Co Oracle może powiedzieć o SSL

Tyle - http://download.oracle.com/javase/6/docs/technotes/guides/security/jsse/JSSERefGuide.html

Czy wtyczka do Javy jest taka ważna?

Mozilla proponuje zablokowanie uruchamiania apletów w javie poprzez  wyłączenie wtyczki java-plugin w swej przeglądarce Firefox (wersja 7 ma ją domyślnie wyłączoną, w starszych wersjach trzeba ja ręcznie wyłączyć). Po co ona była. Wtyczka ta jest analogiem technologii Active X firmy Microsoft zaimplementowanej w IE i pozwala na ściągnięcie z zaufanej witryny na komputer klient poprzez przeglądarkę internetową kodu wykonywalnego, który się uruchamia w środowisku lokalnym stacji roboczej klienta z prawami tego użytkownika. Zabezpieczeniem miało być podpisanie kodu zaufanym certyfikatem oraz przestrzeganie zasady pochodzenia kodu z tej samej domeny/witryny (same origin policy). W przypadku ataków hackerów jest możliwe obejście tych zabezpieczeń (najczęściej socjologicznymi trikami). Wtyczka do Javy od dawna udostępnia atakującym wiele okazji do wykorzystania tej metody do wstrzykiwania oprogramowania złośliwego do komputera użytkownika. Wyłączenie je powoduje utratę funkcjonalności wielu witryn.

Jaka z tego nauka? Zrezygnować z uruchamiania kodu ściąganego z internetu.

Inne ciekawostki

1. Filtrowanie danych w JS po stronie klienta - http://blog.joshsoftware.com/2011/09/28/filter-js-client-side-search-filtering-using-json-and-jquery/
2. Jakie aplikacje ściągnąć sobie na Androida? – takie
3. WCF - http://msdn.microsoft.com/en-gb/library/ms732362.aspx

Dalszy przebieg wydarzeń z SSL-em

Na stronach the register pojawiła się wzmianka, że Firefox planuje blokowanie pluginów w Javie (popularnych appletów). Stało się to po tym jak badacze Thai Duong i Juliano Rizzo pokazali jak przy pomocy tej techniki obeszli wymóg SOP (same origin policy) – elementu koniecznego w procesie przeprowadzeniu ataku na SSL. Dlatego planuje się zablokowanie tego frameworku w Firefox tym bardziej, że FF i Chrome nie wspierają TSL 1.1 i wyżej (chyba tylko Opera i IE mają wbudowaną obsługę tego nowego protokołu, ale to nie zawsze pomaga, gdyż w momencie negocjacji połączenia klient - serwer, ten ostatni może wymusić obniżenie bezpieczeństwa poprzez zejście z sugerowanego przez klienta protokołu TSL 1.1 na TLS 1.0).

Konsekwencje blokady są straszne – java plugin to taka wersja ActiveX, która umożliwia “przemycanie” do komputera rozmaitych kodów wykonywalnych pochodzących z zewnątrz (np. z internetu), dzieje się to z obejściem wszelkich zabezpieczeń – sprawdza się tylko czy kod  apletu jest podpisany. Z tego mechanizmu korzysta wielu dostawców oprogramowania np. CISCO “wstrzykuje” na komputer klienta swego AnyConnecta, Facebook umożliwia usługę chat-u itd. Zablokowanie tego może pogorszyć tzw. user expirience ale niestety implementacja SSL w javie stanęła ma 1.0 - http://download.oracle.com/javase/6/docs/technotes/guides/security/jsse/JSSERefGuide.html. Obecnie w blogu Mozilla Security piszę się aby jako obejście wprost zablokować wtyczkę do Javy w zarządcy wtyczek FF. Nawiasem mówiąc Chrome blokuje uruchamianie wtyczek w Javie. Dalej na stronach Chrome “Chrome and the BEAST” pisze się, że serwery Google od dawna stosują RC4.

