Рубрика «security issue»

Алиэкспресс — одна из самых популярных торговых площадок, открывающая мир китайских товаров для покупателей с любой точки мира. Небольшое отступление про Алипэй для того, чтобы рассмотреть найденную проблему в системе безопасности.

Алипэй (компания Алибабы) является платежным сервисом, который очень популярен в Китае и потихоньку начинает распространяться по всему миру. В Китае Алипэй используется в очень многих местах и сервисах, в остальных странах Алипэй пока что используется только для оплаты покупок на Алиэкспресс (также компания Алибабы). В настоящее время Алипэй позволяет пользователям сохранить кредитную карту, а также, когда вы делаете покупку на Алиэкспрессе, использовать сохраненную кредитную карту для оплаты без фактического ввода её данных.

Теперь, когда мы знаем немного о сервисе Алипэй, мы можем использовать его на Алиэкспресс. При регистрации на Алипэй мы создаем пароль, как в каждом нормальном процессе регистрации. Во время использования услуги для оплаты Алипэй попросит вас ввести пароль для входа в систему, но вот интересная вещь.

Если вы сделали покупку через мобильное приложение Алиэкспресс, когда вы находитесь дома (а большинство покупателей совершают покупки из дома), приложение на смартфоне или планшете отметит вашу домашнюю сеть (WiFi) как безопасную и не будет спрашивать у вас пароль при последующих покупках! Так будет до тех пор, пока вы не сделаете покупку с другой сети.

Представители технической поддержки Алиэкспресс и Алипэй подтвердили это и сказали мне, что это будет сделано в рамках функции «One Click Checkout», чтобы сделать оплату еще проще для пользователей.
Читать полностью »

                                             — У нас дыра в безопасности.
                                             — Ну, хоть что-то у нас в безопасности.
                                                                                  Анекдот

image Если вы Windows-пользователь, то вам должны быть знакомы всплывающие каждый второй вторник месяца окошки, рапортующие об установке «критических обновлений безопасности». Microsoft прилагает немалые усилия, постоянно работая над исправлениями уязвимостей в своих операционных системах, но оно того стоит: в мире, где число кибератак день ото дня только возрастает, ни одна лазейка в обороне наших компьютеров не должна оставаться открытой для потенциальных злоумышленников.

Недавнее обсуждение в списке рассылки, посвящённого 66192-й SVN ревизии ReactOS, показало как это легко — внести в код ядра критическую уязвимость. Я буду использовать этот случай как пример простой, но влияющей на безопасность ошибки, а также для наглядного представления некоторых мер, которым необходимо подвергать код ядра, если вы действительно хотите получить безопасную систему.

Отыщем уязвимость

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js