Ah Microsoft Vah Microsoft...

0
elrond
Bildiğimiz gibi Passport.com Microsoft`un .Net vizyonunun en önemli mihenk taşlarından biri. Passport servislerinin en güzel kullanım yerlerinden biri de e-Wallet. Evet! Bildiniz! Passport Authentication`da tespit edilen bir güvenlik açığı nedeniyle servis geçici olarak hizmet dışı. (Ne yalan söyleyeyim ben bile bu servisi güvenip te kullanmamıştım)
Microsoft sözcüsü müşterilerinin güvenliği için servisi durdurduklarını açıklamış.

Açığı yakalayın Seattle`dan Marc Slemko adlı bir Open-Source software engineer arkadaş. (Bu da çok garip değil mi?) Mark abimiz "Keşfettiğim açık çok çok basit ve tedavisi kolay ancak, Passport gibi complex bir servise fix apply etmek biraz kasabilir" buyurmuş.

Exploit, uygulamalar arası mevcut bir "cross-scripting vulnerabilities " (Türkçesini yazabilecek varsa beri gelsin ;-)' i kullanıyor. Web Servisi (Mesela Ebay) ve Mail Servisi (Hotmail) birbirleri arasında data trasfer ederken pek özenli davranmıyormuş meğer.

Kullanıcı Hotmail`e Sign-In olduktan 15 dakika sonra diğer Passport servislerine de (Wallet, Passport, My MSN, MSDN vs..) cookieler ile otamatik sign-in oluyor. Saldırı yapacak arkadaş bu 15 dakika içinde bu cookie`den faydalanabiliyor. Marc abiye olayı anlaması için 30 dakikalık bir brainstorm yetmiş ;-)

Microsoft .Net ürün müdürü Adam Sohn "Herhangi bir kullancımızın kişisel datalarının ele geçtiğine dair bir delil yok" demiş. Aynen sigara üreticilerin bir zamanlar "Sigaranın ölüme yol açtığına dair kesin delil yok" demeleri gibi değil mi...

Sevgiyle kalın.

Şuraya bakın isterseniz.

İlgili Yazılar

IE'yi Durdurun

Soulblighter

www.stopie.com, neden Internet Explorer kullanılmaması gerektiği üzerine hazırlanmış bir site. Özellikle Internet Explorer kullanan arkadaşlar bir gözatsınlar :)

Windows`dan Linux`a geçiş

sundance

7'den 70'e ciddi bir Linux hareketi olduğu, birçok kişinin 'Yeter artık Windows' dediği pek gözden kaçmayan bir gerçek halini aldı.

Öte yandan öyle çat diye Windows'dan Linux'a geçmek ise her babayiğidin harcı değil. Ama bu konuda çalışmalar yapanlar var. Mesela IBM bu konuda gerçekten başarılı bir FAQ dosyası oluşturmuş ve güzel bir referans sağlıyor.

Bana sorarsanız yükleyin VectorLinux bir daha da bakmayın Windows'un yüzüne :)

Microsoft´tan Palladium Demosu

tongucyumruk

Microsoft Watch'ta çıkan habere göre Micros~1, mayıs ayında New Orleans'ta yapılacak WinHEC'te Palladium teknolojisinin demosunu yapacak. Palladium hakkındaki son haberlere göre Micros~1 trusted root'un adını "Nexus" olarak belirlemiş durumda. Palladium teknolojisinin Longhorn Server 2005 ile hayata geçirilmesi hedefleniyor.

Not: Nexus ismi size de bilgisayarların insanları yediği filmlerden fırlamış gibi gelmiyor mu?

İlk Windows CE virüsü geliştirildi

anonim

Windows CE işletim sistemindeki güvenlik açıklarını göstermeyi hedefleyen ve herhangi bir zarara yol açmayan bir virüs geçtiğimiz hafta güvenlik şirketleri tarafından tespit edildi.

Micros~1'da Linux?

fsniper

Son XPSP2 konusundaki blogları incelerken karşıma çıkan ilginç linkleri sizlerle paylaşmak istedim. Konu hakkında yorum yapmak istemiyorum. Zaten herşey ortada :)

link 1
link 2
Link 3