Буквально сегодня наткнулся на очень интересную информацию.

Немецкий федеральный офис информационной безопасности (не уверен, что правильно перевел название) посоветовал людям не использовать Google Chrome для работы в интернет.

Беспокоит их то, что вся информация интернет пользователей теперь оказывается в руках одной компании.

Естественно, речь не идет о блокировке доступа к дистрибутиву браузера и другим сервисам Google. Потребитель сам будет решать, каким браузером ему пользоваться.

В общем, ситуация интересная. С одной стороны, Google создал, наверное, лучший в мире поисковик, кучу бесплатных сервисов. Я сам использую и GMail, и Google Reader.

Но, с другой стороны, возникает вопрос: «Как поведет себя компания, если (когда) станет настоящим монополистом?».

На данный момент часть сервисов (например, Google Reader) вообще не содержат рекламы. В тоже время, очевидно, что затраты на их создание и поддержку очень не маленькие.

Google коммерческая фирма, и ее основная цель – получение прибыли. Зачем ей вкладывать деньги в такие проекты? Может быть они просто хотят сделать интернет лучше… А может просто выдавить конкурентов из этих ниш, а потом – «отбить» свои деньги.

К тому же, я не знаю ни одного случая, когда отсутствие конкуренции шло на пользу потребителю.

Я не собираюсь отговаривать вас от использования этого браузера, в нем реализован ряд очень перспективных технологий. Возможно, я и сам перейду на него, но это произойдет не раньше, чем Google выпустит релиз и закроет уязвимости.

А на данный момент FireFox меня полностью устраивает, и вряд ли в ближайшем будущем Google Chrome сможет сравниться с ним по функциональности. Разве что разработчики Google найдут способ импортировать плагины.

А что вы думаете по поводу монополий?

Безопасность, защита от вирусов, спама – это как игра в кошки-мышки. Кто убегает, кто-то догоняет, кто-то капканы ставит .

Заниматься безопасностью нужно, но, прежде всего, необходимо определить источник угрозы. В этом может сервис BlogSecurity.

Он ищет уязвимости в блогах, работающих на движке WordPress.

Перед проверкой необходимо установить специальный плагин – WP-scanner.

После его активации в админке блога, можно начинать сканирование.

По-моему, это правильный подход. Иначе искать «дыры» в вашем блоге сможет кто угодно.

Конечно, сервис ищет только известные уязвимости, и, скорее всего, не все. Список можно посмотреть на этой странице.

К тому же, плагинов для WordPress написаны тысячи, и создать проблемы может любой из них.

Но, в любом случае, лишней такая проверка не будет.

Что касается этого блога.

Уязвимостей сервис не нашел. Но предложил ограничить доступ к папке wp-content. Как это сделать описано здесь.

Насколько я знаю, тот же результат можно получить с помощью плагина AskApache Password Protect .

Но у этого метода есть недостаток – некоторые плагины могут просто перестать работать.

В общем, в панику впадать не стоит , но периодически искать «дыры» в блоге все-таки стоит.

Удачи!

P.S. Не забудьте деактивировать плагин после проверки. А еще лучше – удалите его вообще с сервера .

Эта заметка – вольный перевод статьи Stefan Esser MySQL and SQL Column Truncation Vulnerabilities.

SQL-инъекции (SQL-injection) на сегодняшний день остаются наиболее обсуждаемыми проблемами безопасности web приложений.

В тоже время, другие уязвимости SQL запросов, например, связанные со слишком длинными входными данными, обычно игнорируются, хотя могут привести ко всем видам проблем безопасности.

Первая уязвимость касается движка MySQL

В MySQL существует параметр, который называется max_packet_size. По-умолчанию ему присвоено значение 1МБ. Он контролирует максимальный размер пакетов, которые передаются между SQL клиентом и сервером. Если запросы или результат их выполнения не укладывается в размер пакета – возникает ошибка. Это означает, что слишком длинные SQL запросы никогда не отправляются серверу и, таким образом, никогда не выполняются.

Это может привести к проблемам безопасности, если хакер может передать большие блоки данных, которые потом используются в SQL запросах.

Например, представьте запросы авторизации, которые объединяют информацию из HTTP заголовков, id сессий и логов. В результате получается большой запрос, который не укладывается в размер пакета.

