Юбилейная выставка Infosecurity Russia 2008: максимум эффекта для посетителей

Александр Панасенко 07 Июля 2008 - 15:59

...

В рамках подготовки к международной специализированной выставке по информационной безопасности Infosecurity Russia 2008 состоялось уникальное мероприятие – День открытых дверей, в котором активное участие принял Учебный центр «Информзащита».

Выставка-конференция Infosecurity Russia, которая пройдет в Москве с 7 по 9 октября – ключевое событие для специалистов по информационной безопасности. Infosecurity в Москве является преемницей эстафеты выставок Infosecurity, начатой в 1996 году в Лондоне, и подхваченной Утрехтом, Парижем, Миланом, Стокгольмом, Нью-Йорком, Брюсселем и Торонто. Infosecurity проводится на ежегодной основе в десяти странах мира, а с 2004 года успешно проходит в Москве, собирая более 5000 квалифицированных посетителей из различных регионов России и зарубежья.

Организованный ВО "РЕСТЭК" и Reed Exhibitions в преддверии Infosecurity Russia День открытых дверей – уникальное мероприятие для экспонентов выставки, нацеленное на ее проведение с максимальным эффектом для посетителей. В рамках Дня состоялся практический семинар "Как повысить эффективность Вашего участия в IT-выставках" Николая Карасева (Агентство выставочного консалтинга "ЭкспоЭффект"), который помог участникам систематизировать идеи и технологии успешного участия в выставках.

Особый интерес среди участников вызвало выступление Директора Учебного центра «Информзащита» Зои Поповой. В своем докладе она провела сравнительный анализ и дала оценку практики проведения выставки Infosecurity на международном и российском уровнях, предложила рекомендации по эффективному участию в московской выставке. В ходе выступления были продемонстрированы эксклюзивные фото- и видео- материалы ежегодной выставки Infosecurity в Лондоне, отражающие примеры системного подхода западных компаний к выставочной деятельности: удобные и привлекательные стенды, четко выстроенная и грамотная организация работы выставочного персонала на стенде, внимание к посетителям, знание собственной продукции, умение проводить презентации и многое другое.

Ежегодно, начиная с 2004 года, Учебный центр «Информзащита» знакомит участников выставки Infosecurity Russia с новыми идеями и мировыми тенденциями рынка информационной безопасности, консультирует по подбору ключевых тем для освещения, способствует популяризации выставки среди специалистов. Ставшее уже традицией участие в подготовке деловой программы выставки Infosecurity в качестве профессионального консультанта проходит в рамках просветительской деятельности Учебного центра.

День открытых дверей посетили представители 40 компаний-участниц выставки. С уверенностью можно сказать, что состоявшееся мероприятие стало подтверждением качественно нового подхода к проведению выставки Infosecurity Russia. Благодаря объединению усилий организаторов, участников деловой программы и экспонентов мероприятие станет еще более интересным и эффективным для специалистов.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: