WWWorld.ru · Темы дня · Разделы дня · Интересы дня · 2012 · Свежие новости

Компания Symantec, выпускающая широкий диапазон средств для защиты информации, предупредила о том, что текстовые файлы-cookie, ранее считавшиеся одними из самых безопасных в сравнении с другими интернет-технологиями, в последнее время все чаще используются против пользователей. itua.info »

Следует заметить, что в последнее время корейская компания довольно часто дает своим новым моделям дополнительные имена: к примеру, полное название модели LG KC910 звучит как KC910 Renuar.
compulenta.ru »

Функционально модель KP501 полностью идентична KP500; различия заключаются лишь в дизайне клавиш на передней панели и цветовых вариантах исполнения. compulenta.ru »

Модель оборудована 2,8-дюймовым сенсорным дисплеем с разрешением 320×240 точек (QVGA), адаптерами Bluetooth 2.0 и Wi-Fi, 2-мегапиксельной камерой с функцией видеозаписи, гнездом для подключения наушников с диаметром 3,5 мм, а также слотом для флеш-карт формата MicroSD.Похожие статьиSamsung E1225: очередной телефон серии Duos LiteSamsung С3530: классический телефон среднего классаСтартуют российские продажи В«спортивногоВ» телефона Puma PhoneLenovo S800: мобильный телефон с цветным прозрачным экраномВ«МегаФонВ» представляет два брендированных телефона compulenta.ru »

PC World - The U.K.'s Information Commissioner has told IT businesses to stop complaining and get on with allowing Internet users to opt out of receiving cookies from corporate websites warning that they cannot rely on browser settings to do the job for them. Yahoo! News: Internet News »

На прошлой неделе прогремела новость об исследовании, утверждающем, что аналитическая компания KissMetrics отслеживала пользователей на сайтах при помощи уникального значения заголовка ETag(спека). KissMetrics отрицали использование ETag и в итоге подали в суд на авторов исследования. Использование ETag (сокрашение от 'element tag', «метка элемента») для отслеживания пользователей известен и используется в партнерских сетях с начала прошлого десятилетия. Так же известно, что и заголовок Last-Modified(spec) теоретически может использоваться для отслеживания пользователей с помощью уникального значения времени обновления. Мне, правда, кажется, что мало кто знает, что заголовок Last-Modified может принимать в качестве значения любую строку, то есть значение не обязательно должно быть правильной датой. Читать дальше → habrahabr.ru »

Социальная сеть Facebook говорит, что "исправила" файлы-идентификаторы (cookie), которые позволяли ей отслеживать пользователей даже после того, как те уходили с сайта Facebook. Несколько дней назад данная особенность была выявлена австралийским блогером, который заявил, что подобную практику слежки Facebook использует уже минимум год. Подобные заявления наделали в западном интернете довольно много шума.
По словам блогера, слежка за пользователями может быть проведена только на тех сторонних сайтах, которые интегрированы с Facebook или имеют скоординированную систему сбора статистики. После данных заявлений австралийский комиссар по вопросам безопасности данных заявил, что начинает расследование дан it.siteua.org »

Я уже писал о том, как с помощью Nginx трансформировать контент на лету. С момента публикации статьи на базе описанного метода запущен и развивается реальный проект ecommerce. Помимо перевода и трансформации также реализован и SEO рерайт по заветам руководства для начинающих от Google. Однако, до полной победы изделия русских программистов над заграничным контентом, не хватало одной небольшой, но очень важной вещи — проксирования Cookies. В чем суть проблемы Проблема заключается в том, что любой нормальный сервер приложений всегда выставляет Cookie, например для того, чтобы сохранять сессию клиента или корзину с его товаром. Если этот сервер (точнее его администратор) озабочен поддержанием определенного уровня безопасности, то он выставляет в теле Cookie домен и путь, например domain= backend.org; path=/path1. Наш Nginx запущенный в режиме Reverse Proxy замечательно меняет все ссылки в теле документов с backend.org на frontend.org, но не делает этого для кук! Это означает что браузер клиента отвергнет такие куки. Этот вопрос с давних пор волнует умы администраторов nginx, в рассылках он всплывает по 1-2 раза в год. Большинство вопрошавших, по-видимому, решили свои проблемы подкручивая логику backendа, но не я! После очередного апдейта оригинального сайта стало понятно, что костыль с PHP + Curl тянуть больше невозможно и надо непременно найти решение с помощью Nginx! Я вернул тему в рассылку, попутно перебирая варианты из ngx_http_perl_module и переменной $upstream_http_set_cookie, даже заглянул в дебри сорсов с призрачной надеждой написать модуль самому. Но все было неудачно пока в один прекрасный момент я не получил письмо от Mikhail Mazursky, который дал ценный совет. Благодаря этому совету я не только с легкостью решил задачу проксирования Cookie, но и получил новый инструмент, с помощью которого можно создать версию 2.0 своего проекта. Решение Название этого инструмента lua-nginx-module, который написан еще одним китайским самородком с корнями из Taobao. Из названия легко понять, что речь об языке скриптов Lua встроенном в Nginx — но это больше чем просто интерпретатор! Эти ребята создали полностью неблокируемую реализацию с производительностью десятки тысяч операций в секунду, которая имеет хуки ко всем событиям внутри Nginx. То что раньше можно было реализовать только написав свой модуль на C, теперь можно сделать несколькими строчками на Lua. Заинтересовались? Тогда добро пожаловать под кат! habrahabr.ru »

