Prace nad integracją rozpoczęto kilka miesięcy temu. LinkedIn zaczął współpracować z najbardziej znanymi dostawcami usług IT dla biznesu ? firmami takimi jak Microsoft, IBM czy Research in Motion (smartfony BlackBerry). Testowano funkcjonalność oraz skalowalność nowej platformy. Ostatecznie podjęto decyzję o otwarciu się na wszystkie witryny.

?(?) Aplikacje biznesowe potrzebują społecznościowego kontekstu. LinkedIn staje się oczywistym wyborem jako dostawca tego typu usług. Trudno wyobrazić sobie biznesową usługę, która nie skorzystałaby na integracji z tym serwisem? ? powiedział Roger Neal, starszy wiceprezes i generalny menedżer BusinessWeek Digital.

Głównym celem administratorów LinkedIn jest udostępnienie narzędzia do zarządzania relacjami i kontaktami użytkownikom zewnętrznych aplikacji. Pierwszym krokiem dewelopera powinno być wypełnienie formularza na stronie głównej projektu. Aby zapewnić maksymalną kompatybilność, wykorzystywany jest standard OAuth.

Cała procedura trwa nie więcej niż 15 minut. Pierwsze duże projekty bazujące na nowej platformie pojawią się zapewne w ciągu paru tygodni. Wśród twórców znajdą się programiści, którzy przez ostatnie miesiące testowali usługę. Wsparcie dla LinkedIn wprowadzi między innymi TweetDeck ? popularny klient Twittera.

Strona główna projektu znajduje się na stronie developer.linkedin.com.

Źródło: blog.linkedin.com

Second Life Enterprise jest chronione przez resztą świata przez wydajną zaporę sieciową W ten sposób klienci otrzymują kolejny poziom zabezpieczenia, który ma uchronić cenne korporacyjne dane przed przeciekami i pozwolić biznesowym użytkownikom na potajemne narady z dala od ciekawskich.

Wirtualne światy dla biznesu mogą być instalowane na własnych serwerach zainteresowanych firm (lub w wynajmowanym centrum danych). Pozwalają one na pomieszczenie maksymalnie 800 awatarów w jednym regionie i jednoczesne uruchomienie do ośmiu takich regionów.

Second Life to nie tylko zabawa: wirtualne światy znajdują zastosowanie m.in. w
Northrop Grumman, British Petroleum, IBM, Dell czy Cisco.

Biznesowe Second Life radzi sobie z obsługą protokołu LDAP. Ułatwia to tworzenie i weryfikowanie kont. Dodatkowo administratorzy gry uruchomią sklep z aplikacjami, w którym firmy zakupią gotowe elementy wirtualnych światów. Będą one potem integrowane ze środowiskiem w korporacji. Usługa ruszy w pierwszym kwartale 2010 roku.

Biznesowe Second Life ma przenieść współpracę online na zupełnie nowy poziom. Pracownicy mogą spotykać się w wirtualnych salach konferencyjnych, brać udział w zdalnych szkoleniach, a nawet organizować w wolnym czasie imprezy integracyjne obejmujące zasięgiem filie oddalone od siebie o setki kilometrów.

Źródło: ReadWriteWeb.com, work.secondlife.com

Rozwiązanie ma ułatwić nadzorowanie różnych serwisów internetowych i zaoszczędzić sporo czasu deweloperom czy administratorom. Pierwotnie Jentla została zaprezentowana podczas konferencji JoomlaDay, która odbyła się niedawno w Melbourne. Pakiet jest skierowany przede wszystkim do średnich firm, które nie potrzebują korporacyjnych rozwiązań, ale mają już kilkanaście stron WWW.

Jentla pozwala kontrolować do tysiąca serwisów internetowych. Umożliwia klonowanie witryn i wykorzystywanie dotychczasowych stron jako gotowych wzorów, na bazie których da się tworzyć kolejne projekty. Aplikacja jest bardzo elastyczna ? administrator może instalować lub usuwać różne wtyczki czy moduły w sytuacji konfliktowej. Jentla automatycznie przechowuje stare wersje serwisów, co umożliwia przywracanie ich na żądanie.

