Pracownicy firmy Google przedstawili wyniki interesujących badań na temat dobrych praktyk bezpieczeństwa online. Porównano metody ochronne używane i zalecane przez ekspertów z tymi rekomendowanymi przez zwykłych użytkowników Internetu. Warto zastanowić się chwilę nad różnicami w wynikach obu grup.
Czytaj dalej »
Google Safe Browsing to usługa ostrzegająca internautów przed niebezpiecznymi zasobami światowej pajęczyny. Gigant z Mountain View co jakiś czas rozszerza zakres ochrony dostępnej w popularnych przeglądarkach — tym razem deklarując zajęcie się problemem stron internetowych zamieszczających niebezpieczne reklamy.
Czytaj dalej »
Internetowa poczta ma wiele zalet. Niestety zdarza się, że przez pośpiech lub nieuwagę wyślemy nieodpowiednią wiadomość do nieodpowiedniej osoby…
Czytaj dalej »
Opis aplikacji utworzonej przez Google – Safen Me Up, która prezentuje nowe, ciekawe podejście do ochrony przed skutkami ataków XSS.
Czytaj dalej »
Ostatnio pisaliśmy o unieważnieniu certyfikatów SSL firmy MCS Holding. Przypominam – chodziło o podstawianie certyfikatów, aby podszyć się pod domeny Google (bez komunikatów o błędach w przeglądarce). Teraz Google idzie dalej i usunie w Chrome certyfikat root CA organizacji CNNIC – ze zbioru certyfikatów zaufanych (organizacja ta wydała “feralny” certyfikat…
Czytaj dalej »
Google security blog informuje o wykryciu podrobionych (ale akceptowanych przez przeglądarki jako zaufane) certyfikatów dla kilku domen będących w posiadaniu Google. Certyfikaty zostały wystawione przez pośrednie CA (intermediate CA) – firmy MCS Holding, która otrzymała swój certyfikat od root CA chińskiej organizacji CNNIC. Root CA CNNIC jest w domyślnym cert…
Czytaj dalej »
Opis kolejnego XSS-a znalezionego w domenie www.google.com. Tym razem reflected XSS, który da się wykorzystać wyłącznie w Internet Explorerze.
Czytaj dalej »
Toshiba pokazała pierwsze modułowe kamery do smartfonów Googlowego projektu Ara. W założeniach, Ara ma stworzyć możliwość własnej konstrukcji smartfona, którego składamy właśnie z tego typu wymiennych komponentów.
Czytaj dalej »
Opis błędu XSS w domenie www.google.com. Historia omijania kolejnych przeszkód, by napisać kod wykorzystujący podatność, nie wymagający interakcji użytkownika.
Czytaj dalej »
Michał Bentkowski, który od czasu do czasu pisuje na sekuraku (a przy okazji na stałe pracuje jako pentester w Securitum) otrzymał niedawno potwierdzenie od Google’a, że znalazł się wśród “Top 10 bug reporters 2014”. Gratulacje!
Czytaj dalej »
Od kilku godzin świat obiega informacja o szczegółach nowego ataku na protokół SSLv3, którego ochrzczono akronimem “POODLE“. Bezpieczeństwo transmisji danych w 2014 roku po raz kolejny dostało siarczysty policzek.
Czytaj dalej »
Poszukiwanie XSS-ów w ciasteczkach http jest równie uzasadnione, jak w parametrach GET czy POST. Na takie podatności szczególnie narażone są firmy, które korzystają z wielu subdomen do hostowania swoich stron, wówczas XSS z jednej domeny może być eskalowany do innej (potencjalnie o wyższej istotności). Takie poszukiwania to także świetna okazja do rozwinięcia swoich umiejętności.
Czytaj dalej »
Na blogu jednego z bug hunterów pojawił się bardzo ciekawy wpis o błędzie znalezionym w Google w październiku zeszłego roku. Czy błąd w usłudze DNS może doprowadzić do XSS-a? Okazuje się, że tak.
Czytaj dalej »
O tym dość niebezpiecznym fakcie informował niedawno na twitterze serwis BGPMon. Na szczęście akcją objęte były jedynie sieci w Brazylii oraz Wenezueli a całość przejęcia trwała 22 minuty – zważając jednak na popularność publicznej usługi DNS oferowanej przez Google (150 miliardów zapytań dziennie) historia wygląda dość poważnie. PS Nie akceptujecie…
Czytaj dalej »
Praktycznie wszystkie powszechnie używane dziś frameworki są zabezpieczone przed atakiem HTTP Response Splitting. “Prawie” robi czasem dużą różnicę – w tekście pokażemy realny przykład podatności HTTP Response Splitting w google.com
Czytaj dalej »
