Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Russian Security Newsline

  Все выпуски  

BugTraq: Russian Security Newsline 25.07.2011


BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: Russian Security Newsline
BuqTraq: Бред сивой кобылы
BugTraq: Закон есть закон
Новости из мира распределенных систем

Russian Security Newsline 25.07.2011

Яндекс продолжает искать все
dl // 25.07.11 22:10
Не успели улечься страсти с Мегафоном, как Яндекс преподнес еще один подарок пользователям и сайтовладельцам. На этот раз, судя по всему, под раздачу попали сайты магазинов, использующие движок Shop-Script, в функциях которого предусмотрен просмотр данных заказа по специальной ссылке без авторизации.

Яндекс, конечно, может и дальше рассказывать про robots.txt, но на сей раз утекла значительно более серьезная информация - от имен и координат получателей до состава заказов, в том числе достаточно специфичных.
Источник: Roem.ru, Lenta.Ru
обсудить


ВКонтакте vs Mail.ru - бревна в глазах
dl // 23.07.11 13:42
Гендиректор ВКонтакте Павел Дуров в своем комментарии на Roem.ru к вопросу о причинах блокирования ссылок на files.mail.ru заявил буквально следующее: "ВКонтакте блокирует files.mail.ru, потому что это безвкусный склад вирусов и вареза, собственно, как и остальные сервисы mail.ru".

Эта новость довольно забавно сочетается с известием о блокировке пару дней назад очередного вконтактного виджета за распространение вирусов с помощью вставки ссылки на Java-загрузчик, причем неделей раньше это же произошло с его аналогом. История мутная, авторы обоих виджетов оправдываются тем, что их взломали и всячески кивают в сторону конкурентов, однако эти разборки в песочнице не столь интересны, как продемонстрированная на их примере легкость подсовывания зловредов толпам пользователей.

Другими словами, даже прошедшее модерацию приложение (хотя чего порой стоит такая модерация, хорошо видно на примере андроидного Маркета) запросто может быть в дальнейшем использовано для атаки на пользователей даже в случае кристальной честности его авторов. Поскольку размещается каждое приложение на стороннем сервере, их взлом становится весьма перспективным вектором атаки, особенно для популярных приложений.

Если все так и пойдет дальше, ВКонтакте придется предпринять ну очень большие усилия, чтоб не превратиться окончательно в склад вирусов почище files.mail.ru. А уж вкусный, безвкусный - дело десятое.
Источник: Roem.ru, Хабрахабр
обсудить


Мегафон переводит стрелки на Яндекс
dl // 20.07.11 01:40
В один и тот же день Мегафон в своем пресс-релизе, посвященном недавней утечке, рассказал, что причиной утечки было то, "что не было введено специальное защитное ограничение для сервисов Яндекса, скачивающих информацию в свою поисковую базу", а устами зама гендиректора поведал, что заветный robots.txt на серверах все-таки был (хотя Яндекс и настаивает на обратном). При этом озабоченно добавляется, что "действующее законодательство не дает поисковым системам право собирать, хранить и распространять подобную информацию без предварительного письменного согласия пользователей".

Заранее извиняюсь за разжевывание перед теми читателями, для которых ситуация очевидна, но все-таки хочется расставить точки над i. Для случившейся утечки необходимо было сочетание четырех факторов:

1. Вывод подтверждений о доставке sms вместе с их полным текстом на страницы с уникальными адресами, которые существовали в течение некоторого времени. Понятно, что сделано это было ради упрощения реализации: в обработчике формы генерируем случайный id, отправляем асинхронный запрос на отправку sms, редиректим пользователя на url, включающий этот id, - на случай, если сообщение ушло не сразу, и чтоб пользователь мог его рефрешнуть. Нет никаких проблем реализовать тот же функционал, повесив все подтверждения на один и тот же адрес и дать обновлять их хоть через аякс, хоть через кнопку из формы с POST для любителей чистого CGI. Собственно говоря, даже показ всего текста сообщения тут был избыточным. Чистый минус в копилку Мегафона.

2. Открытый доступ к этим страницам. Тут тоже понятно - решили, что случайного 16-символьного id в сочетании с кратким временем жизни страницы будет достаточно для защиты от посторонних. Запароливание потребовало бы предварительной регистрации. Не будь следующего пункта, могло бы и пронести. Но все же еще один минус Мегафону.