Еще один пример – очистка таблицы сессий, при которой сначала создается PHP массив из всех сессий, которые соответствуют определенным параметрам, после этого выполняется очистка, а в конце создается один большой запрос на удаление со всеми id выбранных сессий. Очевидно, что такой запрос может стать слишком длинным.

Таким образом, web разработчики должны всегда проверять длину запросов. И тут не играет роли, каким образом выполняется подготовка запроса.

Вторая уязвимость касается длины столбцов.

Если не проверять длину данных, полученных от пользователя, может возникнуть уязвимость, связанная с отбрасыванием части данных при вставке в таблицу (в оригинале – SQL Column Truncation Vulnerabilities).

По-умолчанию MySQL обрезает строки, длина которых превышает максимальную длину столбца и при этом отправляет только предупреждение (warning). Обычно web приложение эти предупреждения не видит и, соответственно, не обрабатывает их.

В MySQL можно активировать режим sql_mode STRICT_ALL_TABLES чтобы превратить эти предупреждения в ошибки (errors). Но большинство web приложений работают на серверах, запущенных в обычном режиме.

Таким образом, необходима проверка длины данных, полученных от пользователя.

Например, представьте такую ситуацию.

1) web приложение представляет собой форум;

2) имя администратора известно, например, «admin»;

3) MySQL работает в обычном режиме;

4) в приложении отсутствует ограничение на длину имени пользователя;

5) длина поля в базе данных равна 16-ти символам.

Хакер может попытаться зарегистрироваться под именем «admin » (с пробелом в конце), но это ему не удастся, если выполняется проверка на существование такого имени.

Дело в том, что MySQL не сравнивает данные в двоичном режиме. По-умолчанию используется более гибкая система проверок. При которой пробелы в конце строк отбрасываются. Это означает, что строки «admin» «admin » равны.

Т.е. запрос

SELECT * FROM user WHERE username='admin '

вернет данные реального администратора и в регистрации с таким именем будет отказано.

Но что произойдет, если хакер использует имя «admin           х» (одиннадцать пробелов после слова admin и в конце буква «х»)? Такое имя найдено не будет, потому что невозможно найти пользователя с именем из 17 символов, если поле базы данных имеет ограничение в 16 символов.

Т.е. приложение добавит пользователя с таким именем в базу. Но при этом имя будет обрезано до ширины столбца. Т.е. MySQL отбросит последнюю букву «х» и имя превратится в «admin           » (одиннадцать пробелов в конце).

Вот тут и возникает уязвимость. Например, для авторизации пользователя используется следующий код.

$userdata = null;
if (isPasswordCorrect($username, $password)) {
   $userdata = getUserDataByLogin($username);
   ...
}

Если функция isPasswordCorrect использует запрос вида:

SELECT username FROM users WHERE username = ? AND passhash = ?

то хакер легко пройдет проверку, т.к. он знает пароль, с которым регистрировался.

После этого выполняется функция getUserDataByLogin, которая обычно содержит запрос вроде

SELECT * FROM users WHERE username = ?

Но у нас два имени «admin», которые MySQL считает одинаковыми. Значит в результате выполнения предыдущего запроса, мы получим две записи. И при этом запись настоящего администратора будет первой, т.к. она находится в начале таблицы.

Дальше, думаю, понятно. Если разработчик твердо уверен, что он может получить только одну запись, то он сразу возьмет нулевой элемент в массиве результатов предыдущего запроса. И таким образом хакер получит права администратора.

Заключение.

Обойти эти проблемы не сложно. Достаточно просто проверять длину запросов и длину данных, полученных от пользователя.

А что вы думаете об этих проблемах?

Иногда возникает необходимость срочно поработать на компьютере вне дома. В такой ситуации можно зайти в компьютерный клуб или обратиться к друзьям, знакомым. Но при этом сразу же возникает вопрос: «Как обеспечить хотя бы маломальский уровень анонимности?»

Вы ведь не знаете, как настроен браузер на чужом компьютере. Вполне возможно, что он сохраняет историю всех ваших посещений заодно с введенными паролями.

Конечно, всю эту информацию можно удалить… Но вы же не у себя дома!

