Kilka dni temu wykryty został błąd w procesie weryfikacji podpisu przez GnuPG, a nawet nie tyle w procesie jego weryfikacji, co prezentacji jego wyników. W efekcie prowadzi to, że do podpisanej wiadomości można (poza objętą podpisem częścią) dopisać fragment dodatkowego tekstu. W części programów pocztowych korzystających z GnuPG, jak również w przypadku weryfikacji takiej wiadomości z linii poleceń, sposób prezentacji wyników tego procesu może zasugerować, że dodatkowa treść jest również objęta podpisem. Informacja na ten temat pojawiła się na SecurityStandard.pl, a następnie została "przedrukowana" przez iHack.pl, ale z dodatkami: Błąd ten może zagrozić poufności danych.. No i tutaj nie sposób postawić pytania - JAK?
Ciąg dalszy "Nowa definicja "Poufności Danych"" »Friday, March 9. 2007
Wednesday, March 7. 2007
Zarządzanie Tożsamością
Gdzieś przeczytałem, że systemy zarządzania tożsamością mają być „na topie” w 2007 roku. Postanowiłem podzielić się kilkoma myślami odnośnie tych systemów, ponieważ wdrożenie takowego mam już prawie za sobą. Nie napiszę gdzie ten system był/jest wdrażany, jaki system został wybrany, kto go implementował. Będzie to kilka (może sporo) myśli odnośnie tego czego się nauczyłem i co obecnie zrobiłbym inaczej...
Ciąg dalszy "Zarządzanie Tożsamością" »Monday, March 5. 2007
Wiosna idzie...
Coraz cieplej jest... W ramach sprawdzenia swojej formy po zimowym leniuchowaniu (totalnym, w tym przybraniu na wadze około 10 kilogramów) poszedłem sobie pobiegać. I muszę przyznać, że jestem z siebie zadowolony. Jeśli po takim totalnym lenistwie jestem w stanie przebiec 2 kilometry w czasie poniżej 10 minut tempem, które określę jako spacerowe i to bez zadyszki, to chyba nie jest ze mną tak źle :) W sobotę odczyściłem rolki, muszę tylko teraz nabyć nowe kółeczka. Planuję też nabyć kije do nordic walking, przy czym oczywiście nie zamierzam chodzić, lecz jeździć z nimi na rolkach. Mam ambicję przekroczyć w ten sposób 40 kilometrów na godzinę na rolkach. Oczywiście rower też oddaję najpierw do myjni, a później do serwisu...
Ciąg dalszy "Wiosna idzie..." »Thursday, March 1. 2007
O rozumieniu... w czym rzecz
Dzisiaj napotkałem groźnie brzmiące informacje: (...) Błąd w Viście dotyczy składnika, który niewłaściwie identyfikuje prawa użytkownika. W wyniku tego atakujący może skraść z komputera dane osobiste. Okazuje się, że luka dotyczy nie tylko Visty, lecz również Windows XP, 2000 i Server 2003. (...)
EDIT: Źródło cytowanej wiadomości.
No straszne... Tylko teraz tradycyjnie należy udać się do źródła, a tam: Any unprivileged user with LIST access to parent directory can monitor any files in child directories regardless of files permissions. Because by default Windows updates access time of any accessed files on NTFS volumes, it makes it possible for user to gather information about NTFS-protected files, their names and time of access to the files (reading, writing, creation, deletion, renaming, etc). Filenames may contain sensitive information or leak information about user's behavior (e.g. cookies files).
Jeśli do tego doda się dokumentację do funkcji ReadDirectoryChangesW, a w szczególności informację o FILE_NOTIFY_INFORMATION, to chyba oczywiste się staje, że problem rzeczywiście jest interesujący, ale stwierdzenie o tym, że atakujący może skraść z komputera dane osobiste jest, wcale nie tak trochę, naciągane...
Ciąg dalszy "O rozumieniu... w czym rzecz" »