Вопросы и ответы по безопасности в WWW

2. Что нового?

• Version 1.9.0, June 30, 1998
  • Информация о новых проблемах в O'Reilly WebSite Pro, Netscape Enterprise Server for Windows NT, Sun's JavaWebServer и Process Software's Purveyor. Лазейка позволяет пользователям получать тексты вставок на сервере и сервлетов Java.
  • Описание проблем в сервереMetaInfo MetaWeb.
  • Добавлена ссылка на CGI/Perl Taint Mode FAQ в разделе Perl taint checks.
  • Изменен пример обеззараживания адреса e-mail для соответствия более осторожному подходу Gunther Birznieks.
  • К списку скриптов CGI, содержащих лазейки, добавлен скрипт TextCounter (автор - Matt Wright). Обновлена информация по гостевым книгам в том же разделе.
  • Упоминание сервера CERN Web server удалено из раздела о конкретных серверах, поскольку этот сервер используется теперь крайне редко.
• Version 1.8.1, April 16. 1998
  • Мелкие исправления - опечатки и URL.
• Version 1.8.0, April 13, 1998
  • Добавлена информация об ошибках <Embed> и рекурсивных рамках в Internet Explorer версии 4.0-4.01
  • Добавлена информация о переполнении буфера закладок в Netscape Communicator 4.0-4.04
  • Обновлена секция cookies, добавлено обсуждение риска пиратства по отношению к идентификаторам сессии, даны рекомендации разработчикам о способах защиты от этой проблемы.
  • Добавлено предупреждение о серьезной лазейке в браузере Lynx 2.7.1.
  • Добавлено обсуждение разработки политики информационной безопасности организации к разделу предосторожности общего порядка
  • Добавлено несколько инструментов контроля, специфичных для Windows NT, к списку в разделе предосторожности общего порядка.
  • Обновлен список зеркальных копий.
• Version 1.7.0, January 19, 1998
  • Добавлена информация о лазейках, недавно найденных в Excite Web Search Engine.
• Version 1.6, 1.6.1, January 16, 1998
  • Информация о новой серьезной лазейке в браузере Microsoft Internet Explorer (4.0, 4.01)
  • Информация о новых лазейках в Microsoft Internet Information Server и Personal Web Server, версия 4.0
  • Информация о новых лазейках в серверах Netscape Enterprise (3.0) и FastTrack (3.01).
  • Описание новых лазеек в сервере Apache версий до 1.2.4.
  • Старые, но не упоминавшиеся ранее лазейки в IBM Internet Connection Secure Server.
  • WebPass, новый скрипт для смены пароля
• Version 1.5.1, November 6, 1997
  • Скрипт Count.cgi добавлен к списку скриптов CGI, содержащих ошибки.
  • Добавлена информация о sbox wrapper для запуска скриптов CGI в\ многопользовательской среде.
  • Мелкие исправления в URL и адресах e-mail.
• Version 1.5, November 1, 1997
  • Добавлены разделы о признании сертификатов узла и сертификатов CA.
  • Новые данные о старых ошибках в конфигурации директориев записи истории сервера в серверах Netscape и, возможно, других коммерческих серверах.
  • Mac был взломан! Смотри подробности.
  • Раздел о проблемах в JavaScript дополнен информацией о Freiburg атаке в IE 4.0.
  • Раздел о HTTP cookies дополнен информацией об "отсекателе cookies" (cookie cutter) и анонимизации proxy.
  • Информация о новых возможностях Netscape 4.0 и IE 4.0 в области безопасности добавлена в разделе Безопасность на стороне клиента.
  • Исправлены многочисленные грамматические ошибки и опечатки (в ОРИГИНАЛЕ ;)).
• Version 1.4.1, September 3, 1997
  • Новый адрес оригинала на W3C.
  • Переделан дизайн для соответствия "стилю W3C".
  • Новый раздел об использовании личных удостоверений (personal certificates) для контроля доступа к узлу.
  • Переписано введение.
  • Обновлена информация об ошибках в JavaScript в Netscape.
• Version 1.4.0, July 10, 1997
  • Две новых лазейки в защите в браузерах с активированным JavaScript.
• Version 1.3.9, June 25, 1997
  • Информация об инициировании отказа Microsoft IIS
  • Информация о Возможности копирования файлов в Netscape Navigator 2.0, 3.0, 3.01 и Communicator 4.0
  • Исправлены опечатки.
• Version 1.3.8, June 11, 1997
  • Информация о лазейках в PHP и file.pl скриптах CGI.
  • Новый раздел об уязвимости Novell WebServer.
  • Исправлены ошибки и опечатки - спасибо Paul DuBois <dubois@primate.wisc.edu>).
  • Новая информация о Macintosh: проблемы с лог-файлами в сервере Quid Pro Quo .
• Version 1.3.7, May 7, 1997
  • Сообщения о лазейках в различных скриптах CGI, включая FrontPage, Selena Sol guestbook и Mindshare Out Box. См. В34.
• Version 1.3.6, March 29, 1997
  • Новые опасности в Internet Explorer.