Самый простой выход из этой ситуации – не использовать установленный на компьютере софт. Многие современные программы имеют так называемые портируемые (portable) версии, которые можно запустить без установки. Т.е. вы просто записываете их на флешку и запускаете с нее. При этом программы не оставляют следов на винчестере чужого компьютера.

Узнать существует ли портируемая версия нужной вам программы не сложно. Открываем любимый поисковик и пишем: название_программы portable.

Кроме того, существуют готовые наборы таких программ. Например, PortableApps.com Suite.

Он включает:
Mozilla Firefox, Portable Edition (браузер)
Mozilla Thunderbird, Portable Edition (почтовый клиент)
Mozilla Sunbird, Portable Edition (планировщик)
ClamWin Portable (антивирус)
Pidgin Portable (мессенджер, поддерживает больше десятка протоколов в т.ч. ICQ)
Sumatra PDF Portable (чтение PDF файлов)
KeePass Password Safe Portable (очень удобная программа для хранения паролей, сам пользуюсь )
Sudoku Portable (игрушка)
Mines-Perfect Portable (игрушка)
CoolPlayer+ Portable (аудио-плеер)
OpenOffice.org Portable (офисный пакет) или AbiWord Portable (текстовый редактор)

Как видите список довольно внушительный. Этих программ вполне достаточно для работы в интернет.

Но это только основной набор. Всего доступно более 50 портируемых программ, начиная от текстовых редакторов и архиваторов и заканчивая программами для обработки музыки и видео. Полный список можно посмотреть здесь.

Но вернемся к безопасности. Очень важно понимать, что просто запуск программы с флешки не защитит вас от злоумышленников. Если на компьютере, за которым вы работаете, установлены программы вроде кейлоггеров (записывают все нажатия на клавиши) или он просто заражен вирусами, то можете считать уровень безопасности нулевым.

Кстати, по поводу вирусов. Кроме ClamWin можно использовать утилиту CureIt, которая также не требует установки. Не забывайте – эти программы не являются антивирусными мониторами. Т.е. для проверки файла вы должны вручную запустить сканирование.

И последний совет. Не работайте с платежными системами на чужих компьютерах.

Будьте внимательны и проблем станет меньше

Удачи!

Веб сервер Apache имеет несколько директив (находятся в файле httpd.conf), которые определяют, что будет показано, когда посетитель заходит в какую-то папку.

Прежде всего, это
DirectoryIndex

Она определяет, какой файл будет отправлен посетителю, если он не указал его имя явно. В параметрах этой директивы перечисляются имена файлов. Например:

DirectoryIndex index.php index.html index.htm

Приоритет имеет тот файл, который идет первым в списке. Т.е. если папка содержит index.php и index.html, то посетителю будет отправлен index.php.

Теперь небольшой пример. Допустим, сайт имеет такую структуру.

/
index.html
page1.html
page2.html
css/
    styles.css

По адресу http://sitename/ вы увидите страницу index.html.
Но если зайти в папку css (http://sitename/css), то картинка будет примерно такая

Список файлов на сервере

Т.е. сервер покажет вам список файлов в этой папке. Не думаю, что кому-то понравится такое поведение сервера.

Исправить ситуацию можно с помощью директивы:

Options -Indexes

Примечание: символ «-» перед словом Indexes означает, что индексирование содержимого папок запрещено.

Теперь если вы попытаетесь зайти в папку css, то увидите сообщение:

Forbidden
You don't have permission to access /css/ on this server. (у вас нет прав для доступа к /css/ на этом сервере).

При этом доступ к файлу styles.css (http://sitename/css/styles.css) сохраняется.

Если вы не можете конфигурировать Apache (например, сайт находится на shared хостинге), то создайте в корне сайта файл .htaccess с этой директивой.

В этом случае индексирование будет запрещено не только для корневой папки, но и для всех вложенных папок (если, конечно, они не содержат своих файлов .htaccess).

Правда, этот метод может не работать. Дело в том, что обработка файлов .htaccess может быть запрещена директивой AllowOverride none (в файле httpd.conf).

В этом случае вам нужен либо доступ к httpd.conf, либо придется в каждой папке размещать файлы index.html с каким-нибудь текстом (что-то вроде Access forbidden). Кстати, разработчики фреймворка CodeIgniter именно так и поступают (в каждой вложенной в system папке находится index.html).

