...
...

Европейский Союз рассмотрит законность технологии cookies

Безопасность и защита информации Европейский Союз рассмотрит законность технологии cookies
На рассмотрение Европейской комиссии представлен проект, который, по мнению аналитиков, может иметь далеко идущие последствия. Речь идет о возможном наложении запрета на использование веб-ресурсами технологии файлов cookies. Напомним, что cookies представляют собой небольшие файлы, предусмотренные спецификацией языка гипертекстовой разметки HTML. Подобные файлы содержат информацию обо всех действиях пользователя Сети, совершенных им на страницах веб-ресурса, и отправляются клиенту сервером, после чего помещаются в директорию временно хранящихся интернет-файлов. В случае, если пользователь не очищает содержимое данной директории до момента следующего захода на данный веб-ресурс, coockie высылается обратно серверу, который генерирует страницы сайта уже в соответствии с информацией, полученной от клиента.
Дебаты вокруг этичности использования cookies ведутся со дня включения этой технологии в спецификацию HTML и начала ее поддержки ведущими браузерами. С точки зрения специалистов по веб-рекламе, cookies работают, прежде всего, на благо пользователя, поскольку помогают ему найти в Сети именно то, к чему он ранее проявлял интерес. С другой стороны, многие эксперты полагают, что сбор маркетинговой информации путем использования cookies является вторжением в частную жизнь граждан.
Проект о запрете cookies будет рассмотрен Комиссией 13 ноября. В случае, если на использование cookies будет наложен запрет, сетевые маркетологи ЕС могут лишиться привычного и эффективного инструмента сбора информации. 05.11.2001

Технология активации Windows XP взломана
Программа, получившая в последние дни распространение в Интернете, позволяет пользователям обходить процесс активизации программного продукта, заложенный в новой ОС Windows XP. Вызвавшая немало споров технология активизации программного продукта — новое средство защиты от незаконного копирования от компании Microsoft, которое было заложено в операционную систему Windows XP, уже взломано.
25 октября группа хакеров из Азии начала распространять в Интернете специальную программу, позволяющую пользователям обходить процесс активации программного продукта, который был разработан компанией Microsoft для защиты от незаконного копирования.
Компания Microsoft рекламировала процесс активации продукта как одну из ключевых мер, направленную на защиту от незаконного копирования, когда пользователь покупает одну копию Windows XP, а устанавливает ее на нескольких компьютерах. На этот тип пиратства приходится приблизительно половина потерь из тех $12 млрд, которые компания потеряла в прошлом году из-за продаж нелегального программного обеспечения. Теперь представители Microsoft признают, что технология активации продукта не сможет положить конец пиратскому рынку программного обеспечения, однако сократит незаконное копирование программного обеспечения.
Windows XP — первый программный продукт компании Microsoft, где широко используется технология активации продукта, хотя она была успешно проверена и в других продуктах компании, продаваемых в Европе и Азии. В течение бета-тестирования операционной системы технология защиты от копирования неоднократно подвергалась нападкам со стороны критиков. Microsoft обвиняли в сборе личных сведений о пользователях и их компьютерах, а также в том, что эта технология затрудняет модернизацию компьютера после того, как операционная система установлена. Представители Microsoft заявили, что учли все замечания, и теперь модернизировать компьютер можно будет без риска вновь покупать лицензионную копию ОС. 05.11.2001

Reverse Firewall остановит DoS-атаки в зародыше
Компания Cs3 на прошлой неделе анонсировала сетевое устройство, которое, по ее заявлению, может защитить компьютерные системы от использования их без ведома владельцев для организации атак типа "отказ в обслуживании" (DoS) на другие компьютерные системы. Во время этих атак сервер жертвы забрасывается массой фальшивых запросов на обслуживание, в результате чего из-за перегрузки он может выйти из строя. Именно таким способом в феврале прошлого года были временно выведены из строя серверы популярных Web-Amazon.com, Yahoo.com, EBay.com и др. Если новое устройство получит признание среди интернет-провайдеров, то DoS-атаки могут отмереть как пережиток прошлого.
Устройство называется Reverse Firewall ("обратный сетевой экран"). Оно устанавливается между Internet и корпоративной сетью (или между Internet и сервером Internet-провайдера). По заявлению разработчиков, Reverse Firewall защищает внутреннюю сеть и ограничивает поток выходящей из нее информации, чтобы предотвратить использование подключенных к ней компьютеров в DoS-атаках. Для этого в устройстве Reverse Firewall используется технология "правильного планирования" (fair service scheduling), которая распределяет всю имеющуюся полосу пропускания между всеми исходящими соединениями, не позволяя, таким образом, чтобы одно соединение перетянуло все одеяло на себя, как это бывает при забрасывании компьютера жертвы запросами на обслуживание.
Кроме того, технология правильного планирования предусматривает установку более высокого приоритета для двусторонних соединений с участием двух компьютеров. Односторонний поток данных, который обычно бывает во время DoS-атак, наоборот, получает низкий приоритет.
Таким образом, компания Cs3 подошла к проблеме защиты от DoS-атак с другой стороны. Она не защищает жертву, а борется с "преступниками" (пусть и невольными). 05.11.2001

