Jednym z powodów wprowadzenia nowych formatów plików w pakiecie Microsoft Office była “zbytnia złożoność” dotychczas używanych formatów binarnych. Zaletą “starych” formatów była niewątpliwie ich szybkość, jednak wraz ze zwiększeniem się wydajności przeciętnych komputerów czynnik ten stawał się coraz mniej istotny. A złożoność? Cóż, obecnadziura w obsłudze “starego” formatu pliku nie jest bynajmniej pierwszym błędem tego typu. Warto jednak wspomnieć o Microsoft Office Isolated Conversion Environment, usłudze służącej do konwersji starych formatów na nowe. Jej główną zaletą jest praca w izolowanym środowisku , więc nawet jeśli błąd w parserach określonych typów plików znajduje się również w MOICE, ewentualne wykonanie kodu nie prowadzi praktycznie do niczego. Przy okazji polecam:
Mamy kryzys, ale ja nie o tym. No, może trochę o tym, trochę o czym innym. To nie jest wpis techniczny, tylko moje marudzenie. Jakby co – ostrzegałem...
Jakieś dwa lata temu dostałem na imieniny książkę Tożsamość , której autorem jest Allan Folsom. Była nawet całkiem niezła, dlatego skusiłem się na Pojutrze. Tu już było gorzej, muszę zgodzić się z opinią, że w jego książkach jest coś z Ludluma, problem w tym, że to nie koniecznie jest komplement. Na Traktat Machiavellego skusiłem się, bo jest to kontynuacja Tożsamości (łączy je bohater, a nie wątki), jestem jednak rozczarowany. W zasadzie mógłbym to określić jako pomieszanie Spisku Akwitanii (Ludlum) z Przymierzem Ognia (Morrell). Są autorzy, którzy potrafią stworzyć wciągającą “alternatywną rzeczywistość” czy “możliwe” teorie spiskowe. Takich czytam z przyjemnością. Są też tacy, u których granice absurdu/nieprawdopodobieństwa (oczywiście w mojej prywatnej skali) zostają przekroczone... Niestety, jak na razie Folsom, w stosunku 2:1, plasuje się w tej drugiej kategorii.
Szczerze mówiąc rozczarowałem się tym groźnym niewykrywalnym wirusem , który kradnie hasła. Rezultaty z CWSandbox, myślałem, że to coś bardziej zmyślnego. Ogólnie – nihil novi sub sole.
...korzystając z Thunderbird i Enigmail używając opcji Send to z Explorera. Sprawa jest prosta – wystarczy wcześniej wysłać załącznik o tej samej nazwie. Thunderbird nie usunie pliku tymczasowego (w katalogu %25tmp%25\moz_mapi), a przy wysyłaniu kolejnego pliku o tej samej nazwie – wykorzysta “stary” plik.
Normalnie Thunderbird usuwa plik załącznika po wysłaniu, ale jeśli jest szyfrowanie, to załącznik jest w zaszyfrowanej postaci zapisywany w pliku o nazwie encfile , który to plik jest usuwany, plik w postaci jawnej pozostaje nietknięty.
Szczególnym przypadkiem tego błędu jest wysłanie w postaci jawnej pliku, który wcześniej został wysłany w postaci zaszyfrowanej, jeśli użytkownik chce wysłać (jawnie) plik o nazwie takiej samej, jak wcześniej wysłany plik zaszyfrowany.
Z komentarzy: Bezpieczeństwo tworzonych aplikacji zawiera się (wg. Ciebie) pod pojęciem 'jakości kodu', czy może stanowi dodatkowy 'ficzer', za który klient powinien płacić?
W trakcie prezentacji na spotkaniu OWASP pojawiło się pytanie o najbardziej efektywne odczytywanie danych z bazy za pomocą techniki blind sql injection. W szczególności pojawiła się sugestia, że szybkie (w szczególności szybsze od bisekcji) może być wykorzystanie zapytania z konstrukcją LIKE. Tak nie jest.