Slo-Tech - O XSS ranljivostih s(m)o na Slo-Techu že pisali. A kljub temu, da gre za tim. ranljivost na strani spletnega odjemalca, so posledice zlorabe lahko precej drastične.

Raziskovalec Billy Hoffman, znan tudi pod imenom Acidus, je namreč januarja lani na konferenci Black Hat Federal 2006 predstavil prispevek z naslovom Analysis of Web Application Worms and Viruses. V prispevku je predstavil možnosti napadov s tim. spletnimi virusi, ki izkoriščajo XSS ranljivosti ter AJAX tehnologijo.

V soboto pa bo imel Hoffman predavanje na to temo tudi na Smoocon konferenci v Washingtonu.

Na konferenci bo predstavil možnosti vzpostavitve prikritih omrežij (tim. botnetov) s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Predstavil bo tudi konkreten primer, aplikacijo Jikto, ki omogoča samodejno vzpostavitev prikritega omrežja.

Orodje Jitko se lahko preko okužene spletne strani namesti na uporabnikov računalnik. Po namestitvi lahko orodje izvaja samodejno skeniranje, oz. iskanje...

Slo-Tech - O XSS (Cross-site Scripting) napadih je bilo že veliko povedanega. Še vedno pa jih ogromno uporabnikov in skrbnikov jemlje kakor nenevarne ali pa jih preprosto ignorira. Tovrstne pomankljivosti omogočajo vstavljanje poljubne skriptne kode, masovno se uporabljajo pri izvajanju phishing napadov, kraji piškotkov in ostalih oblikah spletnih prevar. Spretno izvedeni XSS napadi pa se lahko uporabljajo tudi za manipulacijo z informacijami v obliki vstavljanja neavtoriziranih novic v spletne portale medijskih družb. Tudi slovenski spletni prostor ni imun na tovrstne napade...




Spletne strani v nobenem primeru niso bile razobličene, tudi podatki na strežnikih niso bili kompromitirani ali kako drugače...

Slashdot - Kaže da je teroristov pričelo primanjkovati, zato naslednji veliki bavbav v ZDA postajajo pedofili -- vsaj če bi sklepali po govoru, ki ga je imel predvčerajšnjim generalni tožilec ZDA Alberto v senatnem odboru za bančništvo. Gonzales je namreč kongres pozval k sprejetju zakonodaje, ki bi od ponudnikov dostopa do interneta v ZDA zahtevala hrambo prometnih podatkov. Razlog pa naj bi tokrat ne bil boj proti teroristom, pač pa proti pedofiliji.

Kaj pa ko bo zmanjkalo še "pedofilov"? Takrat morda pridejo na vrsto še pirati...

Slo-Tech - Kreativni ruski računalniško-varnostni raziskovalec Valery Marchuk na svoji spletni strani opozarja javnost na nevarnost spletnih razobličenj v obliki XSS napadov. Spretno formulirana XSS razobličenja so namreč lahko zelo prikrita. S tem prevarajo večino uporabnikov, ki prirejene informacije tako sprejmejo kakor legitimne. Lep primer sta XSS napada na CBS in BBC:
- lažna CBS News stran,
- lažna BBC stran.

Ob času objavljanja novice ranljivosti še nista odpravljeni, sicer pa se zaslonski sliki nahajata tukaj:
- slika lažne CBS News strani,
- slika lažne BBC strani.

Valerij dokazuje, da XSS ranljivosti niso nedolžna varnostna razpoka, ter da pred njimi niso imuni...

CBS News - NASA je v nedeljo na severu Švedske izvedla prvega od več napovedanih spustov ogromnih helijevih balonov, ki so opremljeni s teleskopi za astrofizične eksperimente in raziskave kozmičnega žarčenja.

Prvi polet bo služil kot preizkus trpežnosti balona, ki bo na poti od Esrange do Aljske seboj prenašal še 2.700 kilogramski teleskop, letel bo na višini 40 kilometrov, polet pa naj bi trajal od 6 do 9 dni.



Za trenutno serijo poizkusov (od leta 1974 pa do danes so iz okolice Esrange, 1.200 kilometrov severno od Stockholma, izpustili že okoli 450 znanstvenih balonov) bodo uporabili balon, ki meri 120 metrov v višino, premer znaša 140 metrov, za njegovo napolnitev pa porabijo približno...

CBS News -

Vedno hitreje razvijajoči se računalniki skupaj z internetom in elektronsko pošto prodirajo v vse domove. Proces računalizacije je najintenzivnejši v Ameriki, kjer je prišlo do prvih nesoglasij in težav.

Vse skupaj je namreč prišlo tako daleč, da se učitelji, starši in zgodovinarji močno bojijo za standardni ročni lepopis, saj učenci čez Lužo pričnejo uporabljati tipkovnice že zelo zgodaj. Neka devetletna deklica, naprimer, pravi, da je uporaba računalnika za pripravo vsakovrstnih zapiskov lažja: ni potrebno paziti na pisavo, ob napakah ni brisanja, sam proces pa je hitrejši. Večina se pridružuje temu mnenju, nekateri učitelji pa po mnenju strokovnjakov ravnajo neodgovorno, ko učence za projektne naloge, spisane na računalnik, dodatno nagradijo. In trend se širi.

Stanje je alarmantno, vedno manj ameriških otrok je zmožnih čitljivo pisati pisane črke, posebni kurzivni lepopis pa obvlada manjšina. K sreči obstajajo tudi posamezniki, tako učitelji kot učenci, ki jim je stilni lepopis v...