Inna strona o tym - http://www.h-online.com/open/news/item/Mozilla-considers-disabling-Java-in-Firefox-1351590.html

Do rozgryzienia

1. Kim był ten tajemniczy Tesla - http://webhosting.pl/Nikola.Tesla.wielki.czlowiek.o.ktorym.znowu.zrobilo.sie.glosno
2. Jak powstał JS (na pewno nie po pijaku) - http://webhosting.pl/JavaScriptu.nie.poczeto.po.pijaku.to.od.poczatku.bylo.chciane.i.planowane.dziecko
3. Nareszcie są w sieci materiały na temat zwojów z Qumran - http://webhosting.pl/Zwoje.znad.Morza.Martwego.dostepne.w.wersji.cyfrowej.na.nowej.interaktywnej.stronie.internetowej.stworzonej.przez.Muzeum.Izraela.i.Google
4. NASA ma nową rakietę - http://www.theregister.co.uk/2011/09/15/nasa_sls/
5. Bardzo ważny link – materiały do WCF - http://msdn.microsoft.com/en-gb/library/ms733103.aspx
6. Ważne aplikacje do wykorzystania w Androidzie - http://www.networkworld.com/slideshows/2011/092711-android-apps.html?source=NWWNLE_nlt_convergence_voip_2011-09-28
7. Problem z UEFI polega na tym, że MS wymaga od OEM sprzętu certyfikowanego (dedykowanego) pod Windows 7 a to z kolei wymaga od OEM sprawdzania czy kod ładujący się do komputera jest bezpieczny, czyli podpisany. Kapitalny pokaz na temat znaczenia nowego BIOS-u: ochrona prze wirusami oraz przyspieszenie ładowania systemu i gotowości do pracy.
8. Wiele instalacji Linuksa na jednym krążku – NetbootCD 4.x. Tu do ściągnięcia - http://netbootcd.tuxfamily.org/

Różności o bezpieczeństwie

Z ITWorld – dlaczego strona MySQL została zainfekowana tak, że wysyłała złośliwe oprogramowanie do przeglądarek? Dlatego, że intruz wstrzyknął kod JS, który wykorzystał słabości zainstalowanych u klienta pakietów użytkowych (Adobe Reader, Flash i Java) – “Security vendor Armorize noticed the problem at around 5 a.m. Pacific Time Monday. Hackers had installed JavaScript code that threw a variety of known browser attacks at visitors to the site, so those with out-of-date browsers or unpatched versions of Adobe Flash, Reader or Java on their Windows PCs could have been quietly infected with malicious software.” – przez to zaraził komputery klientów. Potwierdza to fakt, że coraz więcej ataków wykorzystuje źle zaktualizowane programu użytkowe na stacji klienta. PSI firmy Secunia potrafi na bieżąco śledzić stan i wersje takiego oprogramowania – ten monitor jest bezpłatny.

Na temat nowego ataku SSL - http://windowssecrets.com/links/y6pkszr6i9uqd/e0c916h/?url=technet.microsoft.com%2Fen-us%2Fsecurity%2Fadvisory%2F2588513. Atak polega na przechwyceniu ciasteczek sesji w trakcie sesji HTTPS i odszyfrowaniu ich i co za tym idzie ukraść sesję. Atak się udaje w przypadku użycia protokołu TLS 1.0 i wykorzystaniu w nim kodowania CBC. Obejście polega na stosowaniu kodowania RC4 lub przejścia na protokół TLS 1.1 lub wyższy (ale nie wszystkie serwery internetowe go wspierają). W polityce grupowej można nadać RC4 wyższy priorytet - TLS_RSA_WITH_RC4_128_SHA.

Uwaga wg. NetworkWorld: ratunkiem przed potencjalnym atakiem jest ustawienie kolejności (priorytetu) w jakiej UZGADNIANE są algorytmy szyfrowania podczas sesji HTTPS (w czasie negocjacji specyfiki protokołu wymiany między klientem a serwerem). Podatność na atak (znana od 2004 i od 2006 organizacja IETF polecała mocniejszy protokół TLS 1.1, ale uważano, że nie da się jej wykorzystać) polega słabości algorytmu BLOKOWEGO CBC a nie strumieniowego.

