Segunda-feira, Junho 26, 2006

Cartão de crédito sem contato?

Sim, a VISA parece estar trabalhando com algo do tipo. O uso da tecnologia de RFID me assustou um pouco. Espero que seja um misto de smartcard (com mecanismos de challenge-response para reduzir o risco de interceptação de dados) com RFID, e não apenas uma leitura de dados como os que existem na tarja magnética via RFID. Se for isso vai ser uma festa de clonagem.

posted by Augusto at 11:20 AM 0 comments  

Quinta-feira, Junho 22, 2006

Free security tools for applications!

A IBM está disponibilizando de graça algumas ferramentas para ajudar desenvolvedores a criar código seguro ou implementar funcionalidades de segurança. Entre elas há uma biblioteca para comunicação encriptada baseada no SSH. Legal.

Mais detalhes na notícia da Network World

posted by Augusto at 11:47 AM 1 comments  

Segunda-feira, Junho 19, 2006

0-day do Excel

Hoje já temos divulgada uma vulnerabilidade sem correção para Excel. Semana passada foi publicado o lote mensal de correções da Microsoft. Como já não é a primeira vez, podemos ver que os chatos de plantão que gostam de aporrinhar a MS adotaram uma tática simples. Logo depois da data de publicação das correções, publicam uma vulnerabilidade. Isso faz com que os sistemas fiquem vulneráveis por um mês àquele problema ou força a MS a fugir de seu esquema mensal. É uma vulnerabilidade do esquema mensal que não tem como resolver.

Atualmente a MS monitora o que resulta da divulgação para ver se lança ou não uma correção fora do ciclo. Se a coisa fica preta, lança, se não, espera. Não vejo muito o que fazer além disso. Talvez o lançamento de "patches sem garantia" ou "beta patches" antes, para os mais preocupados, seja uma forma de mitigar o problema.

posted by Augusto at 2:35 PM 0 comments  

Quinta-feira, Junho 01, 2006

Tiny URL

Sempre olhei de forma contrariada para o esquema do Tiny URL. Nele você pode criar uma URL simples que redireciona quem a acessa para uma URL "complicada". O problema é justamente que você não vê o que tem na URL original, o que pode facilitar phishings e tentativas de exploits contra browsers (ou "helpers" para tratar formatos diversos de arquivos).

Soube através de uma mensagem no cisspforum que o tinyurl.com tem uma opção de "preview", no qual você habilita para o seu browser (através de um cookie persistente) um modo que mostra a URL de destino antes de chamá-la. Para ativá-lo basta acessar:

http://tinyurl.com/preview.php

posted by Augusto at 2:51 PM 0 comments