Skocz do zawartości

Zdjęcie

Leaki, ataki, niebezpieczniki - tablica ostrzeżeń


  • Zaloguj się by odpowiedzieć
161 odpowiedzi na ten temat

#31 Spuczan Napisany 11 wrzesień 2014 - 21:28

Spuczan

    Demigod

  • Forumowicze
  • 9555 Postów:
 

28 mb   :why:

 

Pewnie jutro się ściągnie...

 

Masz modem 56k?  :doge:

Chodzi o to, że do tej pory ściągałem pliki o wielkości 3 mb. 28 mb  stanowi pewne wyzwanie ponieważ zawsze może mi zerwać połączenie.  A im większy plik tym większe prawdopodobieństwo, że nigdy go nie ściągnę. W przypadku zerwania "pod sam koniec" zabawa zaczyna się od nowa.

 

 

28 mb   :why:

 

Pewnie jutro się ściągnie...

 

Masz modem 56k?  :doge:

 

Czy w tym zakątku świata, w którym obecnie się znajdujesz Internet jest porcjowany?  ;)

 

Mojego maila i żony nie ma na liście  :sir:

to jest pustynia gościu. Nie Kraków.

Fix.

 

Na szczęście udało się ściągnąć.

 

 

 

 

 

 

Dzięki Torq.

 


  • 0

#32 torq314 Napisany 18 wrzesień 2014 - 13:27

torq314

    Buddhabrot

  • Forumowicze
  • 21910 Postów:
A tymczasem Android Browser ma trywialną dziurę, która obchodzi tzw. same-origin policy. Z tego powodu dowolna strona może wykraść dane dowolnej innej, w tym jej ciastka i radośnie zrobić w imieniu użytkownika co tylko chce.

:fp:

http://niebezpieczni...o-uzytkownikow/

Uwaga! Nigdy nie uzywać tej przeglądarki, tylko Chrome.
  • 0

#33 Schrodinger Napisany 18 wrzesień 2014 - 13:38

Schrodinger

  • Moderatorzy
  • 56136 Postów:
a kto tego używa? w ogóle dziwi mnie dlaczego google jeszcze to wspiera zamiast zaorać i zastąpić chromem :hmmm: ?
  • 0

#34 torq314 Napisany 18 wrzesień 2014 - 13:42

torq314

    Buddhabrot

  • Forumowicze
  • 21910 Postów:

a kto tego używa? w ogóle dziwi mnie dlaczego google jeszcze to wspiera zamiast zaorać i zastąpić chromem :hmmm: ?

jak mają wyrzucić to ze starych andkow gdzie połowa kontrolek w oesie korzysta z wbudowanej przeglądarki a nie z chrome?

to raczej ludzie powinni szybciej migrować na nowsze wersje.

Ten post był edytowany przez torq314 dnia: 18 wrzesień 2014 - 13:42

  • 0

#35 lukaszSA Napisany 18 wrzesień 2014 - 16:18

lukaszSA

    Overall expert

  • Forumowicze
  • 20998 Postów:

Ja te domyślną przeglądarkę widziałem tylko na emulatorze. Nawet nie wiedziałem, że ona istnieje tak normalnie. A Chrome jest fajne, ale u mnie chyba 300 MB zajmuje :pf:


  • 0

#36 Danteusz Napisany 18 wrzesień 2014 - 21:38

Danteusz

    Alpha Male!

  • Administratorzy
  • 29161 Postów:


a kto tego używa? w ogóle dziwi mnie dlaczego google jeszcze to wspiera zamiast zaorać i zastąpić chromem :hmmm: ?


