Ah Microsoft Vah Microsoft...

0
elrond
elrond
5 Kasım 2001 , 1 dakika okuma süresi
Bildiğimiz gibi Passport.com Microsoft`un .Net vizyonunun en önemli mihenk taşlarından biri. Passport servislerinin en güzel kullanım yerlerinden biri de e-Wallet. Evet! Bildiniz! Passport Authentication`da tespit edilen bir güvenlik açığı nedeniyle servis geçici olarak hizmet dışı. (Ne yalan söyleyeyim ben bile bu servisi güvenip te kullanmamıştım)
Microsoft sözcüsü müşterilerinin güvenliği için servisi durdurduklarını açıklamış.

Açığı yakalayın Seattle`dan Marc Slemko adlı bir Open-Source software engineer arkadaş. (Bu da çok garip değil mi?) Mark abimiz "Keşfettiğim açık çok çok basit ve tedavisi kolay ancak, Passport gibi complex bir servise fix apply etmek biraz kasabilir" buyurmuş.

Exploit, uygulamalar arası mevcut bir "cross-scripting vulnerabilities " (Türkçesini yazabilecek varsa beri gelsin ;-)' i kullanıyor. Web Servisi (Mesela Ebay) ve Mail Servisi (Hotmail) birbirleri arasında data trasfer ederken pek özenli davranmıyormuş meğer.

Kullanıcı Hotmail`e Sign-In olduktan 15 dakika sonra diğer Passport servislerine de (Wallet, Passport, My MSN, MSDN vs..) cookieler ile otamatik sign-in oluyor. Saldırı yapacak arkadaş bu 15 dakika içinde bu cookie`den faydalanabiliyor. Marc abiye olayı anlaması için 30 dakikalık bir brainstorm yetmiş ;-)

Microsoft .Net ürün müdürü Adam Sohn "Herhangi bir kullancımızın kişisel datalarının ele geçtiğine dair bir delil yok" demiş. Aynen sigara üreticilerin bir zamanlar "Sigaranın ölüme yol açtığına dair kesin delil yok" demeleri gibi değil mi...

Sevgiyle kalın.

Şuraya bakın isterseniz.
Micros~1
Linkedin Facebook Twitter Google plus

Görüşler

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Microsoft, SCO´dan UNIX Kodunun Lisansını Alıyor!
eepp
19 Mayıs 2003, 1 dakika okuma süresi

Microsoft, SCO grubu ile, UNIX işletim sisteminin kodlarına erişim hakkı için lisans anlaşması imzalıyor. Windows-Linux savaşlarına da ciddi bir etkisi olacağı düşünülen gelişme sanılanın aksine Microsoft'a UNIX patentinin sahipliğini sağlamıyor. Microsoft yetkilileri, girişimin platformlar arası bütünleşmenin daha iyi olabilmesi için yapıldığını belirtiyorlar. Daha ayrıntılı bilgi için:news.com.com/2100-1016_3-1007528.html

Microsoft´tan Java´ya karşı yeni ataklar
elrond
10 Ekim 2001, 1 dakika okuma süresi

Microsoft bu hafta yeni bir araç ile Java Developerları .Net platformuna davet ediyor. Microsoft J++'ın yeni sürümü Visual J#.Net.(Tam anlamıyla bir yükseltme sürümü kabul edemeyiz aslında) J# altında yazılan programlar tahmin edebileceğiniz(!) gibi, bildiğimiz Java VM'ler ile çalışmıyor. J#'ın amacı yeni kod bilgisi gerekmeden bildiğiniz Java kodları ile .Net platformunda çalışacak uygulamalar geliştirmek. Eskiden geliştirdiğiniz Java uygulamaları var ise bunları J# ta derleyip .Net` e taşımak mümkün olacak.

Değiştirilmeden hemen bakın
cayfer
21 Kasım 2002, 1 dakika okuma süresi

Yılın olayı! MDAC (Microsoft Data Access Components) da yeni bir güvenlik gediği bulunmuş. Buraya kadar normal. Ne de olsa yazılımdır, hataları olabilir. Esas Microsoft'un çözüm önerisi ilginç!

What steps could I follow to prevent the control from being silently re-introduced onto my system?

The simplest way is to make sure you have no trusted publishers, including Microsoft. If you do that, any attempt by either a web page or an HTML mail to download an ActiveX control will generate a warning message.

Microsoft'un affına sığınarak web sayfalarından yukardakı paragrafı aynen aldım; yalnızca bir bölümünü kırmızıya boyadım. Umarım EULA'yı delmemişimdir :)

Windowsda sağ kalmak için gerekli yazılımlar.
oktay
21 Mayıs 2003, 4 dakika okuma süresi

İstesek de istemesek de bazen kendimizi bir Windows makinenin başında iş yapmaya çalışırken bulabiliyoruz.

Bu gibi zamanlarda gerek Linux'den aşına olduğumuz uygulamalar gerekse Windows'a özgü fakat kaliteli uygulamalar imdadımıza yetişir.

Ben de diğer arkadaşlara yardımcı olması bakımından kendi bildiğim bir kaç uygulamayı kısa açıklamalarıyla birlikte paylaşmak istedim.

Zorunlu Windows günlerinizin kısa sürmesi dileği ile.

SUS Raporu (devam)
cayfer
21 Ekim 2003, 4 dakika okuma süresi

Murat09 ve FM editörleri kızacak gene "yetti senin SUS'un. Sus artık" diye ama ben gene de deneyeyim. :)

Pztesi sabahı işe gittim ki SUS tüm MS yamalarını indirmeyi bitirmiş. Yamalar SUS üzerinden sunulmak üzere onay bekliyor. Aman ne güzel... Kayda değer ilk ilerleme kaydedildi. (Hatırlatma: Win2K server'ın yamalarını MS destek sitesinden yapmam üç gün sürmüştü. Aslında bu benim ilgisizliğimdendi. Makinenin başında beklemediğim için garibim çok kereler uzun saatlerce lisans anlaşmasını kabul etmemi beklemişti. Eğer makinenin başında bekleseydim 2 günde falan biterdi.)