Firma AdaCore udostępniła darmową wersję języka SPARK, będącego dodatkiem dla programistów Ada tworzących aplikacje do zastosowań, w których poprawność działania kodu jest krytyczna.

SPARK jest językiem oraz zbiorem narzędzi wspomagających automatyczne dowodzenie i weryfikację poprawności kodu źródłowego pisanego w Adzie. Adnotacje przeznaczone dla SPARK są dodawane w postaci komentarzy i np. opisują oczekiwane wyniki działania funkcji lub zakresy zwracanych wyników.

SPARK jest dostępny w dwóch wersjach - komercyjnej oraz darmowej (SPARK GPL), przeznaczonej dla środowisk akademickich oraz twórców darmowego oprogramowania. Można go pobrać ze strony AdaCore Libre.

Dell poinformował klientów, którzy zakupili jedną z wersji serwerowych płyt głównych PowerEdge R410 o konieczności interwencji serwisu w związku z wykryciem na części płyt oprogramowania szpiegowskiego.

Program W32.Spybot.worm w jakiś sposób trafił na pamięć flash wykorzystywaną przez oprogramowanie do zdalnego zarządzania płytą stanowiące część firmware. Według Della ryzyko jest niewielkie, bo program nie jest w żaden sposób uruchamiany przez firmware.

Ryzyko zarażenia występuje jedynie przy aktualizacji systemu z wykorzystaniem Unified Server Configurator (USC), który korzysta z zainfekowanego flasha. Oczywiście, możliwość infekcji dotyczy wyłącznie systemów Windows.

Skala zjawiska jest również stosunkowo niewielka, dotyczy bowiem wyłącznie płyt R410 wysyłanych do klientów w ramach gwarancji (replacement). Dell kontaktuje się ze wszystkimi klientami, którzy otrzymali potencjalnie zarażone płyty i oferuje aktualizację firmware, która usunie zagrożenie.

Ramki to jedna z tych funkcji HTML, które z powodzeniem są wykorzystywane do coraz to nowych ataków na użytkowników aplikacji webowych. Dla ochrony przed atakami takimi jak Clickjacking większość stron implementuje krótki kod JavaScript, którego zadaniem jest sprawdzenie czy aplikacja działa w głównym oknie przeglądarki ("framebuster"). Jeśli nie, to próbuje do niego wrócić.

Typowy kod "framebuster" wygląda następująco:

<script language="javascript" type="text/javascript">
if (top != self)
{
top.location=self.location;
}
</script>

Niestety, opublikowana kilka dni temu praca badaczy z uniwersytetów Stanford i Carnegie Mellon dowodzi, że ta technika jest już niewystarczająca. Co gorsza, przytaczane przez nich przykłady pochodzą z sieci co dowodzi, że nowe techniki Clickjackingu są już wykorzystywane w praktyce.

Badacze proponują poprawioną wersję skryptu "framebuster", która ma chronić przed opisanymi atakami. Różni się ona głównie tym, że strona jest domyślnie "niewidoczna" i dopiero "framebuster" włącza jej widoczność. Jeśli nie zostanie on wykonany - a to jest celem atakujących - to strona pozostanie niewidoczna i atak się nie powiedzie:

<style> html{display : none ; } </style> <script>
if( self == top ) {
document.getElementsByTagName("body" )[0].style.display = 'block';
} else {
top.location = self.location ;
}
</script>

Dodatkową ochronę może zapewnić funkcja X-Frame-Options wprowadzona oryginalnie przez Microsoft w przeglądarce Internet Explorer 8. Jej zadaniem jest właśnie ograniczenie ataków Clickjacking (implementuje ją także firefoksowy NoScript). Wystarczy, że aplikacja wystawi w odpowiedzi HTTP taki nagłówek by przeglądarka uniemożliwiła osadzenie jej w ramce:

X-Frame-Options: deny

Jak to działa w praktyce można przetestować tutaj (strona nie powinna się załadować w MSIE8 i Firefoksie z NoScript).

Autorzy aplikacji webowych o zwiększonych potrzebach dotyczących bezpieczeństwa mogą także korzystać z Content Security Policy.