Из статьи вы узнаете, какие опасности хранят в себе туториалы и о чем следует помнить используя их.
@nuancesprog #статьи
@nuancesprog #статьи
14-я встреча DEFCON пройдет в МТУСИ 10 февраля в 14:00. Вход бесплатный!
https://goo.gl/1GxkQx
Size: a a a
2018 February 04
2018 February 05
Автор этой короткой статьи рассказывает об использовании нижнего подчеркивания и его особой роли в языке Python.
@nuancesprog #статьи #python
@nuancesprog #статьи #python
Adobe Flash славу получил как плагин небезопасный, густо снабженный уязвимостями и к отключению рекомендуемый. Вот и новая уязвимость в нем найдена - CVE-2018-4878, и хакерами эксплуатируется в wild. Ежели плагином вы пользуетесь, можете просто обновить до версии 28.0.0.137 превышающей, а в случае ином - можно и получше что-то сотворить.
Так как HTML5 потихоньку (или уже и не потихоньку) вытесняет Flash, на мобильных платформах Flash уже и не поддерживается, и вообще, вы мало где можете встретить потребность в нем, самый действенный способ - отключить или удалить его. Если на такое вы пока решиться не готовы, обязательно стоит включить функцию подтверждения запуска содержимого для флеша.
Internet Explorer
Тут у нас флеш установлен по умолчанию.
Чтобы отключить: открываем меню -> "Manage add-ons" -> "All add-ons", находим "Shockwave Flash Object" и жмем "Disable".
Отключаем массово: через групповые политики в User Configuration\Windows Components\Internet Explorer\Security Features\Add-on Management:Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash objects
Включаем запрос о запуске: открываем меню -> "Manage add-ons" -> "All add-ons", находим "Shockwave Flash Object", жмакаем пракой кнопкой и "More information". Там есть поле с перечнем разрешенных сайтов, а под ним кнопка "Remove all sites", жмем ее и готово.
Microsoft Edge
Опять же, флеш добавлен по умолчанию.
Отключить: Settings -> "View advanced settings", найти "Use Adobe Flash Player" и отключить.
Отключить массово: с помощью групповой политики Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft Edge\Allow Adobe Flash
Включаем запрос о запуске: массово с помощью групповой политики Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft Edge\Configure the Adobe Flash Click-to-Run setting или в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Security\:FlashClickToRunMode в значение 1.
Chrome
По умолчанию флеш установлен.
Отключить: открываем chrome://plugins/, находим Adobe Flash Player и кликаем "Отключить".
Включить запрос о запуске: массово с помощью политики Computer Configuration\Administrative Templates\Google\Google Chrome\Content Settings\Default Plugins Setting. Или в Settings -> Show Advanced Settings -> Content settings, находим "Plugins" и выбираем "Let me choose when to run plugin content", а еще под ним проверяем исключения.
Firefox
Флеш не установлен по умолчанию.
Выбрать поведение: Tools -> Addons -> Plugins, находим Flash и выбираем опцию "Ask to activate" или "Never activate".
Так как HTML5 потихоньку (или уже и не потихоньку) вытесняет Flash, на мобильных платформах Flash уже и не поддерживается, и вообще, вы мало где можете встретить потребность в нем, самый действенный способ - отключить или удалить его. Если на такое вы пока решиться не готовы, обязательно стоит включить функцию подтверждения запуска содержимого для флеша.
Internet Explorer
Тут у нас флеш установлен по умолчанию.
Чтобы отключить: открываем меню -> "Manage add-ons" -> "All add-ons", находим "Shockwave Flash Object" и жмем "Disable".
Отключаем массово: через групповые политики в User Configuration\Windows Components\Internet Explorer\Security Features\Add-on Management:Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash objects
Включаем запрос о запуске: открываем меню -> "Manage add-ons" -> "All add-ons", находим "Shockwave Flash Object", жмакаем пракой кнопкой и "More information". Там есть поле с перечнем разрешенных сайтов, а под ним кнопка "Remove all sites", жмем ее и готово.
Microsoft Edge
Опять же, флеш добавлен по умолчанию.
Отключить: Settings -> "View advanced settings", найти "Use Adobe Flash Player" и отключить.