Ciągnie się efekt walk wewnętrznych miedzy teamem Andka i Chroma. Jak wiadomo wygrał ten drugi, Andy Rubin został wysłany na Syberię, a Sundar Pichai zgarnął wszystko, więc z czasem Android Browser zostanie wyparty.
  • 0

#37 Ryan Napisany 24 wrzesień 2014 - 13:18

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Ciekawie o fappeningu.

https://blog.lookout...reach-happened/
  • 0

#38 Ryan Napisany 25 wrzesień 2014 - 14:03

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Ciekawe czasy...

http://www.wired.com...o-day-exploits/

I dla pryszczersów coś:

http://www.troyhunt....know-about.html
  • 0

#39 torq314 Napisany 25 wrzesień 2014 - 14:49

torq314

    Buddhabrot

  • Forumowicze
  • 21910 Postów:

Ciekawe czasy...

http://www.wired.com...o-day-exploits/

I dla pryszczersów coś:

http://www.troyhunt....know-about.html


Jezusieńku, jeśli to prawda to połowa internetu jutro leży :(
  • 0

#40 Danteusz Napisany 25 wrzesień 2014 - 15:35

Danteusz

    Alpha Male!

  • Administratorzy
  • 29161 Postów:
Po Heartbleed nie leżała, po tym też nie będzie
  • 0

#41 Schrodinger Napisany 25 wrzesień 2014 - 15:51

Schrodinger

  • Moderatorzy
  • 56136 Postów:
z praktycznego punktu widzenia największy pogrom wśród znajomych miałem po 'wyjsciu' tej luki w routerach, że na tych starszych z odpalonym zdalnym podpięciem z neta można było wbić na routera i zrobić przekierowanie DNSów :D

co się wtedy działo to głowa mała :)
  • 0

#42 lukaszSA Napisany 25 wrzesień 2014 - 16:46

lukaszSA

    Overall expert

  • Forumowicze
  • 20998 Postów:

Właśnie przed chwilą mi się pojawił update basha.


  • 0

#43 torq314 Napisany 25 wrzesień 2014 - 19:23

torq314

    Buddhabrot

  • Forumowicze
  • 21910 Postów:

Właśnie przed chwilą mi się pojawił update basha.


Bomba, jeden linuks już jest bezpieczny.
  • 0

#44 lukaszSA Napisany 25 wrzesień 2014 - 19:50

lukaszSA

    Overall expert

  • Forumowicze
  • 20998 Postów:

Właśnie przed chwilą mi się pojawił update basha.


Bomba, jeden linuks już jest bezpieczny.

 

Oj Torq.

Jak ja dostałem update, to prawdopodobnie wszystkie SUSE taki update dostały. Red Haty pewnie też coś mają. Jeśli admini nie robią updatów to już ich sprawa
 


  • 0

#45 torq314 Napisany 25 wrzesień 2014 - 19:51

torq314

    Buddhabrot

  • Forumowicze
  • 21910 Postów:
Właśnie napisali że patch nie rozwiązuje problemy bo jest jego obejscie :pf:
  • 0

#46 lukaszSA Napisany 25 wrzesień 2014 - 19:57

lukaszSA

    Overall expert

  • Forumowicze
  • 20998 Postów:

Jeśli patch był robiony na szybko, to nie ma co się dziwić.

 

Kogoś gdzieś czeka kilka nieprzespanych nocy


  • 0

#47 Ryan Napisany 26 wrzesień 2014 - 11:03

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:

Jeśli patch był robiony na szybko, to nie ma co się dziwić.

Dżizas, w co Ty wierzysz? Ramey był powiadomiony w ramach responsible disclosure ponad tydzień temu. Skrócili czas hodowania informacji, bo ktoś z upstreamowych maintainerów paczek wyciekł informację. Ale mówimy tu o skróceniu czasu, który miał na łatanie, o kilka godzin.
  • 0

#48 lukaszSA Napisany 26 wrzesień 2014 - 11:28

lukaszSA

    Overall expert

  • Forumowicze
  • 20998 Postów:

Fakt jest taki, że patch który się wczoraj pojawił nie rozwiązuje podobno problemu. Red Hat zapowiedział, że w nocy wypuści kolejne poprawki.

 

Chyba, że tak właśnie miało być


  • 0

#49 Ryan Napisany 26 wrzesień 2014 - 15:09

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Nie, nie miało tak być. Ale to nie z pośpiechu, jak pisałeś, tylko z ogólnego trendu jakości softu.
  • 0

#50 Ryan Napisany 28 wrzesień 2014 - 20:46

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Zalewski ma ciekawy tekst:
http://lcamtuf.blogs...-patch-now.html

Generalnie jest trochę tak, jak pisałem: jakość kodu i świadomość autora ssie. Wszystkie łatki do tej pory radzą sobie z konkretnymi instancjami błędów w parserze, który jest inherentnie zły. Zamiast zmienić podejście, aplikuje się plasterki to tu, to tam.

