Tag: WWW

Opublikowane w

Masz DD-WRT? Masz problem.

A raczej, możesz mieć problem, jeśli skonfigurowałeś router tak, by serwer WWW (zarządzania przez WWW) słuchał na zewnętrznym interfejsie. Jakiego typu problem? Zdalne wykonanie kodu z prawami roota. Bez konieczności jakiegokolwiek uwierzytelniania.

Niestety, nawet ci, którzy skonfigurowali swój router tak, by serwer WWW nie słuchał na zewnętrznym interfejsie nie mogą spać spokojnie. Powodem jest niezałatana możliwość ataku przez CSRF.

Co robić? Jeśli nie chcemy/możemy zmienić softu na Tomato czy OpenWrt – co byłoby najlepszym rozwiązaniem, bo brak doniesień o podobnych problemach w tych firmware’ach – to na pewno wyłączyć zarządzanie przez WWW na zewnętrznym interfejsie i unikać podejrzanych stron (mogących być źródłem ataku CSRF). Przynajmniej do czasu opublikowania poprawionej wersji firmware’u przez DD-WRT. Jeśli to możliwe, należy wyłączyć serwer WWW całkowicie, wtedy i CSRF nie będzie groźny.

Źródło: DD-WRT (httpd service) Remote Command Execution Vulnerability

UPDATE: Jeszcze link do wątku na forum DD-WRT nt. tej luki oraz link do poprawionego firmware’u.

Opublikowane w

Socjalistyczna Opera.

Jeśli wierzyć w pełni artykułowi Opera niezadowolona, a w szczególności temu fragmentowi „Niewielkie przeróbki kodzie nie wpłyną na zwiększenie konkurencji na rynku przeglądarek” – uważa Hakon Wium Lie, szef działu technologicznego w Opera Software., Opera ma niezłe socjalistyczne zapędy. Ich produkt nie radzi sobie w starciu rynkowym, więc próbują wymusić na rządach promowanie ich produktu.

Tymczasem równie niewspierany przez Microsoft Firefox ma – wg rankingu przeglądarek około 47%. Trudno Firefoksowi zarzucić monopol czy wsparcie ze strony MS, a tymczasem jego popularność nadal rośnie.

Moim zdaniem, dopóki określoną przeglądarkę (w ogólności: program) można w prosty sposób wyłączyć lub odinstalować, a następnie w równie prosty sposób zastąpić ją innym programem, to problem nie istnieje. Nie wiem jak pod Windows, ale pod Linuksem wymiana przeglądarki jest bardzo prosta.

Jeśli prawdą jest że przedstawiciele UE sugerują, aby Microsoft stworzył w ekranie powitalnym Windows możliwość wyboru kilku przeglądarek internetowych, które byłyby aktywowane to jest to IMO krok w bardzo złym kierunku. Po pierwsze, czemu tylko Microsoft ma coś takiego wprowadzać, a np. Apple nie? Po drugie, czemu niewolne (nie open source), mają być proponowane w wolnych systemach (np. w Debianie)? Konsekwentne wprowadzanie takiego rozwiązania dokładnie do czegoś takiego prowadzi.

Dla jasności dodam, że uważam Operę mini za świetną przeglądarkę na urządzenia mobilne. Wersji desktopowej Opery używałem kiedyś (okolice wersji 7.5) i nie jest była to zła przeglądarka (była zdecydowanie lepsza od IE w tym czasie), natomiast Firefox w chwili obecnej wydaje mi się lepszy (mimo paru wad, choćby tego, że przy domyślnych ustawieniach narusza prywatność użytkownika). Wydaje mi się, że państwo powinno trzymać się z daleka od czegoś, co – jak widać po popularności Firefoksa – rynek potrafi doskonale regulować sam.