Mozilla изцяло преминава към защитения HTTPS-протокол

Компанията Mozilla, създател на популярния браузър Firefox, постепенно ще се откаже от поддръжката на HTTP-протокола и изцяло ще премине към използването на зашифрования HTTPS-протокол. Рова решение бе взето след бурно онлайн-обсъждане.

Ерата на цялостен преход към шифровани връзки ще започне на два етапа. Първоначално ще бъде избрана датата, с настъпването на която всички нови функции на браузъра ще работят само с HTTPS. След това ще започне изключването поддръжката на HTTP-протокола за традиционните функционалности на браузъра. Кои функции ще се считат за нови ще бъде решавано след открито обсъждане.

Новият план не изключва цялостното използване на HTTP, но старите линкове ще се преобразуват в HTTPS чрез HSTS и атрибута upgrade-insecure-requests – средствата, които използва сървъра за преадресиране на всички запитвания към защитени канали. Mozilla призовава всички програмисти активно да се включат към подобряване на безопасността в Глобалната мрежа и възнамерява да представи своите препоръки на консорциума W3C.

За нормалната поддръжка на HTTPS, всеки собственик на уеб-сайт трябва да има съответния сертификат от доверена компания. Mozilla знае, че тези сертификати не са безплатни и се продават, но и сега могат да бъдат взети безплатни сертификати от  StartSSL и WoSign. В средата на 2015 година Mozilla ще стартира проекта Let’s Encrypt, от който ще е възможно получаването на безплатни сертификати в автоматичен режим.

Categories: Новости

Пробив на WordPress чрез много дълъг коментар

Около 20 процента от всички уеб-сайтове в Интернет са базирани на софтуерната платформа WordPress и дори и най-малката уязвимост в CMS или плъгините за нея привличат вниманието на потребители и специалисти. Финландският компютърен експерт Йоуко Пинонен (Jouko Pynnönen) от компанията Klikki Oy разкри страхотен мега-бъг и показа техническите детайли в края на миналата седмица.

WordPress
WordPress

Това е критична уязвимост тип „нулев ден“, която засяга интегрираната в WordPress система за коментари, която и днес широко се използва в много уеб-сайтове. Оказа се, че ако се публикува достатъчно дълъг коментар (над 64 000 символа) сработва бъг, който позволява изпълняването на външен за уеб-страницата програмен код.

WPress2

Ето един пример за подобен коментар:
<a title=’x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px  AAAAAAAAAAAA…[64 kb]..AAA’></a>

Самият код, предизвикващ изписването на „hello world“ се намира в началото на коментара, който след това е запълнен с еднакви символи. Този код се изпълнява дори и на компютъра на системния администратор.

WPress3

Уязвимостта е актуална за WordPress 4.2 и по-ранни версии. Пачът за този бъг излезе в понеделник, 27-ми април.

Categories: Новости

Появиха се резултатите от първите тестове на браузъра Spartan

Project Spartan, който навярно ще има друго име във финалната версия на ОС Windows 10, получи значителни подобрения. В новата предварителна версия на операционната система в браузъра са направени значителни подобрения – използваният енджин Edge работи значително по-бързо и според последната информация, появила се в уеб-пространството, вече изпреварва по бързина останалите браузъри в някои тестове.

Spartan
Spartan

В най-новата версия на Spartan е включена експерименталната поддръжка на популярната библиотека asm.js, което в комбинация с други подобрения в енджина, осигурява голямото бързодействие на този браузър.

В бенчмарка Octane 2.0, новият Spartan демонстрира около 32 000 точки, а най-различни анализатори коментират, че това е повече, отколкото 64-битовата версия 42 на браузъра Chrome, а нощните компилации на Firefox едва достигат 27 000 точки. Да не забравяме, все пак, че това е предварителна версия на браузъра, в която не е известно на какво ниво е сигурността. Но стъпката по отношение на бързодействието е сериозна, понеже Internet Explorer 11 в Windows 8.1 показва около 17 000 точки.

В HTML5 тестовете новият Spartan набира около 400 точки, Explorer 11 при този тест показва бал от едва 336 точки, а Google Chrome и досега е лидер с 535 точки в този тест.

