» 2016 » ИюньSoft Settings

Исходный код технологии SwiftShader открыт для всех

Июн 30, 2016 - Без рубрики - 0 Comments - Стандартный

Разработчики из Google выложили в открытый доступ исходный код библиотеки SwiftShader, которая используется для высокопроизводительного рендеринга графики силами центрального процессора. Эта технология используется во многих продуктах компании, в том числе в браузере Google Chrome. Далеко не все системы обладают мощными видеокартами, поэтому с 2009 года Хром использует SwiftShader для работы с 3D-графикой на слабых машинах. При этом основная

ZTE выпустила флагманский смартфон Axon 7 в Европе

Июн 30, 2016 - Без рубрики - 0 Comments - Стандартный

Смартфон ZTE Axon 7 из числа топовых начал свое распространение за пределами КНР. Первой целью он избрал Европу, и уже сегодня стартовал прием предварительных заказов на него сразу в нескольких странах Евросоюза, и даже в Великобритании, которая не так давно вышла из ЕС.


ZTE Axon 7

В Старом Свете смартфон ZTE Axon 7 оценивается минимум в 450 евро, и за эти деньги покупатель получит базовую версию с 4 Гб оперативной памяти и 64-гигабайтным накопителем. Есть также модель с 6 Гб ОЗУ и 128 Гб ROM, но ее стоимость пока не называется, хотя ее тоже уже можно заказать. Старт продаж в обоих случаях назначен на 30 июля текущего года. Самому смартфону ZTE Axon 7 всего лишь полтора месяца от роду — он был представлен в середине мая и сразу стал угрозой для всех существующих флагманов, в том числе и от топовых брендов. Моноблок упакован в тонкий металлический корпус с дактилоскопом под основной камерой на целых 20 мегапикселей, да еще и с оптическим стабилизатором изображения и фазовым автофокусом. Фронталка в данном аппарате 8-мегапиксельная, однако собственной вспышки у нее нет.

ZTE Axon 7 собран на флагманском процессоре Qualcomm Snapdragon 820, а его экран поддерживает разрешение Quad HD или 1440х2560 пикселей при диагонали 5,5 дюйма. В дорогой комплектации заявлена поддержка технологии Force Touch, определяющей силу прикосновения к экрану. В смартфоне есть два SIM-слота, один слот microSD, АКБ емкостью 3250 мАч, модуль LTE и ОС Android 6. Толщина ZTE Axon 7 не превышает 8 миллиметров.

Уязвимость удостоверяющего центра StartSSL позволяла получить сертификат для чужого домена

Июн 30, 2016 - Интересно - 0 Comments - Стандартный

30.06.2016 23:43 Уязвимость удостоверяющего центра StartSSL позволяла получить сертификат для чужого домена

В пытающемся конкурировать с Lets’Encrypt сервисе автоматической выдачи SSL-сертификатов StartEncrypt, развиваемом удостоверяющим центром StartCom (торговая марка StartSSL), выявлена критическая проблема с безопасностью, позволяющая получить заверенный удостоверяющим центром сертификат для не принадлежащего пользователю домена. Например, можно получить SSL-сертификаты для google.com и facebook.com, которые будут восприняты в браузерах как заслуживающие доверия.

Проблема присутствует в реализации механизма проверки принадлежности домена заявителю. Как упоминалось в опубликованном две недели назад анонсе, проверка выполняется закрытым приложением, представляющим собой «черный ящик», отправляющий сетевые запросы к внешнему API. Энтузиасты заинтересовались подобной сетевой активностью и в процессе анализа приложения, нашли в нём серию уязвимостей, позволяющих запросить сертификат, обманув стадию проверки принадлежности домена.

Первая уязвимость связана с тем, что для проверки контроля за доменом запрашивается файл «/signfile», но путь к этому файлу также указывается при запросе к API, что позволяет указать в запросе к API любой URL и получить сертификат для любого сайта, на который могут быть загружены сторонние данные. Например, файл можно загрузить на dropbox.com и указать путь к этому файлу при обращении к API, после чего StartEncrypt посчитает, что домен dropbox.com принадлежит пользователю, запросившему сертификат.