Schemat zarządzania projektami w ramach Jentli.

W ramach Jentli można także znaleźć funkcje pozwalające czytelnikom (klientom) na recenzowanie czy modyfikowanie zawartości. Z pakietem zintegrowano biblioteki wideo oraz moduł reklamowy. Produkt Zac-Ware’u zawiera także opcję powiadamiania administratora o najważniejszych zmianach i wydarzeniach oraz funkcję automatycznego archiwizowania permanentnie usuniętych komponentów.

Jentla zbliża Joomlę! do modelu ACL ? Access Control Levels ? dostarczając hierarchię globalnej administracji, moderatorów, redaktorów i dostawców treści.

Źródło: CMSwire.com

Co najbardziej zagraża CMS-om?

W znacznej większości wypadków, błędy wykrywane w kodzie portali są wariantami kilku typowych luk. Zagrożenia również są wciąż te same ? nieautoryzowany dostęp do zasobów zgromadzonych w wewnętrznej części serwisów. W zależności od wersji luk, można podzielić je na te, które wyłącznie umożliwiają odczytanie danych, czyli wydobycie ich z powiązanych z serwisem baz danych oraz na takie, które umożliwiają ich modyfikację.

Innym kryterium podziału, może być zasada działania exploitów. Część z nich stara się wykorzystać ataki Cross Site Scripting w celu przejęcia praw i danych sesji obecnie lub uprzednio zalogowanego użytkownika (bądź administratora), a następnie uzyskać dzięki temu możliwość poruszania się w systemie jako ten użytkownik. Inną grupę stanowią zaś luki, które stosują boczne wejścia (niedopatrzenia w kodzie modułów lub szczeliny w mechanizmach ochronnych portalu/sklepu), dzięki którym intruz może wyłowić dane ? np. odgadując położenie pożądanego pliku o zadanej nazwie i typowej dla danego rozwiązania lokalizacji w drzewie katalogów.

Osobną grupę zagrożeń stanowią wstrzyknięcia. Zasadniczo wyróżnia się tu dwie wersje ? atak na sam kod strony WWW, traktowanej jako zbiór skryptów HTML, JavaScript czy XSD (HTML script injection) oraz ataki wstrzyknięć poleceń SQL (SQL injection), które są wymierzone w bazę danych. W wypadku obu rodzajów wstrzyknięć w ich wyniku najczęściej może dojść do wydobycia danych ? czy to wprost z bazy poprzez zmianę zapytań SQL, czy też poprzez manipulację skryptami, które dadzą pośrednie odpowiedzi na zadawane przez napastnika pytania. Rzadziej dochodzi do ataków zmierzających do zmiany danych (np. dopisania użytkownika, zmiany hasła już istniejącego konta czy podmiany powiązanego z kontem adresu e-mail w celu późniejszego zmienienia haseł dostępu). Takie wypadki bazują na błędach SQL injection, które pozwalają na dokonanie szerszych zmian w poleceniach, poprzez połączenie typowych zapytań SQL do bazy typu SELECT z poleceniami INSERT lub UPDATE.

Ostatnia popularną metodą jest atak podłączenia pliku z kodem. Taki atak przeważnie łączy w sobie wcześniej wspomniane scenariusze, wykorzystując możliwość umieszczenia kodu skryptów wykonywanych po stronie serwera (PHP, ASP, Pyton, Ruby itp.) z atakiem wstrzyknięcia kodu po stronie przeglądarki. Może być ona wówczas zmuszona do pobrania z innej lokalizacji pliku zawierającego kod, a następnie dzięki błędom walidacji parametrów przesłanych w danych sesji, przekazania ich do kodu po stronie serwera.

Luki w oprogramowaniu

Na liście nowych luk i podatności znalazły się popularne moduły dla CMS-ów Drupal i Joomla. W wypadku systemów Moodle i XOOPS, luki znajdują się w ich głównym kodzie.

Moduł Drupal Project Module 5.x nie weryfikuje poprawnie rodzaju plików wgrywanych na serwer. Pozwala to przesłać pliki skryptów lub inne typy plików niż jest to oczekiwane. Drugim błędem jest również błąd walidacji ? tym razem mogący prowadzić do ataku Cross Site Scripting i wydobycia danych o sesji zalogowanych użytkowników. Nowa wersja 5.x-1.3 nie zawiera już wspomnianych podatności.

