Если взять фрейм и в нем войти в вк (Через csrf)
И если в ВК, в которое вошли будет уже стоять приложение OAuth от пикабу
То если сменить src фрейма на http://pikabu.ru/oauth.php?type=vk
То привяжется к аккаунту ВК, в которое мы вошли через фрейм
Так-же после этого можно выйти из вк
Решение: Добавить форму "Вы дествительно хотите привязать {VK_NAME} к своему аккаунту?"
Кстати X-FRAME-OPTIONS не работает через meta тег (Уже давно)
БМ молчит
#myextralife@likecomics
Данный шаг упростит исследователям процесс поиска уязвимостей.
Компания Apple впервые за всю историю существования своей мобильной операционной системы раскрыла разработчикам код ее ядра – мера, призванная улучшить безопасность iOS. В Купертино никак не комментируют данный шаг. Тем не менее, согласно сообщению Массачусетского технологического института, код ядра выпущенной на прошлой неделе первой бета-версии iOS 10 для разработчиков оказался незашифрованным.
Предполагается, что раскрытие кода ядра упростит исследователям процесс обнаружения уязвимостей. Кроме того, теперь компаниям будет сложнее держать в секрете применяемые ими техники обхода механизмов безопасности, реализованных в iPhone и iPad, уверены эксперты.
По словам ИБ-эксперта Джонатана Здзиарски (Jonathan Zdziarski), подобный шаг имеет смысл в виду разгоревшегося между Apple и ФБР недавнего конфликта. Напомним, бюро требовало от компании оказать содействие в разблокировке iPhone террориста из Сан-Бернардино, однако Apple напрочь отказалась помогать, опасаясь создания юридического прецедента. Более того, в Купертино заявили о намерении реализовать в iOS дополнительные меры безопасности. В итоге ФБР взломало устройство, проэксплуатировав купленную у третьей стороны уязвимость. Раскрытие кода ядра существенно ударит по бизнесу хакеров, промышляющих продажей уязвимостей, считает Здзиарски.
«В целом, прозрачность очень важна для безопасности, – цитирует BBC профессора Университетского колледжа Лондона Стивена Мердока (Steven Murdoch). – Хорошо оснащенные атакующие, например, правительственные спецслужбы, и так всегда могли находить уязвимости. Несмотря на то, что данный шаг со стороны Apple облегчает им задачу, он также упрощает процесс поиска уязвимостей для менее подготовленных исследователей».
Личные данные граждан США были обнаружены в открытом доступе.
В декабре прошлого года стало известно об огромной утечке личных данных избирателей в США. Личные данные 191 млн человек оказались в открытом доступе из-за некорректной настройки СУБД.
В этот раз ситуация точно такая же. Утечку обнаружил тот же исследователь Крис Викери (Chris Vickery) из MacKeeper. На одном из серверов в облаке Google была обнаружена некорректно настроенная база CouchDB. В открытом доступе оказались личные данные 154 миллионов американских избирателей. База содержала имена, адреса проживания, телефоны, email-адреса, возраст, пол, политические предпочтения, информацию о владении оружием, национальность, информацию об участии в предыдущих выборах и ссылку на профиль в Facebook.
Исследователи предположили, что утечка могла произойти по вине компании L2, специализирующейся на утилизации подобных данных. Викери связался с представителями этой компании и сообщил им об утечке. Через несколько часов доступ к базе данных был закрыт.
В настоящий момент неизвестно, кто именно допустил утечку и кто, кроме Викери, заполучил доступ к этим данным.
Новый закон начнет действовать на территории России с 1 июля 2016 года.
Государственная Дума РФ приняла в двух окончательных чтениях проект закона, обязывающий госслужащих сообщать руководству о своих публикациях в интернете. Отныне государственные и муниципальные служащие, а также претенденты на данные должности должны предоставлять начальству адреса интернет-ресурсов, где они размещали общедоступную информацию, и данные, с помощью которых их можно идентифицировать. Госслужащие также обязаны разрешать работодателю проверять предоставляемые ими сведения.
Принятый Госдумой документ обязывает претендентов на должность государственного или муниципального служащего отчитываться о своих страницах в соцсетях и публикациях в чатах и на форумах за последние три года до поступления на службу. Соответствующие положения будут внесены в законы о государственной гражданской службе РФ и о муниципальной службе в РФ, сообщает ТАСС.
Лица, уже занимающие пост госслужащего, обязаны сообщать адреса ресурсов, где они размещали персональную информацию, в кадровые департаменты каждый год до 1 апреля. В обязанности работодателя будет входить обработка полученных сведений. Новый закон начнет действовать на территории РФ с 1 июля 2016 года.
Google хочет ликвидировать пароли. Компания разработала проект Abacus – система, которая призвана сделать пароли устаревшим явлением и обезопасить Ваши устройства в десять раз больше, чем сенсор отпечатков пальцев . Есть ли в таком подходе недостатки? Эта новая система конфиденциальности исходит из того, что знает о владельце смартфона практически все. Эта новая система безопасности немного… жутковата.
Чтобы избавиться от шаблонов разблокировки, паролей или сканеров отпечатков пальцев на смартфонах, Google предложил «надежный показатель», который будет рассчитываться, используя Ваши персональные мобильные устройства, и на основании которого будет приниматься решение, должно ли устройство быть разблокировано или нет.
Для расчета этого показателя, смартфон будет использовать всю информацию о пользователе: привычные движения, скорость печати, местоположение и даже биометрические данные, такие как голос или распознавание лица. В целом, используя комбинацию такой информации, смартфон будет знать, является ли человек, который пытается разблокировать устройство, его владельцем.
Для достижения поставленных целей Google должен постоянно отслеживать использование Вашего смартфона. За Вашими сотрудниками будут шпионить круглосуточно с их персональных мобильных устройств, пока проект Abacus будет делать их цифровую жизнь более безопасной и комфортной. С помощью проекта Abacus вся Ваша персональная информация будет в руках Google.
Когда Ваши приложения шпионят за Вами…
Использование этой системы будет осуществляться не только для разблокировки устройств с Android, но разработчики пошли еще дальше: Google заявил, что они выпустят API, в результате чего друге разработчики смогут использовать проект Abacus в качестве метода идентификации в сторонних приложениях. Дни для паролей и двухэтапной авторизации сочтены. Теперь не только Google получит доступ к информации о пользователе, но и любая компания, использующая проект Abacus, также будет в состоянии использовать ее для системы безопасности.
Проблема с проектом Abacus заключается не только в том, что Google и другие компании смогли бы получить доступ к данным, собираемым с телефонов, но они также смогут шпионить за нами в реальном времени. Пароли перестанут быть целью кибер-атак. Новая цель для кибер-преступников будет заключаться в том, чтобы получить огромные объемы персональной информации, которая может быть доступна о Вашей компании и Ваших сотрудниках.
Google принимает меры, которые могут стать хорошим дополнением к системе компьютерной безопасности, но важно помнить, что они также повышают вероятность кибер-атаки, получая доступ к такому огромному объему персональных данных пользователей. Кибер-преступники постоянно улучшают свои навыки и подвергают Вас риску, поэтому крайне важно защитить компанию с помощью самых передовых решений кибер-безопасности.
Оригиналы статьи:
- http://www.pandasecurity.com/mediacenter/security/project-ab...
- http://www.securitylab.ru/blog/company/PandaSecurityRus/2982...