//edyta

Z rzeczy luźno związanych - dłubałem ostatnio w libfetch, takim upośledzonym bratem libcurl z OpenBSD. kod jest straszny, a to też w znacznej mierze zbiór parserów (URLi, nagłówków HTTP/FTP). Przypuszczam, że bsdowy fetch jest nie mniej dziurawy. Pewnie większość starego kodu, uznawanego za "good enough" ssie podobnie.

Rzuciłem więc okiem na samo libcurl. Dramat.

Ten post był edytowany przez Ryan dnia: 28 wrzesień 2014 - 20:48

  • 0

#51 Danteusz Napisany 28 wrzesień 2014 - 20:54

Danteusz

    Alpha Male!

  • Administratorzy
  • 29161 Postów:

Możesz w jednym zdaniu streścić na czym polega ten bug?


  • 0

#52 Ryan Napisany 28 wrzesień 2014 - 21:36

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Ciężko w jednym, ale spróbuję w kilku podpunktach.
- w niektórych środowiskach (znacznie częściej, niż mogłoby się zdawać T_T) serwery WWW oddelegowują część zapytania do basha (żeby coś tam przetworzył)
- komponenty post i get w takich systemach pojawiają się jako zmienne środowiskowe
- bash ma wbudowany parser (duh!) zmiennych środowiskowych (duhduh!)
- w zmiennych środowiskowych można przechowywać funkcje, które bash ma wykonać

Reszty się możesz domyślić. ;)
  • 0

#53 Danteusz Napisany 28 wrzesień 2014 - 21:59

Danteusz

    Alpha Male!

  • Administratorzy
  • 29161 Postów:
Rewelacja. Wolę już Heartbleed, tam przynajmniej problem wynikał z klasycznego buga
  • 0

#54 Ryan Napisany 28 wrzesień 2014 - 22:14

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Wut? W HB przepełnienie bufora było exlpoitowalne tylko dzięki innemu błędowi w obsłudze handshake'u. Tu jest podobnie - pewien ficzer w połączeniu z błędem w parserze (no, błędami, jest ich wiele, tak gdzieś połowa z nich groźna) pozwala na zdalne wykonanie kodu. Konsekwencje są znacznie poważniejsze.
  • 0

#55 Danteusz Napisany 28 wrzesień 2014 - 23:06

Danteusz

    Alpha Male!

  • Administratorzy
  • 29161 Postów:
A czemu konsekwencje są poważniejsze? :)
  • 0

#56 Ryan Napisany 29 wrzesień 2014 - 12:06

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Zdalne wykonanie (SS) vs. kradzież kluczy (HB).
  • 0

#57 Danteusz Napisany 29 wrzesień 2014 - 18:04

Danteusz

    Alpha Male!

  • Administratorzy
  • 29161 Postów:

Po prostu serwer powinien mieć sandbox (choć pewnie to za duża zmiana)


  • 0

#58 Ryan Napisany 29 wrzesień 2014 - 18:40

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
O_o

Jaki sandbox? Czego sandbox? Chcesz stawiać osobno każdą skrzynkę pocztową? Bo taki jest kanoniczny scenariusz: serwer poczty pajpuje maila przez filtry antyspamowe i inne, po czym wrzuca go do Twojej skrzynki.

Twoje magiczne rozwiązanie jest buzzword compliant, ale rozmija się z rzeczywistością.
  • 0

#59 Danteusz Napisany 29 wrzesień 2014 - 18:57

Danteusz

    Alpha Male!

  • Administratorzy
  • 29161 Postów:

Nieważne jak to nazwać, chodzi o niepozwolenie serwerowi na robienie absolutnie wszystkiego z maszyną na której stoi


  • 0

#60 Ryan Napisany 29 wrzesień 2014 - 19:09

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Ponownie: jak?
  • 0