Вторая уязвимость расширяет возможности атаки сайтами, на которых допускаются перенаправления URL. При загрузке проверочного файла StartEncrypt обрабатывает редиректы, поэтому для получения сертификата чужого сайта не обязательно загружать на него данные, достаточно организовать перенаправление на свой хост. Функция перенаправления на URL при завершении сеанса определена в спецификации OAuth 2.0, что позволяет получить сертификат для любого сайта, поддерживающего OAuth 2.0. Например, сертификат можно получить для google.com, facebook.com, paypal.com, linkedin.com, login.live.com и т.п.

Кроме того, несколько уязвимостей выявлены в коде клиентского приложения: клиент не проверяет сертификат сервера при обработке ответов API, при загрузке проверочного файла не выполняется проверка типа контента (проверочный файл можно загрузить под видом изображения), приватный ключ (/usr/local/StartEncrypt/conf/cert/tokenpri.key) сохраняется с правами 0666, что позволяет любому локальному пользователю прочитать и изменить его.

  1. Главная ссылка к новости (https://www.computest.nl/blog/…)
  2. OpenNews: StartCom запустил сервис по автоматической выдаче SSL-сертификатов
  3. OpenNews: Некоммерческий удостоверяющий центр Let’s Encrypt вышел из стадии бета-тестирования
  4. OpenNews: В сервисе Let’s Encrypt произошла утечка email-адресов части пользователей
  5. OpenNews: Comodo пытается завладеть брендом Let’s Encrypt
  6. OpenNews: GlobalSign временно приостановил выдачу SSL-сертификатов из-за возможной компрометации
Тип: Проблемы безопасности
Ключевые слова: startencrypt, startcom
При перепечатке указание ссылки на opennet.ru обязательно
 
+18 +/
Кто там в каждой новости про  Let’s Encrypt плевался и советовал использовать StartSSL? 🙂 Теперь настоящие профессионалы показали своё истинное лицо. Даже не верится, что в CA может быть такая некомпетентность.
 
+3 +/
Да, было дело получал у них бесплатный сертификат, но столько проблем было. Получить смог только авторизовавшись под IE и т.д. Сложилось впечатление что это недоделанная чья та курсовая, но никак не серьезный проект. Номер кредитки я бы им не доверил. Как они поднялись не ясно. Не иначе как связи.
 
+1 +/
>Проблема присутствует в реализации механизма проверки принадлежности домена заявителю.

проблема присутствует в самой концепции ssl-сертификатов в том виде в котором они есть сейчас. защита https — это по большому счету мираж.

 
 
+/
Вообще-то защита https — это как минимум два фактора:
1. Удостовериться, что имеешь дело именно с тем сайтом, на который зашел. Это работает, прямо скажем, неидеально.
2. Шифрование общения между пользователем и сайтом. А вот это нормально работает, причем с любым — хоть самоподписанным — сертификатом. Если, конечно, какие-нибудь защитнички не влезли в процесс со своими интересами.
 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)

Планшет ASUS ZenPad 3s 10 построен на шестиядерном процессоре

Июн 30, 2016 - Без рубрики - 0 Comments - Стандартный

Тайваньская компания ASUS разработала планшетный компьютер ZenPad 3s 10, который решила представить а Интернете за пару недель до его официального анонса. Показ планшетника назначен на 12 июля, и тогда же будут раскрыты его аппаратные спецификации, которые в настоящий момент наполовину засекречены.

Планшет ASUS ZenPad 3s 10

Если судить по доступным данным о ASUS ZenPad 3s 10, то это будет планшет в металлическом корпусе с экраном на 9,7 дюйма по диагонали, поддерживающим высокое разрешение Quad HD или 2560х1536 пикселей. Внутри него окажется шестиядерный процессор Qualcomm без указания модели — вероятно, это будет Snapdragon 808, применяемый в некоторых современных смартфонах, в том числе и прошлогоднем LG G4. На снимке можно различить аппаратную кнопку под дисплеем, которая вполне может скрывать в себе сканер отпечатков пальцев.