Drugim podatnym modułem Drupala jest ImageField Module 5.x, który podobnie jak poprzednik, pozwala przesłać inny typ pliku graficznego. Może to posłużyć do ?wyexploitowania? kodu PHP służącego do obsługi grafiki.

Kolejnymi wadliwymi modułami są dwie wersje 5.x i 6.x Drupal Views Bulk Operations Module, które dzięki luce w kodzie funkcji theme_views_bulk_operations_confirmation() pozwalają na atak Cross Site Scripting. Poprawne wersje to odpowiednio 5.x-1.3 i 6.x-1.4.

Kod systemu Moodle, zawiera serię niemal wszystkich wspomnianych w pierwszej części luk ? znajdziemy tu podatności na ataki Cross Site Scripting, możliwość nieautoryzowanego wydobycia wrażliwych danych i eskalację uprawnień kont działających w ramach portalu. Błędy dotyczą wersji Moodle 1.6.x, Moodle 1.7.x, Moodle 1.8.x oraz Moodle 1.9.x. Odpowiednio poprawione wersje są dostępne i oznaczone: Moodle 1.9.4, 1.8.8, 1.7.7, i 1.6.9.

System XOOPS jest podatny na ataki spreparowanymi wartościami parametru mydirname, który może być przekazywany do modułów oninstall.php, onupdate.php, notification.php oraz onuninstall.php w folderze xoops_lib/modules/protector. Wartości nie są odpowiednio weryfikowane i umożliwiają przesłanie kodu PHP, który zostanie uruchomiony poleceniem eval().

Ostatnią podatną wersją jest moduł Flash Magazine Deluxe dla Joomli!. Jest on podatny na atak SQL injection. Wartość przekazana do pliku index.php poprzez parametr mag_id przy jednocześnie włączonej opcji option = com_ flashmagazinedeluxe umożliwia przesłanie poleceń SQL, które zostaną scalone z kodem SQL poprawnych zapytań samej Joomli!. W wypadku tej podatności w Sieci dostępny jest już publicznie exploit wykorzystujący lukę.

Jak się zabezpieczyć?

Dla tych modułów i systemów które dysponują nowszymi poprawionymi wersjami, należy je zainstalować lub zaktualizować. W wypadku pozostałych, gdzie jedyną możliwością jest własnoręczna edycja kodu, warto pamiętać o kilku dość prostych środkach, które pozwalają uniknąć podatności.

• Należy sprawdzać każdą daną, jaką może wprowadzić użytkownik (bezpośrednio w formularzach) lub w adresie URI, w sygnaturze przeglądarki, polu odniesienia źródła (reffer) itd.
• Podczas przekazywania parametrów do zapytań SQL, warto sprawdzać je pod kątem występowania w nich znaków i ciągów, które niemal zawsze wiążą się z próbami modyfikacji zapytania ? INNER JOIN, LEFT JOIN, UNION itd.
• Dane plików wrażliwych (logi, pliki tymczasowe powstające podczas przetwarzania danych na serwerze) powinny być nieosiągalne z zewnątrz serwera przez innych użytkowników niż właściciel procesu samego serwera i/lub interpretera. Ponadto pliki takie powinny być składowane poza drzewem katalogów osiągalnych przez serwer WWW.
• W wypadku PHP warto pamiętać, aby wyłączać feralną możliwość automatycznego pamiętania danych w sesji ? register_globals. W znaczącej części exploitów podłączających zewnętrzny kod, funkcja ta odgrywa kluczową rolę, pozwalając na zapis danych do sesji z zewnątrz bez jakiejkolwiek walidacji.

Źródło: InfoProf.pl

Jeśli nie mamy takich sterowników (a mieć ich nie powinniśmy) to możemy wyłączyć ten napis.

W tym celu należy uruchomić wiersz polecenia z uprawnieniami administratora.