3. Передача адресов "секретных" страниц поисковику. Сам по себе поисковик на висящую в пустоте страницу попасть не может, она каким-то образом должна попасть в очередь на обработку индексирующего робота - либо через ссылку, либо вручную. Тут есть две версии - утечка адресов либо через Яндекс.Бар, который стоял у всех пользователей, отправлявших эти sms, либо через установленную на сайте Мегафона Яндекс.Метрику. Тут с полной уверенностью могут что-то сказать разве что специалисты Яндекса либо Мегафона, но лично мне больше нравится версия с Метрикой. Она, по крайней мере, хорошо объясняет, почему такой массовой утечки не было в других поисковиках. Яндекс ссылается на то, что были тексты и в Google с Bing'ом, но там явно не было таких масштабов (и там как раз могли отработать тулбары). Так что еще один минус, но условный.

4. Отсутствие robots.txt, позволяющего запретить доступ поисковиков к публичным страницам. И вот только четвертым пунктом добрались до того, что М и Я называют едва ли не главной причиной утечки. Ребята, ну это ведь вопрос исключительно доброй воли поисковика, сам по себе robots.txt никак нельзя считать чем-то, относящимся к защите информации, ну публичные это страницы, доступные всем желающим. Поставили бы сдуру на эту страницу какой-нибудь внешний счетчик или баннер, и все точно так же утекло бы к сервисам, которые вообще про эти robots.txt не в курсе. Ну и в оправдания "а файл все-таки был" не особо верится - насколько я помню вчерашние обсуждения, появился он днем, когда все, что могло, уже утекло. О чем косвенно свидетельствует Last-Modified: Mon, 18 Jul 2011 09:55:10 GMT у http://sendsms.megafon.ru/robots.txt.

Итого, с технической точки зрения на утечку мы имеем 2 стопроцентных косяка со стороны Мегафона, один условный и еще один весьма вероятный. Со стороны Яндекса же наблюдается честное исполнение своей работы по индексированию информации, находящейся в публичном доступе.

Ну а наезды типа "а ч они заиндексировали смски без письменного согласия пользователей", простите, смотрятся рефлекторной безнадежной попыткой сохранить остатки лица, особенно забавной в сочетании с текстом из того же пресс-релиза, где говорится про отсутствие персональных данных в опубликованной информации. А с чего бы действующему законодательству требовать письменного согласия (и у кого?) на публикацию информации, не содержащей персональных данных, у меня как-то не складывается.
Источник: РБК
обсудить


Яндекс сделал вид, что устранил утечку мегафонных SMS
dl // 18.07.11 16:32
Яндекс частично блокировал поисковый запрос, позволявший просматривать тексты SMS, отправленных с мегафоновского сайта. Однако достаточно добавить в текст запроса любое слово, которое заведомо может встретиться в сообщении - например, код (927) или даже просто цифру 7 - и вся простыня выведется как ни в чем не бывало.

Update: молодцы, починили еще быстрее. Впрочем, если что-то утекло, то это уже безвозвратно - по сети уже ходит куча ссылок на архивы с вытянутыми сообщениями. Плюс нашлись и другие пациенты. А ведь уже восемь лет назад эта тема казалась такой старой и всем известной.

Update 2: любопытно, но добавление простой буквы "а" еще дает просмотреть несколько страниц сообщений, плюс срабатывают и другие модификации запросов. Заглушка на заглушке. Видимо, до полного обновления базы все таким дырявым и останется (ну хоть ссылки на кэш уже 404 отдают).

обсудить




Также в выпуске:
Утечка мегафонных SMS // 18.07.11 14:10

Другие обновления на сайте:

BugTraq - обозрение #304 // 25.07.11 17:34
- ВКонтакте vs Mail.ru - бревна в глазах;
- Linux 3.0;
- Мегафон переводит стрелки на Яндекс;



Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Space dot com [8.94] 16.04.06 05:26
Dont feed forum trolls. Форумные тролли паразиты Сети. [8.92] 28.03.07 00:34

Самые популярные темы форума за последнюю неделю:


[site updates]
Сравнение безопасности Linux и Windows [4011]
[gadgets]
Есть ли возможность качать фото со спутника напрямую? [143]
[site updates]
Яндекс сделал вид, что устранил утечку мегафонных SMS [128]
[site updates]
Мегафон переводит стрелки на Яндекс [85]
[operating systems]
[WinXP] Проблема 2000 года в 2011 году. Есть повод завестись ("пятничная" тема). [58]

Самые обсуждаемые темы форума за последнюю неделю:


[site updates]
Сравнение безопасности Linux и Windows
[miscellaneous]
HandleX - С ДР, коллега!
[operating systems]
[WinXP] Проблема 2000 года в 2011 году. Есть повод завестись ("пятничная" тема).
[site updates]
Мегафон переводит стрелки на Яндекс
[gadgets]
Есть ли возможность качать фото со спутника напрямую?



Ведущий рассылки:
Дмитрий Леонов, http://leonov.livejournal.com/


В избранное