Возможно, кто-то из читателей сталкивался с этой проблемой. В багтрекере GAE она уже давно висит в виде незакрытого Issue 3379. Кажется, изначально проблема касалась только Java, но сейчас она наблюдается и в Python (по крайней мере в 2.7). Описание ошибки и решение для Java можно найти, например, там, а в этом топике речь пойдёт про Python. Коротко о сути. Часто сайты пытаются установить более одной cookie за раз. Делают они это путём указания нескольких заголовков Set-Cookie в ответе на запрос. По странному ведёт себя в этом случае urlfetch (и базирующиеся на нём urllib/urllib2): все эти заголовки склеиваются в один и разделяются запятыми. Надо ли напоминать, что запятые также присутствуют в полях expiries, а порой и в самих значениях cookie, что очень затрудняет обратный разбор такой строки. А стандартный HTTPCookieProcessor из urllib2 и mechanize просто не справляется с такой ситуацией. Итак, если ваш проект использует поддержку cookies «из коробки» в urllib2 или mechanize, то вам безусловно подойдёт следующее простое решение. habrahabr.ru »

Тема пришла из далекого детства, когда я только начинал программировать, разбирал особенности PHP. На тот момент меня удивляла такая не справедливость: c сессией можно было работать как с обычным ассоциативным массивом($_SESSION), а для кукисов необходимо было использовать функцию setcookie(). Потом я уже поднабрался опыта и понял зачем это сделано именно так. Время идет и PHP не стоит на месте, в нем появилась такая прекрасная вещь как SPL, одна из возможностей которой — обращение к объекту как к массиву, т.е. реализация ArrayAccess интерфейса. И вот сейчас я вспомнил о своей детской идее, о массиве $_COOKIE, и реализовал ее: <?php /* достаточно этой строчки чтобы создать куку как на стороне сервера так и клиента */ $_COOKIE['lang'] = 'ru';  * This source code was highlighted with Source Code Highlighter. Реализацию можно посмотреть под катом Читать дальше → habrahabr.ru »

В корпорации Microsoft на основании проведенного исследования говорят о возможности проведения хакерских атак нового типа, совершаемых за счет кражи файлов cookie. В Microsoft говорят, что новый тип потенциальной атаки предусматривает возможность кражи так называемых сессионных файлов-cookie, представляющих собой своего рода пользовательские идентификаторы во время работы с тем или иным ограниченным веб-сервисом. В дальнейшем краденные cookie можно использовать для несанкционированного доступа к веб-сервисам.
Используя данные о нескольких сотнях миллионов устройств, подключенных к сервису электронной почты hotmail в августе 2010 года, специалисты выяснили, что некоторый процент подключенных используют сервис для работы с более чем одного устройства, испол it.siteua.org »

Хабы: Информационная безопасность, Nginx После публикации статьи о модуле nginx, предназначенном для борьбы с ботами я получил множество откликов, в которых люди спрашивали о поддержке Flash. Я был уверен, что при должных усилиях желающие могли реализовать эти функции самостоятельно, как сторонние приложения, без изменения кода самого модуля, но никто этого не сделал, поэтому пришлось сделать PoC. Читать дальше → habrahabr.ru »

Хабы: Информационная безопасность Хочу поделиться одной особенностью при установке значений COOKIE, которую очень часто забывают веб-разработчики. В моей практике исследования веб-приложений на уязвимости, за 2009-2011 года, данная ошибка встретилась в 87% веб-приложений, написанных на PHP. Чтобы как-то уменьшить данный показатель, решил написать этот текст. Речь пойдет даже не о httpOnly флаге, хотя его использование не менее важно и обязательно к применению. Читать дальше → habrahabr.ru »