• Version 1.3.5, March 21, 1997
  • Информация о возможности получения сетевых имен пользователей и паролей через Netscape Navigator и IE.
• Version 1.3.4
  • Информация о лазейке в CGI скрипте nph-publish.
  • Дополнительная информация о лазейке в I.E..
• Version 1.3.3
  • Добавлена информация о bytecode verifier лазейке в Java.
• Version 1.3.2
  • Серьезные проблемы в безопасности Internet Explorer 3.01.
• Version 1.3.2
  • Информация о новой лазейке, найденой в сервере Microsoft IIS.
  • Расширена секция о проблемах безопасности в ActiveX , которые стали очевидны после появления реально вредных элементов (благодаря Chaos Computer Club)
  • Исправлен ряд ссылок и опечаток.
• Version 1.3.1
  • Информация о двух новых лазейках в сервере Apache Web server.
  • Информация о недавно появившейся программе смены пароля на основе CGI.
  • Весь список (оригинал на английском языке) теперь доступен как ZIP файл.
• Version 1.3.0
  • Новый раздел об ActiveX.
  • Новый раздел о HTTP cookies.
  • Разделы о Java и JavaScript более-менее приведены в порядок.
  • Обновлен раздел об электронной коммерции.
  • Добавлен раздел о лазейке в системе мониторинга Macintosh WebSTAR.
  • Исправления ссылок и ошибок.
• Version 1.2.4
  • Раздел Java расширен в свете новых данных.
  • Обновлены многие ссылки.
  • Сообщения о проблемах в библиотеке util.c в серверах Apache и NCSA httpd добавлены к соответствующим разделам.
  • Расширена библиография.
  • Список зеркальных копий быстро растет.
• Version 1.2.3
  • Ввиду новых данных о проблемах в Java и JavaScript эти секции были значительно переработаны.
  • Введен список зеркальных копий.
  • К разделу библиографии добавлен Risks Digest.
• Version 1.2.2
  • Список разделен на фрагменты для удобства доступа через Атлантику.
  • Описания Java и JavaScript перемещены в раздел Безопасность на стороне клиента (что вызвало перенумерацию вопросов).
  • Java и JavaScript обновлены чтобы отразить исправления известных ошибок в Netscape 2.01.
  • Внесена информация об исправлении лазейки в .BAT файлах в Microsoft IIS.
  • К разделу о серверах Macintosh добавлены результаты испытаний WebStar.
• Version 1.2.1
  • Правильно упомянута Jennifer Myers как первооткрыватель лазейки в util.c от NCSA.
• Version 1.2.0
  • Расширено описание очень серьезных лазеек в JavaScript. Если Вы или кто-либо в Вашей организации использует Netscape 2.0, то прочтите это.
  • Сервер Microsoft IIS добавлен к списку серверов для Windows NT, имеющих лазейку в .BAT скриптах CGI.
  • Описание лазейки найденой недавно в библиотеке CGI util.c, распространяемой NCSA и используемой во многих CGI скриптах, написанных на С.
• Version 1.1.9
  • Исправлена путаница между Java и JavaScript. Является ли автор единственным, кто был обманут сходством терминов?
• Version 1.1.8
  • Дальнейшие добавления о лазейке в CGI скриптах на основе .BAT файлов в различных серверах для NT, включая ссылку на способ устранения для O'Reilly и неподверженность Purveyor.
  • Полностью новый раздел о Java.
• Version 1.1.7
  • Сервер O'Reilly WebSite имеет ту же самую лазейку в .BAT скриптах CGI, что и сервер Netscape, соответствующий раздел обновлен для отражения этого факта.
  • Обновлен раздел о SSL информацией об исправлениях SSL для сервера Apache.
• Version 1.1.6
  • Добавлен новый раздел о лазейках в специфических проблемах и объяснен на примере двух недавних сообщений о Netscape Communication Server для Windows NT. Этот раздел будет увеличиваться, смещение в сторону Netscape - болезнь роста.
• Version 1.1.5
  • Исправления в тексте perl для безопасной отсылки почты. Спасибо William DenBesten за ее обнаружение.
• Version 1.1.4
  • Исправлена опечатка в примере защиты страницы паролем.
• Version 1.1.3
  • Исправлена ошибка в выражении Perl для обработки адресов e-mail (обнаружена Enzo Michelangelo).
  • Исправлена ошибка в адресе Trusted Information Systems FTP сервера.
• Version 1.1.2
  • Добавлено обсуждение ограничений на IP адреса, предложенное Paul Phillips.
• Version 1.1.1
  • Добавлена зеркальная копия в Европе на www.Austria.EU.net.
• Version 1.1
  • Секция безопасность на стороне клиента расширена на основе материала, любезно предоставленного Laura Pearlman.
  • Исправлен ряд ошибочных ссылок, включая адрес Safe Perl.
  • Добавлена информация о "prank macro" в Microsoft Word (спасибо Neal McBurnett).

SSL-сертификаты

Last modified: Tue Jun 30 23:02:42 EDT 1998