Примечание. Для того чтобы вступили в силу изменения в httpd.conf нужно перезапустить сервер. Изменения в .htaccess начнут работать сразу после сохранения файла.

Спонсор статьи:
Записки webмастера. Читать всем!

Написать этот пост меня подтолкнула статья Коперника «Слимонили кошелек WebMoney». Количество электронных денег в рунете постоянно увеличивается, а значит, растут и потенциальные доходы хакеров и вирмейкеров.

В этой статье я хочу поделиться своим опытом борьбы с вирусами и дать несколько советов (надеюсь, они кому-то помогут ).

И, прежде всего, хочу описать ситуацию, которая знакома многим пользователям ПК.

У вас установлен новый антивирус, ежедневно обновляются базы, все подозрительные файлы сразу же удаляются. В общем, вы считаете себя крутым хакером или, как минимум, продвинутым пользователем .

И вот, в один прекрасный день, вы приходите к другу и чтобы показать новые фотки, подключаете свою флешку к его компьютеру. Но вместо фоток его антивирус начинает вам рассказывать, сколько вирусов он нашел на вашей флешке.

Дальше следует стандартный диалог.
- Какой антивир ты юзаеш?
- (название).
- Что?!!! Это ж полный отстой!

Ясно, что в этой ситуации все аргументы на стороне вашего друга и бесполезно объяснять, что вы выбрали антивирус на основе сотни рекомендаций на форумах и результатах десятка независимых тестов
Вы идете домой и меняете антивирус (возможно параллельно переустанавливаете Windows).

Но через некоторое время ситуация повторяется. У вас новый антивирус и новые вирусы!

Дело в том, что ни один антивирус не обеспечивает 100% защиты. Поверьте. Это действительно так. Я использовал Антивирус Касперского, Nod32, Avast, Symantec AntiVirus, AVG, Dr.Web и всегда какой-нибудь вирус да просачивался.

Конечно, вы можете сказать, что по данным такого-то исследования антивирус А устраняет 99% угроз, а антивирус В – 98%. Значит антивирус А лучше.

Но проблема в том, что на практике от этих исследований толку ноль.

Вам будет более чем достаточно одного вируса.

Думаете, Коперника сильно обрадовало, что его антивирус может обнаружить несколько сот тысяч других вирусов?

Ладно, что-то я затянул вступление.

Переходим к практике.

Существует распространенное мнение, что использовать одновременно два антивируса нельзя. На самом деле это не совсем так. Не получится запустить одновременно два антивирусных монитора. А вот использовать антивирусный сканер при запущенном мониторе другого антивируса можно.

Т.е. вы как обычно устанавливаете антивирус (Nod32, Avast, Symantec, …. выберите тот, который больше нравится). И дополнительно скачиваете отдельную утилиту для поиска вирусов.

Я пользуюсь двумя.

1) CureIt (разработка Dr.Web). Представляет собой один исполняемый файл, в который включены и антивирусный сканер и базы. Пользоваться предельно просто. Запускаете и сканируете.

Примечание. Ссылку я дал на ftp архив, потому что они иногда изменяют имя файла на (данный момент launch.exe), поэтому лучше всего ориентироваться на дату последнего изменения (качайте самый новый файл).

2) ClamWin Portable. Эта утилита имеет инсталлятор, но весь процесс установки сводится к распаковке архива. Поэтому от вас требуется только указать название папки. После установки программа предложит загрузить новые базы.

Обе утилиты позволяют проверять как память, так и винчестер.

Теперь все, что от вас требуется – это периодически их запускать и обновлять. И, конечно, нужно следить за обновлениями основного антивируса.

Главный минус такого подхода – утилиты обновлять приходится вручную. Но попробуйте выработать привычку проверять все, что вам приносят на флешках (или вы скачиваете по сети) с помощью этих утилит (в принципе достаточно одной из них). Монитор основного антивируса автоматически проверит эти же файлы.

За последние полгода я с помощью CureIt’а нашел два вируса, которые пропустили Nod32, Avast и Symantec.

Следующий уровень защиты – Firewall.

В состав Windows XP (Vista) входит стандартный Firewall. Особых претензий у меня к нему нет… в основном потому, что я им не пользуюсь .

