 10.1 RC, která je již… Více

Služba URLVoid nabízí rychlé otestování webu na přítomnost bezpečnostních rizik (virů či trojanů). K testování používá nejrůznější nástroje, od Google Diagnostic přes nástroje McAfee, Norton SafeWeb či We Security Guard až po Spamcop a SURBL. Více