Интернет-трафик всех чиновников штата Аризона подвергнется фильтрации
Согласно заявлению представителей корпорации Websense, интернет-трафик государственных учреждений штата Аризона отныне будет подвергаться мониторингу с помощью специального программного обеспечения, разработанного компанией. Таким образом, под контролем проверяющих органов будет находиться сетевая активность свыше 200 тыс. служащих различных государственных организаций штата. Соответствующий контракт был заключен между Websense, властями штата и местными органами самоуправления.
Городские власти более чем 350 городов, а также 75 федеральных агентств США, уже используют фильтрующие программы Websense для отслеживания деятельности своих служащих в Интернете. Подобная программа-фильтр позволяет ограничить доступ сотрудников к нежелательной информации, а также убедиться в том, сколько времени ежедневно проводит служащий за работой в Сети. 06.11.2001

В сети появится программа обхода защиты DVD
На прошлой неделе апелляционный суд Калифорнии отменил принятое ранее решение суда в отношении Эрика Корли. Тогда суд запретил известному журналисту публиковать на своем сайте http://www.2600.org программу для обхода защиты DVD Decode Content Scrambling System (DeCSS), а также какие-либо ссылки на нее.
Напомним, что в начале прошлого года представители киноиндустрии Америки, в частности Universal, Metro-Goldwyn-Mayer и Warner Brothers, подали сразу несколько исковых заявлений в суд, требуя прекратить распространение и публикацию программы DeCSS, созданной 15-летним норвежским программистом Йоном Йохансеном.
DeCSS изначально предназначалась для проигрывания DVD под Linux, однако, программа позволяет также обходить "региональный код", взламывать защиту дисков и беспрепятственно их копировать, в том числе, потенциально и с целью последующей незаконной перепродажи. Один из исков Американской ассоциации кинематографистов касался публикации программы на сайте "2600". 8 августа прошлого года судья Льюис Каплан запретил Корли публиковать текст кода "опасной" программы, а также велел убрать все ссылки на другие содержащие программу ресурсы.
В августе 2000-го, аргументируя свою позицию, истец апеллировал к ставшему за прошедший год печально знаменитым Digital Millennium Copyright Act. DMCA был принят в 1998 году и вступил в силу как раз в 2000 году. По мнению истцов, публикация исходников DeCSS неизбежно влечет за собой нарушение этого акта и может квалифицироваться как пособничество в неавторизованном доступе к цифровому видео. Защита Корли апеллировала к Первой поправке, рассматривая публикацию кода программы как просто публикацию набора символов.
Новое постановление, принимая которое судья опирался на Первую поправку к Конституции США, гарантирующую свободу слова, касается только самого Эрика Корли, больше известного под псевдонимом Эммануил Гольдштейн, и разрешает ему, и пока только ему, публиковать на своем сайте код DeCSS.
Как заявил судья, публикацию программы следует рассматривать просто как публикацию чьих-либо спорных мыслей. При этом сама программа названа "далеко неоднозначной" в смысле своего отрицательного влияния на общественные устои. То есть, на этом заседании впервые программный код был рассмотрен в рамках защиты свободы слова. Создание программ, нарушающих DMCA, тем не менее, остается незаконным. Программисты могут преследоваться по суду за распространение нелегального ПО, но собственно саму публикацию кодов программ предотвратить уже невозможно. Дело о самой программе, ее распространителях и пользователях все еще находится в стадии рассмотрения в федеральном суде. И каково будет решение по этому делу — пока неизвестно. 08.11.2001

Принтерные сети можно использовать для совершения DoS-атак
Организация Emergency Response Team (CERT) обнародовало данные своего исследования, которое показывает, что многие принтерные сети можно легко использовать для реализации атак сетей на отказ от обслуживания. Это становится возможным из-за наличия уязвимых мест в некоторых реализациях сервиса LPD, который принимает задания на печать от персональных компьютеров. В частности, подобная проблема существует в линейных принтерах BSD, IBM AIX и Hewlett-Packard. Основной проблемой серверов печати является возможность несанкционированного захвата управления над ними путем переполнения буфера некоторых функций, например для линейного принтера IBM AIX это kill_print(), send_status() and chk_fhost(). В этом случае злоумышленник может получить возможность запустить на сервере произвольный код, в том числе запускающий DoS-атаку. 08.11.2001

Подготовил Евгений Сечко, safeman@mail.ru

(c) компьютерная газета


© Компьютерная газета

полезные ссылки
Оффшорные банковские счета