Причин две:
1) он установлен у большинства пользователей, а значит, основные усилия хакеров будут направлены на поиск уязвимостей именно в нем;
2) существуют бесплатные альтернативы, которыми просто удобнее пользоваться.

Я лично использую ZoneAlarm.

Пользоваться им очень просто. Программа висит в трее, а когда кто-то пытается получить доступ к сети, появляется окошко с названием программы и двумя кнопками: «Allow» (разрешить) «Deny» (запретить).

Кстати, если вы раньше не пользовались firewall’ом, то вас может сильно удивить количество софта, которое хочет отправить о вас информацию .

Следующий совет – отключите автозапуск USB устройств и компакт дисков.

Для этого нужно открыть редактор реестра, найти раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\CDRom
В нем найти параметр Autorun и присвоить ему значение 0.
Это для сидирома. Для флешки раздел называется HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\USBSTOR.
Если параметра Autorun нет, то его нужно создать.
Изменения в реестре начнут действовать после перезагрузки компьютера.

Не хотите возиться с реестром? Используйте утилиту Tweak UI. После установки выбираем пункт My computer -> AutoPlay -> Types и снимаем обе галочки («Enable Autoplay for CD and DVD drives» и «Enable Autoplay for removable drives») и жмем Apply.

Что это дает? В последние время было несколько вирусов, которые использовали файл autorun.inf. Т.е. вирус начинает работать сразу после подключения устройства, до того как вы запустите утилиту для ручной проверки. Монитор основного антивируса, конечно, проверку выполнит. Но у меня была ситуация когда такой проверки оказалось недостаточно.

Anti-Spyware

В принципе, многие антивирусные пакеты (например, тот же Kaspersky Internet Security) включают модули для поиска шпионских программ.

Из standalone решений я использовал Ad-Aware и Spybot – Search & Destroy.

Анализ их эффективности я не проводил. Но обе сразу после установки находили какую-то заразу.

Двигаемся дальше – защита паролей.

Здесь есть одно правило. Чем выше уровень безопасности, тем не удобнее работать.

Т.е. если вы сохраняете пароли в браузере – ждите проблем. Хакеры прекрасно знают где именно хранятся эти пароли и как их получить.

Запомнить все, конечно, не реально. Поэтому как компромиссный вариант я использую программу KeePass Password Safe. Программа не требует установки, пароли хранятся в зашифрованном виде (для расшифровки нужно ввести мастер-пароль, который лучше всего запомнить).

В общем, удобная программка, главное не забывать делать резервные копии файла Database.kdb.

Кстати, о резервных копиях

Повторять банальные вещи о том, зачем их нужно делать я не буду. Если вам интересно, узнайте в каком-нибудь сервисном центре сколько стоит восстановить данные с неработающего винчестера и сравните с ценой внешнего жесткого диска. Кстати, успешное восстановление вам никто не гарантирует.

Как часто бекапить решайте сами. Ориентироваться нужно на периодичность обновления ваших данных. А резервные копии хранить на отдельных носителях (CD/DVD диск, внешний винчестер, другой компьютер и т.д.).

А теперь – самый главный компонент. Собственная голова .

Причинами очень многих вирусных эпидемий стали не «продвинутые» хакерские технологии, а бездумные действия пользователей.

Если вы верите, что какой-нибудь африканский принц хочет перевести с вашей помощью 100 млн.$ и отстегнуть вам процентов десять, или адрес вашей электронной почты выиграл пару «лимонов» в какой-нибудь лотерее, или в то, что, отправив на чьи-то WM кошельки пару баксов, вы получите в 100 раз больше… можете смело удалять все антивирусы. Они впустую потребляют оперативную память и грузят процессор.

И, в заключение, еще пару советов.

1) Выработайте привычку подозрительно относиться ко всем просьбам передать конфиденциальную информацию. Ни одна служба не будет просить отправить им email’ом пароль к вашему аккаунту.

2) Не записывайте пароли на мониторе – от этого портится пластик .

Надеюсь, мои советы вам помогут.
До встречи!

Если у вас возникли вопросы, вы смело можете задать их в комментариях.

Спонсор статьи:
В выходные интернет замолчал!!! Почему? Читай на Блоге КОДера