|
 |
dissabte, 23 / abril / 2005 |
[Linux.com] Check your DNS records with dig. Una explicació bàsica del funcionament de dig per a verificar la informació del DNS. Explica només el funcionament bàsic; dig és una eina molt potent i amb moltíssimes opcions... així que després de llegir aquest article no està de més que feu un man dig per veure les opcions addicionals.
Per exemple, l'article no explica com determinar la versió i el software utilitzat pel servidor de noms:dig@servidor chaos txt version.bind On servidor és la màquina que executa el servidor de noms i de la que voleu saber quin software fa servir. Per exemple per determinar el nom del programa i la versió que fa servir un dels servidors arrel:dig @k.root-servers.net chaos txt version.bind
; <<>> DiG 9.3.1 <<>> @k.root-servers.net chaos txt version.bind
; (1 server found)
(...)
;; QUESTION SECTION:
;version.bind. CH TXT
;; ANSWER SECTION:
version.bind. 0 CH TXT "NSD 1.2.4"
|
23:22 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
[eWeek] Microsoft Confirms Critical Win2K Flaw. Es confirma l'existència d'una vulnerabilitat crítica a Windows 2000 per a la qual encara no hi ha cap solució.
Software engineers at Microsoft Corp.'s security research center on Thursday confirmed a potentially dangerous security hole in fully patched Windows 2000 systems that could put users at risk of malicious hacker attacks.
Redmond, Wash., software maker was forced to go public about the unpatched vulnerability after a private security research company posted details and proof-of-concept exploit code on the Internet. According to an advisory from Israel's GreyMagic Software, the bug was detected in Windows Explorer, which allows users to navigate through the Windows file system by default. GreyMagic discovered that the preview pane, or Web view, in Windows Explorer could be targeted to launch malicious code on machines running Windows 2000 Professional, Windows 2000 Server and Windows 2000 Advanced Server. Any other application that uses the Web View library under Windows 2000 is also vulnerable, the company warned.
Per solucionar el problema, fins el moment en que Microsoft publiqui una actualització, cal desactivar les carpetes web, anant a Tools -> Folder Options i seleccionar l'opció «Use Windows classic folders».
|
22:07 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
. .'
:`...' `.,' '
`. ' .**. ; ; ':
` ``:`****,' .' :
..::. ``**":.'' `.
.: `: ; `,' :
`: ` : ;
: : : ;
: : : .:
: : :..,' ``::.
`....:..' ..:;''
.: . ...::::
,'''''``:::::::
`::::
`::.
`::
. ,. ::::' ,..
.'.' ``. :: .'.. `.
' .: :: ,'.' .
.' ,' .:::::: ,.' .:::.
.' .' ..:' ::: ., .;' ~
,;::;.::'' ::.:..::'
~ ::;'
::
,:::
|
17:32 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
 El CIS (Center for Internet Security) ha actualitzat el seu benchmark per a Solaris a la versió 1.3. Es tracta d'una guia i un conjunt d'eines per a revisar la configuració de seguretat del sistema operatiu Solaris.
Per un costat tenim la guia, amb versions per a les versions de Solaris fins a la 9 i una nova guia específica per a Solaris 10, així com una eina (que només dóna suport a les versions de Solaris fins a la 9) que permet extreure tota la informació relativa a la seguretat de la configuració del sistema operatiu. Un cop extreta la compara amb la configuració definida al benchmark i crea un informe dels aspectes que no s'ajusten als paràmetres definits.
Els valors de seguretat definits al benchmarks els defineixen la comunitat d'especialitstes en seguretat informàtica i es fan pensant en equips que han de ser productius i alhora oferir un bon nivell de seguretat.
The Benchmark is a compilation of security configuration actions and settings that "harden" Solaris operating systems. It is a CIS Level-IBenchmark – the prudent level of minimum due care for operating system security.
Level-I Benchmark settings/actions:
- can be understood and performed by system administrators with any level of security knowledge and experience.
- are unlikely to cause an interruption of service to the operating system or the applications that run on it.
- can be automatically monitored either by CIS Scoring Tools or by CIS-certified tools available from software vendors.
The CIS Scoring Tool for Solaris provides a quick and easy way to evaluate systems and compare their level of security against the CIS minimum due care security Benchmark. Tool reports guide system administrators to harden both new installations and active production systems. The tool is also effective for monitoring systems to assure that security settings continuously conform with the Benchmark.
L'eina d'anàlisi automatitzada de moment només dóna suport fins a la versió 9, però s'espera que pel juliol ja estarà disponible la versió que dóna podrà ser utilitzada amb Solaris 10.
|
13:36 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
[ZDNet] Sun criticizes popular open-source license. El president de Sun va defensar el codi obert, però simultàniament va criticar amb força la GPL:
Economies and nations need intellectual property (IP) to pull themselves up by their own bootstraps. I've talked to developing nations, representatives from academia and manufacturing companies that had begun to incorporate GPL software into their products, then...found they had an obligation to deliver their IP back into the world," Schwartz said.