Также в ASUS ZenPad 3s 10 ожидается наличие аккумулятора емкостью 5900 мАч, который будет поддерживать технологию быстрой зарядки Quick Charge второго или сразу третьего поколения от компании Qualcomm. Объем оперативной памяти заявлен на уровне 4 гигабайтов, а вот емкость штатного накопителя пока не указывается. По всей видимости, новый планшет получит поддержку сотовых сетей четвертого поколения, причем уже в базовой комплектации, и это помимо обычных модулей Bluetooth и Wi-Fi.

Samsung выпустит раскладной смартфон Galaxy Folder 2

Июн 30, 2016 - Без рубрики - 0 Comments - Стандартный

Компания Samsung скоро анонсирует смартфон Galaxy Folder 2 — еще одну умную раскладушку и одновременно второе поколение оригинального Samsung Galaxy Folder. О существовании данного аппарата стало известно из опубликованных результатов его тестирования в бенчмарке GFXBench.

Samsung Galaxy Folder 2

В предоставленных сведениях о Samsung Galaxy Folder 2 упоминается наличие процессора Qualcomm Snapdragon 425 с четырьмя ядрами по 1,4 ГГц и видеокартой Adreno 380, к тому же он поддерживает сотовые сети четвертого поколения. Дисплей в смартфоне окажется только один — внутренний с диагональю 3,8 дюйма и разрешением 800х480 пикселей, как и у первого поколения, представленного ровно год назад. Раскладушка получит в свое распоряжение 16 Гб встроенной памяти и слот microSD для ее расширения, камеры с матрицами на 5 и 8 Мп, 2 Гб оперативной памяти и традиционные модули  беспроводной связи, включая GPS-ресивер для навигации. Впрочем, на 3,8-дюймовом дисплее едва ли будет удобно использовать навигационное ПО.

По сути, за год в смартфоне изменилось почти все, кроме тачскрина, и даже операционная система Google Android обновилась до версии 6.0.1 Marshmallow, пока что самой современной. Новая раскладушка Samsung Galaxy Folder 2 должна быть представлена в июле, а ее релиз ожидается в течение этого лета. Как и всегда, список стран, где смартфон в очень оригинальном для наших дней форм-факторе может оказаться весьма ограниченным.

Суровый планшет Panasonic Toughpad FZ-G1 проработает 14 часов без подзарядки

Июн 30, 2016 - Без рубрики - 0 Comments - Стандартный

Компания Panasonic обновила свой планшет Toughpad FZ-G1, научив его еще дольше обходиться без подзарядки за счет установки менее энергоемких компонентов. Теперь компьютер выдержит 14 часов подряд при стандартной интенсивности использования, да и в целом он стал мощнее предыдущего поколения.


Panasonic Toughpad FZ-G1

Оригинальный планшет Panasonic Toughpad FZ-G1 дебютировал три года назад и был наделен защитой от падений, воды, пыли вибраций, резких перепадов температуры и других факторов, обычно фатальных для электроники. Причем компьютер можно бросить с высоты до 180 сантиметров. Все это в полной мере касается и новой версии планшета, которая построена на процессоре Intel Core i5-6300U vPro поколения Skylake, его два ядра работают на частоте до 3 ГГц.

Panasonic Toughpad FZ-G1

В Panasonic Toughpad FZ-G1 содержатся от 4 до 8 Гб оперативной памяти, полноценный SSD-драйв емкостью до 128 Гб и сенсорный экран на 10,1 дюйма с разрешением 1920х1200 пикселей, яркостью 800 кд/м2 и поддержкой ввода при помощи фирменного стилуса. На корпус устройства выведены порты USB 3.0 и USB 2.0, есть выход HDMI и слот microSD. По умолчанию в Panasonic Toughpad FZ-G1 устанавливаются только модули Wi-Fi и Bluetooth, а в список опций входит LTE-модем. Релиз планшета в комплекте с Windows 10 Pro состоится в июле по цене от 2300 долларов США.