Эксперт Джоанна Рутковска, которая стала известна благодаря своим исследованиям в области руткитов и безопасности виртуализованных платформ, выпустила новую операционную систему с открытым исходным кодом, позволяющую изолировать компоненты ОС для обеспечения более высокого уровня защиты.

Эта операционная система, получившая название Qubes, основана на Xen, X и Linux и находится сейчас в стадии альфа-версии. Qubes использует для разделения приложений виртуализацию, кроме того, многие компоненты системного уровня, такие как подсистема хранения данных и сетевая инфраструктура, также работают в виртуализованной среде и не влияют друг на друга.

Пользователю Qubes будет дана возможность выделить для себя несколько безопасных доменов, каждый из которых работает внутри небольшой виртуальной машины. Например, можно создать виртуальные машины для шаблонов "личное", "работа", "шоп ... Читать дальше »

Исследователь Тайлер Регули из nCircle рассказал о новом типе атак с использованием межсайтового скриптинга, который позволяет эксплуатировать распространенные инструменты для администрирования сетей, подвергая риску данные пользователей.

В опубликованной вчера работе Регули назвал эту категорию атак "мета-информационным XSS" (miXSS), сообщив о том, что она работает иначе, чем другие методы XSS и что защититься от нее довольно трудно.

"Подумайте о тех административных утилитах, что используются для отправки запросов заголовков, Whois или принятия записей DNS. Все они получают метаданные, предоставляемые различными сервисами и показывают их внутри сформированного веб-сайта", - пишет автор.

При проведении miXSS входные данные, предоставляемые пользователем, являются действительными и надлежащим образом стерилизованными, что исключает работу с отраженными XSS. Кроме того, данные пользователя не сохраняются, а потому постоянные XSS также не ра ... Читать дальше »