Отключить массово: с помощью групповой политики Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft Edge\Allow Adobe Flash
Включаем запрос о запуске: массово с помощью групповой политики Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft Edge\Configure the Adobe Flash Click-to-Run setting или в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Security\:FlashClickToRunMode в значение 1.
Chrome
По умолчанию флеш установлен.
Отключить: открываем chrome://plugins/, находим Adobe Flash Player и кликаем "Отключить".
Включить запрос о запуске: массово с помощью политики Computer Configuration\Administrative Templates\Google\Google Chrome\Content Settings\Default Plugins Setting. Или в Settings -> Show Advanced Settings -> Content settings, находим "Plugins" и выбираем "Let me choose when to run plugin content", а еще под ним проверяем исключения.
Firefox
Флеш не установлен по умолчанию.
Выбрать поведение: Tools -> Addons -> Plugins, находим Flash и выбираем опцию "Ask to activate" или "Never activate".
Существуют несколько способов заставить React рендерить то, что вам нужно. Вы можете использовать традиционный оператор if или switch. В статье мы рассмотрим этим способам альтернативу. Будьте осторожны: она несет некоторые сюрпризами, с которыми стоит быть поаккуратнее.
@nuancesprog #статьи #javascript #reactjs, #web
@nuancesprog #статьи #javascript #reactjs, #web
http://ssh-tunnel.in/viewtopic.php?f=5&t=32816
Обновлена версия от 03.02.2018 Double SSH Tunnel Manager Commercial (активирована до 30.12.2018) Новая версия 03.02.2018 (активирована до 30.12.2018) + в комлект программы добавился TorIM Chat Собственная разработка TorIM - анонимный мессенджер Полная децентрализация. Шифрование всегда ! Обмен файлами ! Скриншотер! Авторизация! Антиспам! Режим вида для контактов (фильтр отображения активных контактов) История по желанию Отчет доставки сообщений как в ватсапе Доставка оффлайн сообщений Работает только в Windows. Ближайший аналог чата Ricochet Видео глянуть тут https://youtu.be/kKoblrD8n_A
Обновлена версия от 03.02.2018 Double SSH Tunnel Manager Commercial (активирована до 30.12.2018) Новая версия 03.02.2018 (активирована до 30.12.2018) + в комлект программы добавился TorIM Chat Собственная разработка TorIM - анонимный мессенджер Полная децентрализация. Шифрование всегда ! Обмен файлами ! Скриншотер! Авторизация! Антиспам! Режим вида для контактов (фильтр отображения активных контактов) История по желанию Отчет доставки сообщений как в ватсапе Доставка оффлайн сообщений Работает только в Windows. Ближайший аналог чата Ricochet Видео глянуть тут https://youtu.be/kKoblrD8n_A
Привет (особенно читателям из РФ). Правозащитная организация «Агора» выпустила доклад «Свобода интернета 2017: ползучая криминализация», посвященный ограничениям интернета в России.
По подсчетам «Агоры», в 2017 году ежедневно блокировались 244 интернет-страницы, каждые восемь дней за размещенную в интернете информацию суд приговаривал человека к лишению свободы, а каждые шесть дней пользователи подвергались нападению. Все эти цифры увеличились по сравнению с 2016 годом.
Как отмечается в докладе, 2017 год также стал рекордным по числу законодательных инициатив, направленных на усиление контроля над коммуникациями и распространением информации в сети. Авторы исследования также обращают внимание, что функции контроля над интернетом постепенно продолжают переходить от Роскомнадзора к различным силовым ведомствам, прежде всего ФСБ.
В общей сложности, в 2017 году были зафиксированы 115706 отдельных фактов ограничения свободы интернета в России. Подавляющее большинство (более 110 тысяч) из них связано с блокировкой и фильтрацией контента, а также запретом информации по различным основаниям.
Полная версия отчета — по ссылке https://meduza.io/static/0001/Agora_Internet_Freedom_2017_RU.pdf
По подсчетам «Агоры», в 2017 году ежедневно блокировались 244 интернет-страницы, каждые восемь дней за размещенную в интернете информацию суд приговаривал человека к лишению свободы, а каждые шесть дней пользователи подвергались нападению. Все эти цифры увеличились по сравнению с 2016 годом.
Как отмечается в докладе, 2017 год также стал рекордным по числу законодательных инициатив, направленных на усиление контроля над коммуникациями и распространением информации в сети. Авторы исследования также обращают внимание, что функции контроля над интернетом постепенно продолжают переходить от Роскомнадзора к различным силовым ведомствам, прежде всего ФСБ.