Czyli klikamy Start\ wszystkie programy \ akcesoria i na wiersz polecenia klikamy prawym klawiszem myszy, wybieramy Uruchom jako administrator

Gdy uruchomi się okno należy wpisać poniższe polecenie (zatwierdzamy je klawiszem enter)

bcdedit.exe /set testsigning off

Teraz po ponownym uruchomieniu systemu napis powinien zniknąć.

Pozdrawiam

Bogdan Markowicz

źródło: http://stawikpiast.spaces.live.com/blog/cns!57DCB34AF857B4AB!1140.entry

We wpisie umieszczonym na blogu Silverlight Team, Microsoft pisze: ?Ten SDK łączy moc WWW, technologii klienckich i społecznościowych, aby umożliwić milionom programistów przekształcanie ich wyobraźni w aplikacje nowej generacji?.

Za tymi barwnymi słowami stoi całkiem pokaźny zbiór przykładów, kontrolek i szablonów, które pozwalają wykorzystać Facebooka w projektach na bazie Silverlighta, Windows Presentation Foundation, ASP.NET, ASP.NET MVC czy Windows Forms.

Prace nad SDK dla Facebooka trwały od 2007 roku. W kwietniu roku 2009 udało się pokazać podczas Technology Tasting Event dwie zbudowane za jego pomocą aplikacje dla .NET i Silverlighta ? przeglądarki zdjęć, które uzyskiwały do fotografii z Facebooka dostęp poprzez jego wykorzystujące architekturę REST Open Stream API.

Popularność największego serwisu społecznościowego świata skrzyżowana z wygodą pracy w microsoftowych środowiskach deweloperskich powinny zaowocować prawdziwym wysypem nowych aplikacji. Nawet jeśli tylko kilka procent z nich wyjdzie poza poziom przysłowiowego ?rzucania owcą w kolegę/koleżankę?, to i tak może to tylko jeszcze bardziej umocnić monopol Facebooka jako społecznościowej platformy aplikacyjnej.

Microsoftowy SDK dla Facebooka można pobrać ze strony msdn.microsoft.com/en-us/windows/ee388574.aspx.

Źródło: team.silverlight.net

Jay R. Galbraith, założyciel firmy Galbraith Management Consultants, napisał w artykule dla serwisu CNN Money: ?Sukces Windows 7 może przekształcić Microsoft w General Motors branży IT?. Firma stanie się synonimem anachronizmu (tak, jakby już teraz nim nie była) i zacznie się walić.

Zdaniem eksperta, Redmond powinno zainteresować się przede wszystkim aplikacjami na bazie chmur. Zamiast fiksować się na desktopach, postawić na nowoczesne i modne platformy sprzętowe ? smartfony, netbooki czy MID-y. Sukces Windows 7 zatrzyma jednak widoczne ostatnio słabe trendy rozwojowe w tej dziedzinie i sprawi, że Microsoft nie będzie potrafiło odejść od klasycznego duetu desktop/laptop.

W kolejnych latach znacznie wzrośnie udział alternatywnych rozwiązań sprzętowych, głównie mobilnych. Wtedy okaże się, że Microsoft ma dobry system operacyjny dla dużych komputerów. Nie jest jednak w stanie konkurować z iPhone OS-em, Androidem, Moblinem czy Chrome OS-em.

Galbraith najwyraźniej nie traktuje Windows Mobile jak godnego rywala dla nowej fali mobilnych systemów operacyjnych. Aby sytuacja w Redmond się zmieniła i pojawiły się nowe, uwzględniające cywilizacyjne trendy rozwiązania, trzeba pozbyć się ?menedżerów starej daty?. Takie oczyszczenie stanie się jednak możliwe dopiero wtedy, gdy Microsoft poniesie spektakularne straty.

Źródło: computerworld.com

Jak pisze autor odkrycia, Samir Meghani z bloga Bountii.com, Korzystając z techniki, która jest ?oczywista dla każdego, kto zapoznał się z Bing Cashback SDK?, atakujący może łatwo sfałszować zamówienie zwrotu pieniędzy, co finalnie obciąża finansowo nie tylko sprzedawcę, ale też uniemożliwia prawdziwym kupującym odzyskanie pieniędzy.