Ciekawe we środę

Zagadnienia z .NET:

1. http://visualstudiomagazine.com/articles/2011/07/01/pcovb_biztype.aspx
2. http://visualstudiomagazine.com/articles/2011/09/01/pcnet_dynamicload-runtime.aspx
3. http://visualstudiomagazine.com/articles/2011/08/10/insider-design-patterns.aspx
4. http://visualstudiomagazine.com/Articles/List/Practical-ASPNET.aspx
5. MSDN - http://msdn.microsoft.com/en-us/magazine/hh416747.aspx

Wirusy są zagrożeniem, ale większym jest atak poprzez niezaktualizowane aplikacje - http://www.theregister.co.uk/2011/09/28/window_malware_infection_exposed/

Orzeł wystartował! Przepraszam to Dreamliner - http://news.cnet.com/8301-13772_3-20111742-52/boeing-finally-delivers-first-787-dreamliner/?part=rss&subj=news&tag=2547-1_3-0-20&tag=nl.e703

Kurs HTML (jeszcze jeden)!: http://msdn.microsoft.com/pl-pl/library/kurs-html-css.aspx

PKI - http://www.net-security.org/secworld.php?id=11671

Coś dla ducha:

1. http://www.yourhealthyhomebiz.com/better-than-your-morning-coffee-how-to-get-your-morning-started-right-for-success
2. http://www.bnet.com/blog/time-management/can-you-learn-willpower/641?promo=713&tag=nl.e713

Ciekawostki w ostatnią niedzielę września

Owocem współpracy MS i Nitobi jest wyspecjalizowana wersja Phone Gap dla WP7. Firma Nitobi prowadzi specjalny blog na temat telefonów mobilnych i tworzeniu dla nich aplikacji. Nitobi daje wiele innych narzędzi oprócz Phone Gap, są także faremworki JS-owe. Do tego dochodzą frameworki w JS np: jQ Mobile, jQ Toucj, Jo, Sencha Touch, XUI, Sproutcore – słowem do wyboru do koloru. Obserwuj co się dzieje na portalu eAndroidowo oraz obserwuj SL4 na google code – tam są implementacje natywnych aplikacji w środowiskach języków dynamicznych (PHP,Python). Może też KendoUI na bazie jQuery ma coś do zaoferowania.

Kolejny kurs JS - http://windowshosting.pl/Kurs.JavaScriptu..Podstawy.programowania.na.potrzeby.stron.WWW

Ostatnio Panda Cloud osiągnęła niezłe wyniki w skanowaniu – webhosting. Do ochrony przed starymi wersjami oprogramowania można wykorzystać PSI firmy Secunia.

Obserwować inne twitter-y: blip/flaker

Ukryte koszty jakie ponoszą klienci Google Apps for Enterprise – infografika

Do tworzenia PDF w środowisku PHP zaleca się http://www.fpdf.org/ chociaż najlepsze jest PDFlib. Na tej stronie są także odwołania do portów tej biblioteki na inne paltformy językowe np. COM, ASP, Java czy Python. Oczywiście najważniejsza strona dla deweloperów to portal ADOBE. Narzędzia PDF-owe w postaci biblioteki xpdf - http://www.foolabs.com/xpdf/download.html. Ogólne sprawy pdf-owe są na poratlu pdfzone (np. ciekawy link: http://www.pdfzone.com/c/a/Authoring/Creating-a-Basic-PDF-Form/). Inne PDF-owe aplikacje (na foolab):

• PostScript-to-PDF converters:
  • pstoedit converts from PostScript to many formats, including PDF; it also converts PS or PDF to other vector formats.
  • Ghostscript can display PDF files, and also includes a PostScript to PDF converter.
  • PStill is a shareware PostScript-to-PDF converter.
• Other PDF converters/generators:
  • HTMLDOC converts HTML to PDF and PostScript.
  • PDFlib and ClibPDF are C libraries for dynamically generating PDF.
  • txt2pdf and jpg2pdf are shareware converters.
• PDF format info:
  • Adobe created PostScript and PDF.
  • PDF reference manual (from Adobe)
• TeX and PDF:
  • pdftex lets TeX produce PDF output.
• Miscellaneous links:
  • The PDFzone and PlanetPDF have lots of useful info.
  • XSwallow turns X apps, including xpdf, into netscape plugins

Podobno najlepszy program do oglądania PDF (wg. lifehackera) - http://www.tracker-software.com/product/pdf-xchange-viewer

Portal dla .NET-owców - http://dotnetomaniak.pl/Category/Windows/3

Co tam panie na rynku przeglądarek? Dominuje jeszcze IE - http://windowshosting.pl/Miliard.Chinczykow.nie.moze.sie.mylic.w.badaniu.Net.Applications.wygrywa.Internet.Explorer i http://webhosting.pl/Tymczasem.na.rynku.przegladarek.Firefox.traci.coraz.wiecej.udzialu.w.rynku.jakie.sa.tego.powody