В общей сложности, в 2017 году были зафиксированы 115706 отдельных фактов ограничения свободы интернета в России. Подавляющее большинство (более 110 тысяч) из них связано с блокировкой и фильтрацией контента, а также запретом информации по различным основаниям.
Полная версия отчета — по ссылке https://meduza.io/static/0001/Agora_Internet_Freedom_2017_RU.pdf
Вчера в Америке прошел Супербоул, в котором, кстати, победила команда, ни разу до этого в Супербоуле не побеждавшая — Eagles из Филадельфии (ура!). Но надо же и об опасносте! Короче, организаторы Супербоула — NFL — проводили имитацию вирусной атаки (но не компьютерного вируса, а вируса сибирской язывы). Затем министерство национальной безопасности пересматривало результаты этой имитации, и давало свои заключения и рекомендации. Документы имели служебный гриф и относились к важным для национальной безопасности. Так вот, кто-то оставил этот отчет в спинке кресла на самолете, где его и обнаружили журналисты CNN. А вы говорите "хакеры, взломы, вот это все". Достаточно одной бестолковой бестолочи
https://www.cnn.com/2018/02/05/us/dhs-super-bowl-national-security-documents-left-on-plane-invs/index.html
https://www.cnn.com/2018/02/05/us/dhs-super-bowl-national-security-documents-left-on-plane-invs/index.html
[Critical] Cisco Adaptive Security Appliance Remote Code Execution and Denial of Service Vulnerability
UPDATED 2/5/2018: After further investigation, Cisco has identified additional attack vectors and features that are affected by this vulnerability. In addition, it was also found that the original fix was incomplete so new fixed code versions are now available. Please see the Fixed Software section for more information.
+++
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1
UPDATED 2/5/2018: After further investigation, Cisco has identified additional attack vectors and features that are affected by this vulnerability. In addition, it was also found that the original fix was incomplete so new fixed code versions are now available. Please see the Fixed Software section for more information.
+++
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1
вы ведь все помните NotPetya и WannaCry, которые использовали уязвимость EternalBlue, утекшую из закромов NSA. Теперь три новые уязвимости из того же источника — EternalSynergy, EternalRomance и EternalChampion — добавлены в качестве модулей в популярное ПО для поиска уязвимостей и пентестов Metasploit. Эти уязвимости работают немного по-другому, чем EternalBlue, и могут быть эффективными против тех, кто еще не проапдейтился
https://github.com/rapid7/metasploit-framework/pull/9473
https://github.com/rapid7/metasploit-framework/pull/9473
2018 February 06
Власти США отследили российского «короля спама» Петра Левашова благодаря его iCloud
→ goo.gl/c9KVDG
→ goo.gl/c9KVDG
Не могли пройти мимо новой игрушки. Один товарищ написал тулзу, которая используя API поискового движка Shodan ищет доступные IoT устройства, а затем проводит анализ доступных для устройства эксплойтов в Metasploit и ломает девайс (https://xakep.ru/2018/02/01/autosploit/ ). Ещё никогда хакинг не был таким удобным. Некоторые спецы уже осудили автора, который открыл шкатулку пандоры. Они считают, что автор вооружил скрипт-кидди мощным оружием, но сам создатель думает иначе. С его точки зрения эта утилита - всего лишь инструмент, который можно использовать по-разному. Должны ли люди скрывать подобное или потенциально опасные тулзы следует делать общедоступными? Вопрос непростой, как и с распространением огнестрельного оружия. А пока сетевые философы гадают над этической стороной вопроса, мы предлагаем желающим ссылку на репозиторий AutoSploit: https://github.com/NullArray/AutoSploit
Издание Ubergizmo обнаружило один очень интересный патент от Facebook. Согласно ему соцсеть собирается внедрить алгоритм кастомизации пользователей. Поясню, система будет определять ваш социальный статус (доход), анализируя все доступные источники страницы.
На основании этих данных пользователям будет присвоен статус «рабочие», «студенты», «средний», «высший» и т.д по этому принципу. Все это будет сделано для того, чтобы комбайнер из Мухосранска не видел рекламу «Бентли», ну а Виктор Альбертович не испортил себе аппетит видом нагетсов из Макдоналдс. Да и налоговой так попроще будет, если получить доступ к этим данным.
