Links for 2011-09-20

Cubee - TARDIS by ~CyberDrone on deviantART

My Custom Cubeecraft / Papercraft Cutout template of the 11th Doctors TARDIS from Doctor Who.

A guide to writing unobtrusive JavaScript and Ajax

Unobtrusive JavaScript is the practice of separating the JavaScript, CSS, and HTML elements in your web applications. By keeping your applications organized in this way, it’s easier to maintain them and to ensure that your applications behave consistently across various platforms and web browsers. In this article, learn how to employ techniques to reap the benefits of developing web applications in an unobtrusive manner.

Oracles Datenbank-Auditing durch Poke deaktiviert - Netzpolitik - derStandard.at › Web

Im Rahmen einer Präsentation (PDF) auf der diesjährigen Hacktivity-Konferenz in Budapest legte der Sicherheitsexperte László Tóth die Auditing-Funktionen von Oracles Datenbank lahm. Dafür nutzte er den Befehl oradebug, der bei jeder Oracle-Installation vorhanden ist, wie heise berichtet. Tóth entwickelte das woraauthbf Tool, das zur Zeit seiner Veröffentlichung am schnellsten Oracle-Passwörter knacken konnte.

Mit Auditing werden Datenbankaktionen protokolliert, um im Falle von Manipulationen diese zurückzuverfolgen. Tóth demonstrierte, wie sich mit dem Befehl Poke, das Auditing für System-Benutzer mit Privilegien wie SYSDBA und SYSOPER deaktivieren lässt. Bedingung ist dabei das für einen Datenbank-Admin leicht zugängliche SYSDBA-Privileg.

„Beinahe nutzlos” seien deshalb Oracle-Produkte wie Audit Vault, die auf den Auditing-Funktionen der Datenbank aufsetzen, wie Oracle-Sicherheitsexperte Alexander Kornbrust warnt.

HTTPS: Verschlüsselte Datenübertragung ist nicht sicher | Digital | ZEIT ONLINE

So speziell das Szenario wirken mag, so zeigt es doch: Mit TLS verschlüsselte, sichere Verbindungen können nachträglich unsicher werden. Duong und Rizzo behaupten zudem, nicht nur Bezahldienste attackieren zu können, sondern auch Instant Messenger und als vergleichsweise sicher geltende VPN-Verbindungen (Virtuelle Private Netzwerke). Diese werden vor allem zur Umgehung von Internetzensur und zur Kommunikation etwa von Außendienstmitarbeitern mit ihren Unternehmen verwendet.

.. ein Gegenmittel gibt es zwar schon, doch ein Henne-Ei-Problem verhindert die Verbreitung: Fast alle Internetseiten, die vermeintlich sichere Verbindungen anbieten, setzen auf TLS in der Version 1.0. Die ist anfällig für Attacken wie die mit BEAST. Die Nachfolgerversionen TLS 1.1 und 1.2 sind immun und existieren bereits seit Jahren. Doch die meisten Website-Betreiber nutzen sie nicht, weil beide Versionen diverse Funktionen ihrer Seiten lahmlegen würden.

Adactio: Journal—I, Interface

1. An interface may not injure a user or, through inaction, allow a user to come to harm. 2. An interface must obey any orders given to it by users, except where such orders would conflict with the First Law. 3. An interface must protect its own existence as long as such protection does not conflict with the First or Second Law.

Tagged as: delicious, links | Author: Martin Leyrer
[Dienstag, 20110920, 04:05 | permanent link | 0 Kommentar(e)