iPhone kamerasında güvenlik açığı!

Sanıyorum hepimiz CAPTCHA denen şeyi ve ne kadar sinir bozucu olduğunu biliriz. OCR sistemlerinin tanıyamaması için iyice bozulan bu yazılar aynı zamanda bizim gözlerimizi de olağan dışı şekillere sokarlar. Ne varki bir yandan da spam-bot olarak anılan ve başta forumlar olmak üzere birçok yerde otomatize edilmiş halde reklam yayınlayan yazılımlardan korunmak için de en başarılı yol CAPTCHA kullanmak. Yani, en azından şu ana kadar öyleydi...

PHP 5.2 ile beraber PHP'de setcookie() fonksiyonuna 7.parametre olarak httponly desteği gelmiş.

Httponly çerezlere Javascript ile ulaşılamadığı için xss ataklarının en tehlikelisi olan cookie çalma olayı ortadan kalkıyor.

Şu an tek sorun her tarayıcı tarafından desteklenmemesi, ama yakında bir çok tarayıcı yeni sürümünde bu standartlara uyacaktır tahminimce.IE 7 ile en güvenli şekilde bu özelliği destekliyor, fakat mozilla şaşırtıcı bir şekilde desteklemiyor.

Gmail'in "kişisellik"i ihlal etmesi, sınırsız disk alanı gibi özelliklerinden daha fazla tartışılmıştı. Ama tartışmalar bir süre sonra yerini tam bir sessizliğe bıraktı. Ama SecurityFocus'taki yazıdan sonra bu tartışmaların kolay kolay bitmeyeceği anlaşılıyor.

Google, mail mesajı-reklam ilişkisinde kişisel hakların gözardı edildiği, gizlilik ilkesinin yok sayıldığı eleştirilerine, "Mesajları insanlar değil, bilgisayarlar tarayacak" cevabını veriyordu. SecurityFocus'ta yazan Mark Rasch ise yazısında, "bir insan ya da insanlar tarafından yazılmış bir program; ikisi de aynı şey" diyor. Yazar, ayrıca bu tarz tarama sistemlerinin yeni bir Echelon işlevi taşıyabileceğini belirtiyor. Ve Google'ın bu politikasının ABD yasalarına da ters düştüğünü belirtiyor.

Hacking Social Lives: MySpace.com, Tactical Exploitation, Convert Debugging, The Executable Image Exploit, Internet Wars 2007, Virtual World, Real Hacking, Webserver Botnets, How to be a WiFi Ninja ve Real-time Steganography with RTP gibi başlıklarla hazırlanmış DefCon videolarını Google Video üzerinden izleyebilirsiniz.

Not: Haber verdiği için LispNYC'den Marc Spitzer'a teşekkürler.

SecurityFocus sitesinde Michal Zalewski tarafından gerçekleştirilmiş bir tarayıcı testi var. Ben de bu testin çevirisini (özetle) burada sunuyor ve yorumlarınızı merakla bekliyorum :)

Çok kullanılan web tarayıcılarının potansiyel saldırılara ve DoS ataklarına ne kadar dayanabildiklerini ölçmek istedim. Bu amaçla kullanışlı bir araç hazırladım.