Microsoft закрыла cookie-уязвимость в Azure

Microsoft закрыла cookie-уязвимость в Azure

Корпорация подготовила новый выпуск средства разработки программного обеспечения (SDK) для платформы Windows Azure. В представленной версии исправлена ошибка безопасности, которая открывала путь к раскрытию конфиденциального содержимого идентификационных файлов (cookie).



Из описания проблемы явствует, что изъян представлял опасность в первую очередь для тех веб-сайтов и служб, которые пользуются файлами cookie для хранения информации о пользователе вне сеансов работы Интернет-обозревателя; эксплуатация этой уязвимости позволяла извлекать и отображать данные, записанные в идентификационные файлы. При этом выявленная ошибка могла помочь потенциальному злоумышленнику преодолеть криптозащиту информации, записанной в cookie, и получить сведения в расшифрованном виде.


Согласно сообщению разработчиков Microsoft, изъян существовал в веб-приложениях, построенных с помощью ASP.NET и с использованием новой функции SDK 1.3 - "Full IIS"; еще одним условием возникновения уязвимости было наличие программного интерфейса "Web Role". "Если для определенного узла важно, чтобы клиент не мог свободно читать содержимое файлов cookie, то его (узла) безопасность может быть под угрозой", - отметили специалисты корпорации.


Всем пользователям услуг Azure, чьи разработки подвержены возникновению этой уязвимости, настоятельно рекомендуется загрузить обновленный вариант SDK, "пересобрать" свои приложения и убедиться, что исправление вступило в силу. Подробные инструкции доступны в блоге Windows Azure.


"Облачная" платформа Azure была представлена публике около года назад. За это время она успела привлечь 31 тыс. активных подписчиков и стать местом размещения 5 тыс. приложений. С ее помощью разработчики могут строить, развертывать и эффективно контролировать веб-приложения, а также хранить данные на серверах Microsoft; абонировать часть вычислительных ресурсов "облака" можно за определенную цену (минимальный тариф - 5 центов в час).


PCWorld

Российский браузер Восток обещает открыть Рунет без танцев с сертификатами

В реестре отечественного ПО появился новый браузер «Восток». Его создатели обещают избавить пользователей от вечной головной боли с российскими сертификатами. Компания «Борей Технологии» сообщила, что интернет-обозреватель, разработанный совместно с «Адвилабс-Рус», официально включен в реестр российского программного обеспечения.

Продукт ориентирован как на корпоративный сектор, так и на обычных пользователей.

Главная фишка новинки — встроенная поддержка сразу двух миров. Браузер умеет работать как с российскими криптографическими алгоритмами и отечественными сертификатами, так и с международным протоколом TLS.

По задумке разработчиков, это позволит без дополнительных настроек открывать и российские государственные сервисы, и зарубежные сайты.

Проблема хорошо знакома многим пользователям: браузеры на базе Chromium не доверяют корневым сертификатам российских удостоверяющих центров, из-за чего некоторые сайты открываются с предупреждениями или вовсе отказываются работать. В «Востоке» обещают решить этот вопрос из коробки.

Интересно и другое: несмотря на привычное доминирование Chromium, новый браузер построен на базе Firefox. По словам разработчиков, все используемые библиотеки были заново собраны, а лишний тестовый код удалён.

Генеральный директор «Борей Технологии» Виктор Макин утверждает, что «Восток» стал первым браузером общего назначения на базе Firefox, который одновременно поддерживает российские криптографические алгоритмы и международные стандарты шифрования, не используя Chromium.

На этом планы компании не заканчиваются. В будущем разработчики намерены выпустить мобильную версию браузера, а также сборку для Windows.

RSS: Новости на портале Anti-Malware.ru