На основании этих данных пользователям будет присвоен статус «рабочие», «студенты», «средний», «высший» и т.д по этому принципу. Все это будет сделано для того, чтобы комбайнер из Мухосранска не видел рекламу «Бентли», ну а Виктор Альбертович не испортил себе аппетит видом нагетсов из Макдоналдс. Да и налоговой так попроще будет, если получить доступ к этим данным.
Mozilla решил дополнительно подсуетиться о приватности пользователей. В 59-м Firefoxе заголовок Referer будет содержать не полный URL страницы, а только имя домена. Это при условиях, что включен private browsing и запрос на сторонний домен.
А что вообще стоит включить в Firefoxe для приватности?
network.http.sendSecureXSiteReferrer=false - можно отключить отправку Referer на HTTPS-сайтах
network.cookie.cookieBehavior=1 - отключает использование сторонних cookie
privacy.trackingprotection.enabled=true, privacy.trackingprotection.pbmode=true - включает защиту от отслеживания, которая реализуется в блокировке контента с определенного списка сайтов, замеченных в слежке за пользователями (формируется by Disconnect и встроен в Firefox)
geo.enabled=false - отключает геолокацию
Все настроечки доступны в about:config. Ну и че? А если 100 браузеров надо настроить?
Фаерфокс умеет считывать настроечки из файла, ага, даже не из реестра =/ Считывает он .js файлы из папки defaults/pref (Win, Linux) или Firefox.app/Contents/Resources/defaults/pref (Mac). Однако тут должна быть только ссылка на файл конфигурации, в общем надо создать .js файл со следующим содержанием:
Ну а теперь в директории, где лежит бинарь Фаерфокса, создаем файл mozilla.cfg уже с интересующими настройками, примерно так:
Тут можно использовать разные уровни применения натроек:
lockPref - юзер не может изменить настройку
pref - настройка считывается при каждом запуске браузера, но юзер может ее перенастроить на время сессии
defaultPref - если юзер задаст новое значение настройки, оно будет использоваться и в новых сессиях
А что вообще стоит включить в Firefoxe для приватности?
network.http.sendSecureXSiteReferrer=false - можно отключить отправку Referer на HTTPS-сайтах
network.cookie.cookieBehavior=1 - отключает использование сторонних cookie
privacy.trackingprotection.enabled=true, privacy.trackingprotection.pbmode=true - включает защиту от отслеживания, которая реализуется в блокировке контента с определенного списка сайтов, замеченных в слежке за пользователями (формируется by Disconnect и встроен в Firefox)
geo.enabled=false - отключает геолокацию
Все настроечки доступны в about:config. Ну и че? А если 100 браузеров надо настроить?
Фаерфокс умеет считывать настроечки из файла, ага, даже не из реестра =/ Считывает он .js файлы из папки defaults/pref (Win, Linux) или Firefox.app/Contents/Resources/defaults/pref (Mac). Однако тут должна быть только ссылка на файл конфигурации, в общем надо создать .js файл со следующим содержанием:
// Any comment. You must start the file with a single-line comment!pref("general.config.filename", "mozilla.cfg");pref("general.config.obscure_value", 0);Ну а теперь в директории, где лежит бинарь Фаерфокса, создаем файл mozilla.cfg уже с интересующими настройками, примерно так:
// Any comment. You must start the file with a comment!lockPref("network.http.sendSecureXSiteReferrer", false);lockPref("network.cookie.cookieBehavior", 1);lockPref("privacy.trackingprotection.enabled ", true);lockPref("privacy.trackingprotection.pbmode", true);lockPref("geo.enabled", false);Тут можно использовать разные уровни применения натроек:
lockPref - юзер не может изменить настройку
pref - настройка считывается при каждом запуске браузера, но юзер может ее перенастроить на время сессии
defaultPref - если юзер задаст новое значение настройки, оно будет использоваться и в новых сессиях
Скрытый майнер для macOS распространился через компрометацию MacUpdate
https://goo.gl/Y4PJ9j
https://goo.gl/Y4PJ9j
DoS-уязвимость в WordPress позволяет «уронить» практически любой сайт, и патча для нее нет
https://goo.gl/RWbhED
https://goo.gl/RWbhED
