Открыта регистрация на Всероссийскую конференцию «Обеспечение информационной безопасности. Региональные аспекты»

Александр Панасенко 27 Мая 2010 - 12:24

...

В девятый раз подряд в период с 7 по 11 сентября в Сочи состоится одно из ведущих ИБ-мероприятий – Всероссийская конференция «Обеспечение информационной безопасности. Региональные аспекты». Организатором мероприятия выступает НОУ «Академия Информационных Систем».

По сложившейся традиции, конференция «Обеспечение ИБ. Региональные аспекты» – это одно из наиболее ярких событий ИТ-отрасли, открывающее осенний деловой сезон и собирающее в Сочи ведущих представителей государства и бизнеса в области информационной безопасности со всей России.

Численный состав участников варьируется от 200 до 300 человек, при этом формат проекта остается неизменным: насыщенная деловая программа, известные спикеры, представляющие органы государственной власти федерального и регионального уровней, и ведущие компании из различных отраслей экономики, самые актуальные темы, тренды и перспективы развития рынка информационной безопасности, а также подведение предварительных итогов за 9 месяцев уходящего года.

Одной из ключевых тем конференции «Обеспечение ИБ. Региональные аспекты», как и в прошлом году, остается проблема приведения информационных систем персональных данных государственных ведомств и коммерческих организаций в соответствие с требованиями ФЗ №152 «О персональных данных». За последний год многие ведомства и организации сдвинулись с «нулевой» отметки и начали проведение комплекса работ по защите персональных данных. При этом ряд государственных ведомств и коммерческих организаций уже приняли необходимые меры (не только организационные мероприятия, но и мероприятия по построению и/или модернизации существующей системы защиты информации) по защите персональных данных своих сотрудников, партнеров и клиентов. В рамках конференции эти организации поделятся практическим опытом проведения соответствующих работ по обеспечению защиты персональных данных.

Учитывая отраслевые особенности данного вопроса, организаторы конференции приглашают к обмену опытом представителей различных отраслей, таких как телеком, ТЭК, банки, страхование, промышленность, медицина и социальной сферы. Не секрет, что введение в действие ФЗ №152 «О персональных данных» сыграло немаловажную роль в развитии рынка оказания услуг по обеспечению информационной безопасности в России и внесло свои коррективы в правила игроков. Традиционно, в сочинской конференции принимают участие все основные игроки рынка информационной безопасности, которые решают стратегические вопросы развития отрасли.

Наряду с тематикой о персональных данных, в рамках круглых столов и семинаров конференции будут рассмотрены вопросы государственного регулирования в области информационной безопасности РФ, отраслевые решения по обеспечению ИБ, опыт их практического применения и многое другое.

«Тема информационной безопасности с каждым годом приобретает в нашей стране все большее значение, – отметил Юрий Малинин, ректор «Академии Информационных Систем». – Мы видим заинтересованность в этой деловой площадке со стороны органов государственной власти и крупного бизнеса, при этом значительно расширяется региональное представительство. В рамках предстоящей конференции в деловой части программы присутствуют темы, которые будут обсуждаться впервые на мероприятиях подобного масштаба».

Источник

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: