Категория Архивы: Английский

Insecure Updates in Joomla Earlier Than 3.6

По | Октября 9, 2017

In early April I reported safety issues with the replace course of to the safety contact of Joomla. Whereas the problem has been fastened in Joomla 3.6, the communication course of was removed from ideal. The subject itself is fairly easy: Up till lately Joomla fetched details about its updates over unencrypted and unauthenticated HTTP… Подробнее »

ТЛС Перехват думал опасных – Видео И Слайды

По | Октября 9, 2017

На новейших коммуникационных лагерь Хаоса я провел чат с изложением вопросов с TLS перехват или человек-в-середине прокси. Это было первоначально мотивировано появление superfish и моего собственного расследования по Privdog, однако я обнаружил, до сих месяц, что это может быть куда больший недостаток. Я был ошеломлен... Подробнее »

Zero Days And Cargo Cult Science

По | Октября 9, 2017

I’ve complained prior to now concerning the lack of rigorous science in giant elements of IT security. Nevertheless there is not any lack of stories and publications that declare to offer information about this space. Recently RAND Company, a US-based assume tank, printed a report about zero day vulnerabilities. Many individuals praised it, an article… Подробнее »

Суперфиш 2.0: Вредные сертификаты на ноутбуки Dell ломает зашифрованные https-соединения

По | Октября 5, 2017

ТЛ;доктор ноутбуков Dell поставляются с предустановленной с корневыми сертификатами и соответствующий личный ключ. Что полностью ставит под угрозу безопасность зашифрованного соединения https. Я поставил онлайн Регистрация, пострадавшие пользователи должны удалить сертификат. Похоже, что Dell не обнаружил кое-что из Суперфиш-скандал в начале этого год: Ноутбуки от корпоративного включают предустановленную... Подробнее »

Маленький пудель ушел в GnuTLS (старые версии)

По | Октября 5, 2017

ТЛ;доктор старше вариации GnuTLS (2.х) не изучены основные байт обивка в режимах ПГС. Множество безопасных дистрибутивов Linux, вместе с убунту ЛТС и Debian wheezy и (старый стабильный) использовать эту модель. Настоящее GnuTLS вариации, как правило, не влияет. Несколько дней в прошлом по электронной почте на ssllabs список рассылки, поймал мое внимание.... Подробнее »

Недостатком Сшивание ocsp и должны Штапель и почему отзыва сертификатов продолжает нарушаться

По | Октября 5, 2017

Сегодня из серверов ocsp позволяет шифровать были оффлайн на некоторое время. Это повлекло за гораздо больше хлопот, чем оно должно быть, как итог в принципе у нас есть все прикладные науки там, чтобы бороться с таких инцидентов. Тем не менее в результате сбоев в том, как они проводят они... Подробнее »

Что приобретенные нами в формате SHA1 Устаревания бардак?

По | Октября 5, 2017

Важное замечание: После того, как я открыл текстовое содержание Адам Лэнгли отметил, что основное предположение неверно: Андроид 2.2 на самом деле не имеет проблем с sha256-подписанные сертификаты. Я проверил это сам и в эмулируемой андроид 2.2 экземпляр я использовал, чтобы быть в состоянии присоединиться к веб-сайт с sha256 и сертификатов. Я... Подробнее »

Safer Use Of C CodeWorking Gentoo with Tackle Sanitizer

По | Октября 5, 2017

Обновление: After I wrote this weblog put up it was an open query for me whether or not utilizing Tackle Sanitizer in manufacturing is a good suggestion. A current analysis posted on the oss-security mailing list explains intimately why utilizing Asan in its present type is nearly actually not a good suggestion. Having any suid… Подробнее »

Don’t Depart Coredumps on Internet Servers

По | Октября 5, 2017

Coredumps are a characteristic of Linux and different Unix methods to research crashing software program. If a software program crashes, for instance on account of an invalid reminiscence entry, the working system can save the present content material of the application’s reminiscence to a file. By default it’s merely known as core. While that is… Подробнее »

Pwncloud Dangerous Crypto Within the Owncloud Encryption Module

По | Октября 5, 2017

The Owncloud net utility has an encryption module. I first turned conscious of it when a press launch was printed promoting this encryption module containing this: Imagine you’re an IT group utilizing business normal AES 256 encryption keys. Shall we say that a vulnerability is discovered within the algorithm, and also you now want to… Подробнее »