Problem tkwi w mechanizmie informowania o transakcjach za pomocą tzw. śledzącego piksela (tracking pixel) ? który dodawany jest na stronę potwierdzenia zamówienia. Przesyła on detale transakcji do Binga. Okazuje się, że praktycznie każdy może taki piksel podrobić i przesłać do wyszukiwarki Microsoftu fałszywe transakcje. Prawdopodobnie także (choć tego autor odkrycia solidnie nie przetestował), atakujący jest w stanie także zablokować raportowanie transakcji dla uczciwych użytkowników, sprawiając, że zostaną one całkowicie przez Bing zignorowane. Efektem będzie niewątpliwie kilka dni koszmaru dla BOK-u sprzedawcy.

O swoim odkryciu Meghani napisał na łamach bloga w zeszłym tygodniu. Jednak zamiast podziękować autorowi za odkrycie i analizę problemu, a następnie załatać tę poważną lukę, Microsoft nasłał na niego kancelarię prawną Orrick. W przesłanym do blogera liście Redmond żąda natychmiastowego usunięcia blogowego wpisu, który rzekomo jest naruszeniem kalifornijskiego prawa, zaprzestania rozpowszechniania jego treści we wszelkich innych lokalizacjach i grozi dalszymi działaniami prawnymi, jeśli autor się do tego nie dostosuje.

Jednocześnie Microsoft zablokował konto Samira Meghaniego w programie Cashback, bez podania żadnego uzasadnienia. Bloger pisze, że zdecydował się wypełnić żądania korporacji, ?bo nie lubi zadawać się z prawnikami? ? jednak wciąż, w nietechniczny sposób, będzie pisał o odkrytej luce. Dziwi go tylko to, ?jak wiele trudu zadał sobie Microsoft, aby zlikwidować informację o luce, która jest oczywista dla każdego, kto przeczytał dokumentację?.

Czyżby ?Security through Obscurity? było znowu modnym hasłem? Jak wiadomo jednak, w Sieci nic nie ginie. Na razie z zakazanym przez Microsoft wpisem można zapoznać się dzięki cache samego Binga.

Źródło: bountii.com/blog

?Uruchomienie IDN-ów w ramach puli domen .EU to duży krok naprzód dla firm oraz osób prywatnych w Europie. Implementacja będzie dotyczyć 23 oficjalnych języków Unii Europejskiej ze wszystkimi znakami niełacińskimi. Warto zaznaczyć, że nie planujemy fazy Sunrise. Dlatego wszyscy zainteresowani, głównie właściciele znaków towarowych, powinni już teraz rezerwować swoje adresy? ? powiedział dyrektor generalny EuroDNS, Xavier Buck.

Rejestracji można dokonywać za pośrednictwem oficjalnej strony internetowej firmy. Z pełną listą obsługiwanych niełacińskich znaków można znaleźć tutaj. Są wśród nich wszystkie znaki wykorzystywane przez alfabet języka polskiego i mnogość innych, dość nietypowych liter i ligatur ? zaskakuje jednak nieobecność niemieckiego ß (scharfes es).

?Umiędzynarodowione domeny są szczególnie ważne dla puli .EU? ? potwierdził dyrektor generalny EURidu, Marc Van Wesemael. ?EURid wspiera wszystkie 23 oficjalne języki Unii Europejskiej (?). Promowanie rozwoju IDN-ów jest dla nas naturalne? ? dodał.

Warto pamiętać, że nie można łączyć w ramach jednego adresu znaków pochodzących z różnych zbiorów narodowych. Niektóre elementy są po prostu tak bardzo do siebie podobne, że można by ich od siebie nie odróżnić. Maksymalna długość nazwy domeny to 63 znaki ? po konwersji na format ACE obsługiwany przez system DNS. Więcej informacji na temat technicznych ograniczeń można znaleźć na stronie www.eurid.eu/en/eu-domain-names/idns-eu/idn-technical-limitations.

Normalne rejestracje umiędzynarodowionych domen .eu rozpoczną się 10 grudnia 2009 roku.

Źródło: EuroDNS.eu, EURid.eu, DomainNews.com