В Америке легализовали джейлбрейкинг и взлом DVD; LiveJournal заблокировал аутентификацию по OpenID для переименованных аккаунтов; Миллионы домашних роутеров оказались уязвимыми; Пробуем социализироваться; Adobe добавит песочницу в Reader;

#291, 26.07.2010

В Америке легализовали джейлбрейкинг и взлом DVD
dl // 26.07.10 21:40
На самом деле изменения гораздо более впечатляющие, а то, что в новости упор делается на взлом айфона - ну в самом деле, что может быть важнее айфона.

Реально же случилось следующее. Каждые три года Библиотека Конгресса рассматривает и одобряет исключения из федерального закона, запрещающего обход технических средств защиты от неавторизованного использования - чтобы обеспечить возможность определенного легального использования материалов, защищенных копирайтом.

Помимо столь важного для всех джейлбрейкинга (в данном контексте - снятия блокировок, препятствующих свободной установке программ) анонсированный в понедельник набор исключений разрешает:
- владельцам мобильных телефонов - взламывать их с целью снятия привязки к оператору (действие, известное как разлочка);
- пользователям видеоигр - взламывать их техническую защиту в целях исследования и исправления уязвимостей;
- преподавателям колледжей, студентам-кинематографистам и авторам документальных фильмов - снимать защиту с DVD для использования фрагментов фильмов в учебных целях, для критики, комментариев и некоммерческого использования;
- компьютерным пользователям - обходить внешние защитные устройства (донглы), если они потеряли работоспособность;
- слепым - снимать защиту с электронных книг с целью использования читающего вслух софта.

Фантастика, просто фантастика.
Источник: Associated Press

LiveJournal заблокировал аутентификацию по OpenID для переименованных аккаунтов
dl // 22.07.10 14:29
Дело в том, что с 14 июля в LiveJournal появилось правило, допускающее удаление старых аккаунтов. Поскольку при этом LJ не в состоянии удалить регистрации на сторонных ресурсах, рассчитывающих на OpenID-аутентификацию, при переименовании аккаунта в имя, совпадающее с удаленным, у нового пользователя появляется возможность получить доступ к ним от имени удаленного пользователя. И самым простым оказалось совсем прикрыть OpenID-аутентификацию для переименованных аккаунтов, не разбираясь, совпало ли новое имя с каким-то старым.

Пока открытым остается вопрос, что произойдет, если новое имя совпало со старым не в результате переименования, а в результате "чистой" регистрации с нуля.
Источник: LJ RU Support

Миллионы домашних роутеров оказались уязвимыми
dl // 22.07.10 10:53
На предстоящей конференции Black Hat обещана демонстрация уязвимости, затрагивающей множество роутеров, в том числе таких популярных производителей как Netgear, Linksys, Belkin, и которая может быть использована просто через веб.

Затронутые роутеры могут быть обмануты с помощью хорошо известной атаки класса DNS rebinding, после чего начинают считать ip посетителя резервным ip атакующего сайта, а обращения с сайта - обращениями из локальной сети. Ну а дальше это вполне может открыть доступ к администрированию роутером со всеми вытекающими последствиями. Обычно администраторский фронт-энд недоступен из внешней сети и запаролен, но данная атака позволяет обойти первое препятствие, а большинство домашних пользователей не занимается такой ерундой как смена дефолтового пароля.

Из 30 протестированных моделей половина оказалась уязвимой к данной атаке.
Источник: Forbes.com, via IT Reports

Пробуем социализироваться
dl // 21.07.10 20:03
Счастливые пользователи Facebook теперь могут оставлять комментарии к отдельным заметкам RSN, не используя логин от форума. Соответствующая форма и комментарии других пользователей выводятся перед блоком "последние новости". Если приживется, подумаю о более плотной интеграции.

Adobe добавит песочницу в Reader
dl // 20.07.10 20:54
Adobe Reader, ставший самой популярной мишенью для атак (как взломщиков, так и критиков), обретет в ближайшее время так называемую песочницу, реализующую защищенный режим работы. В этом режиме (который будет включен по умолчанию) приложение будет иметь минимальные возможности по нанесению вреда пользовательской системе - будет заблокирована работа с реестром и файловой системой, запуск внешних приложений и т.п.

Песочница появится в следующей версии Reader'а, которая ожидается в этом году. Работа над ней продолжалась в течение последнего года.
Источник: The Register