The GPL purports to have freedom at its core, but it imposes on its users "a rather predatory obligation to disgorge all their IP back to the wealthiest nation in the world," the United States, where the GPL originated, Schwartz said. "If you look at the difference between the license we elected to use and GPL, there are no obligations to economies or universities or manufacturers that take the source code and embed it in (their own) code."
|
13:25 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
WebScarab és una conjunt d'eines per ajudar en la realització de l'anàlisi de com funcionen les aplicacions que es comuniquen utilitzant el protocol HTTP i HTTPS. Escrita en Java, hauria de funcionar en qualsevol plataforma.
És útil tant per identificar com funciona internament una aplicació client-servidor, per a la identificació de l'origen de problemes de comunicacions o bé per descobrir-hi l'existència de possibles vulnerabilitats de seguretat.
A framework without any functions is worthless, of course, and so WebScarab provides a number of plugins, mainly aimed at the security functionality for the moment. Those plugins include:
- Fragments - extracts Scripts and HTML comments from HTML pages as they are seen via the proxy, or other plugins
- Proxy - observes traffic between the browser and the web server. The WebScarab proxy is able to observe both HTTP and encrypted HTTPS traffic, by negotiating an SSL connection between WebScarab and the browser instead of simply connecting the browser to the server and allowing an encrypted stream to pass through it. Various proxy plugins have also been developed to allow the operator to control the requests and responses that pass through the proxy.
- Manual intercept - allows the user to modify HTTP and HTTPS requests and responses on the fly, before they reach the server or browser.
- Beanshell - allows for the execution of arbitrarily complex operations on requests and responses. Anything that can be expressed in Java can be executed.
- Reveal hidden fields - sometimes it is easier to modify a hidden field in the page itself, rather than intercepting the request after it has been sent. This plugin simply changes all hidden fields found in HTML pages to text fields, making them visible, and editable.
- Bandwidth simulator - allows the user to emulate a slower network, in order to observe how their website would perform when accessed over, say, a modem.
- Spider - identifies new URLs on the target site, and fetches them on command.
- Manual request - Allows editing and replay of previous requests, or creation of entirely new requests.
- SessionID analysis - collects and analyses a number of cookies (and eventually URL-based parameters too) to visually determine the degree of randomness and unpredictability.
- Scripted - operators can use BeanShell to write a script to create requests and fetch them from the server. The script can then perform some analysis on the responses, with all the power of the WebScarab Request and Response object model to simplify things.
|
13:13 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
 No és gens habitual tenir un llibre d'un dels autors que més venen arreu del món disponible únicament en català. Aquest llibre de Dan Brown (l'autor de «El Codi da Vinci» i «Àngels i Dimonis», dos dels llibres més venuts dels últims anys) avui per avui només el podeu trobar als quioscos en versió original i en versió catalana, malgrat ser una novel·la escrita l'any 2001.
Si no us ha agradat cap de les dues novel·les publicades anteriorment d'aquest autor, no cal que compreu aquest llibre. Literàriament és el típic Best seller nord-americà que no passarà pas als anals de la literatura universal. No crec tampoc que tingui aquesta pretensió, sinó simplement la de ser un llibre per passar una bona estona mentre es llegeix.
La temàtica del llibre és força diferent, superficialment, dels dos llibres en el sentit que no surt l'església catòlica per enlloc... però el paper que juga l'església a «El Codi da Vinci» i a «Àngels i dimonis» aquí l'interpreta la NASA, el govern nord-americà i les agències que formen part de les clavegueres del món de la intel·ligència i l'espionatge.
Tot comença amb el descobriment, en mig del gel de Grenlàndia, d'un asteroide que marcarà un abans i un després en la història de la humanitat... i en la trajectòria política del president actual dels Estats Units, que passa un moment molt dolent en la seva campanya per a la reelecció. Per tal de garantir l'autenticitat del descobriment s'envia cuita corrents un grup de quatre científics civils que han de certificar que allò en realitat és el descobriment del mil·lenni.
Però tot es complica. El descobriment d'una sèrie de detalls posarà la vida dels dos protagonistes, la Rachel Sexton i en Michael Tellon, en una cursa frenètica amb la seva vida en un constant perill (oi que us recorda alguna cosa això?).
Tal i com passava a «El Codi da Vinci», al llibre trobareu la descripció d'un gran nombre de coses al·lucinants... que l'autor vol assenyalar com autèntiques. A la primera pàgina hi ha una nota de l'autor on surt aquesta frase:
Totes les tecnologies descrites en aquesta novel·la existeixen.
En arribar al final del llibre us n'adonareu que si això és veritat, podem tremolar.
Un últim detall: es nota que la traducció al català està feta cuita corrents... ja que hi ha un bon nombre de termes que demostren que no s'ha fet una revisió lingüística correcta: al llibre trobareu diversos barbarismes.
Títol: El gran engany («Deception Point»)
Autor: Dan Brown.
Traducció: Xavier Garcia Muniesa, Librada Piñero García i Xavier Solé Muñoz
Editorial Empúries
1a edició (març 2005)
539 pàgines
ISBN 84-9787-101-4
|
00:11 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
© Copyright 2003-2005 Xavier Caballe.  . Si no s'indica expressament el contrari, el material publicat en aquest weblog es distribueix d'acord amb la llicència Creative Commons. El contingut és responsabilitat única i exclusivament del seu autor i no té cap relació amb les seves activitats professionals.
|
|