Categories: Новости

XSS уязвимост засяга множество WordPress плъгини

ICN.bg ви уведомява за множество WordPress плъгини, които са уязвими към Cross-site Scripting (XSS), поради неправилно използване на add_query_arg() и remove_query_arg() функции. Това са популярни функции, използвани от разработчици за модифициране и изпращане на заявки към базата данни през URL адреси в WordPress.

Официалната документация на WordPress (Codex) не даде достатъчно яснота по този въпрос и някои разработчици останаха подведени, че всичко е наред. Те допуснаха, че тези функции филтрират потребителските входни данни, а всъщност това не се случва. Вижте повече за уязвимостта и как да се предпазите.

Списък на засегнатите плъгини:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

Вероятно съществуват и много други освен изброените по-горе. Ако използвате WordPress, ние силно ви препоръчваме да отидете в своя wp-admin dashboard и още сега да ъпдейтнете всички по-стари плъгини.

Ако сте разработчик, проверете своя код, за да видите как използвате тези две функции:

add_query_arg

remove_query_arg

Препоръчваме ви да използвате esc_url() (or esc_url_raw()) функции за тях.

Време за ъпдейтване!

Ако използвате някои от тези плъгини уверете се, че сте ги ъпдейтнали. Ето и няколко трика, които ще намалят риска от заплахи и ще помогнат за подобряването на вашата сигурност:

 

1. Подобрявайте. Ъпдейтвайте своя сайт.

2. Ограничавайте. Ограничавайте контрола за достъп. Ограничете своята wp-admin директория само до бял списък с IP адреси. Давайте администраторски достъп само на потребители, които наистина се нуждаят от него. Не влизайте като администратор, ако няма да извършвате администраторска дейност.

3.Мониторинг. Преглеждайте вашите влизания. Това ще ви помогне да разберете какво се случва с вашия сайт.

4.Намалете своя обхват. Използвайте само тези плъгини или теми, от които вашият сайт наистина има нужда.

5.Следете. Съветваме ви да сканирате своя сайт за компрометирани или изтекли софтуери.

6.Защита. Ако имате IPS (Intrusion Prevention System) или WAF (Web Application Firewall), те могат да ви помогнат да избегнете най-често срещаните форми на XSS exploit. Може да изпробвате и нашия CloudProxy.  Други начини за предотвратяване на този проблем е open source route, OSSEC, Snort и ModSecurity.

Categories: Новости

Доплащане за хостинг

coinsВНИМАНИЕ!

След изтичане на срока за който е платена услугата, Вие губите достъпа до сайта си. Доставчиците на тази услуга, обикновено дават още няколко дни, в които може да възобновите услугата. Домейна НЕ СЕ ГУБИ, а само файловете на сайта ви. При не плащане сайтът НЯМА да работи.

Categories: Въпроси Етикети:,

Доплащане за домейн

coinsВНИМАНИЕ!

След изтичане на срока за който е платена услугата, Вие губите правата върху запазеното име. Пропуснали веднъж срока за плащане Вашият сайт се спира автоматично от доставчика на услугата. Ако се плати (и това е възможно физически) услугата се възобновавя. При не плащане сайтът НЯМА да работи.

Categories: Въпроси Етикети:,

Вие ли ще преведете страниците ми на втория език?

translateНе, ние ще поместим информацията, която вие ни предоставите, при това според условията записани в договора между нас и Вас. Това че сте си поръчали модул за езичност не означава, че системата сама автоматично ще преведе сайта ви, нито пък че ние или наш служител ще преведе наименованията на бутоните или съдържанието им. Първоначално всички полета на езичния модул идват в предварително надписани само указателни текстове.

Kак стои въпроса с надграждането на сайта?

upgradeСайтът винаги може да се надгражда. Но това струва съответната си цена. За да намалите цената на надграждането на сайта ви, е хубаво още в процеса на проектиране да предвидите възможност за надграждане. Ако сайта ви се проектира с тази възможност (което в общия случай означава малко по-скъп сайт), то себестойността на надграждането може да се сведе до нула. Ако не се проектира (варианта с по-евтин или статичен сайт), то надграждането може да излезе по-скъпо дори и от самия сайт.