re: Biztonsagi hirek a nagyvilagbol
Ugyanaz a fickó, aki pár éve az első md5 collision scriptet publikálta, leszerződött a googlehez és ugyanezt megcsinálta sha1-gyel is! (Illetve nem nyilvános, de egy fontos mérföldkő a kriptográfiában és ütőkártya a Google kezében)
https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
re: Biztonsagi hirek a nagyvilagbol
Mint kiderült, a cloudflare egy hiba miatt kódolatlan memóriatartalmakat küldött vissza bizonyos hibás http kérésekre:
https://bugs.chromium.org/p/project-...detail?id=1139
És ezek a válaszok mindenféle crawler cache-ekben eltárolódtak. Ami tömören azt jelenti, hogy bármely cloudflare-t használó szolgáltatásból potenciálisan kikerülhettek jelszavak és egyéb infók. Olyanok is, amik amúgy SSL kapcsolaton mentek.
Mivel elég sok nagy oldal használ cloudflare-t, ezért érdekes lesz figyelni, hogy ennek milyen kihatása lesz. Illetve ha használsz ilyen nagy oldalt, akkor a saját jelszó is lehet, hogy érintett. Password managerek is érintettek, amik a felhőben tárolják a jelszavakat.
re: Biztonsagi hirek a nagyvilagbol
Hozzáteszem, hogy a mainstream media továbbra is csak jelszavakban tud gondolkodni, ugyanúgy érintettek az oauth tokenek is, úgyhogy érdemes lehet az oauth sessionöket is resetelni. Bár hogy őszinte legyek, két eset lehet: vagy ez egy brand new dolog, a project zero-nál jöttek rá először a problémára, vagy pedig már valaki korábban ki is használta a sebezhetőséget. Utóbbi esetben nyilván bepróbálták a tokeneket más oldalon, és rég beléptek oda, ahova akartak.
re: Biztonsagi hirek a nagyvilagbol
re: Biztonsagi hirek a nagyvilagbol
A microsoftnal a malware vedelem eleg komoly serulekenyseget hordozott :)
Javasolt frissiteni: https://technet.microsoft.com/en-us/...curity/4022344
re: Biztonsagi hirek a nagyvilagbol
re: Biztonsagi hirek a nagyvilagbol
Ezen ma akadt meg a szemem es mivel sokan hasznaljatok a divi-t, hasznos lehet: https://www.wordfence.com/blog/2020/...-divi-builder/
re: Biztonsagi hirek a nagyvilagbol
Idézet:
Geri eredeti hozzászólása
Elvileg a használóknak küldött is a DIVI értesítést, e-mailben. Én is kaptam, mert voltam olyan naív, hogy sok ember dícséretére megvettem a full licence-t, hogy kipróbáljam, de egy h@nyad3k volt az egész :D Össze lett dobva vele 4 honlap, így kb. olyan, mintha vettem volna 4 sablon, de azóta kösz nem kérek belőle :D
Üdv.