В свете последних обнаруженных уязвимостей #Spectre и #Meltdown для #Chrome уже нашёлся эксплойт спекулятивного исполнения команд из JavaScript-кода. Поэтому в Chrome 64 "выключат" SharedArrayBuffer и изменится работа некоторых других API, например performance.now()
А пока куются фиксы в Chrome можно включить функцию изоляции процессов "Strict site isolation":
chrome://flags#enable-site-per-process
Подробности уязвимости: https://meltdownattack.com/
#javascript
#security
А пока куются фиксы в Chrome можно включить функцию изоляции процессов "Strict site isolation":
chrome://flags#enable-site-per-process
Подробности уязвимости: https://meltdownattack.com/
#javascript
#security
Вы в безопасности?! Возможно… Но ваши пароли, логины и номера кредитных карт, увы, нет!
Читайте детективную историю о воровстве приватных данных из браузеров:
https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
#javascript #security #csp #npm
Читайте детективную историю о воровстве приватных данных из браузеров:
https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
#javascript #security #csp #npm
Hackernoon
HackerNoon - read, write and learn about any technology
How hackers start their afternoon. HackerNoon is a free platform with 25k+ contributing writers. 100M+ humans have visited HackerNoon to learn about technology
Злоумышленники похитив токен одного из разработчиков eslint-scope опубликовали npm-пакет с вредоносным кодом. Уязвимая версия eslint-scope@3.7 уже удалена из npm. Но, всё равно, проверьте не зацепили ли вы её после очередного обновления пакетов.
https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes
#javascript
#security
https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes
#javascript
#security
eslint.org
Postmortem for Malicious Packages Published on July 12th, 2018 - ESLint - Pluggable JavaScript Linter
A pluggable and configurable linter tool for identifying and reporting on patterns in JavaScript. Maintain your code quality with ease.
Разбор уязвимости npm-библиотеки event-stream, у которой, между прочим, около 2х миллионов скачиваний еженедельно:
https://schneid.io/blog/event-stream-vulnerability-explained/
#javascript #security
https://schneid.io/blog/event-stream-vulnerability-explained/
#javascript #security
А вот и свежий эксплойт V8 в Math.expm1 – баг типизации статического анализатора.
https://abiondo.me/2019/01/02/exploiting-math-expm1-v8/
#javascript #v8 #security
https://abiondo.me/2019/01/02/exploiting-math-expm1-v8/
#javascript #v8 #security
0x41414141 in ?? ()
Exploiting the Math.expm1 typing bug in V8
Minus zero behaves like zero, right?
Полезный плагин для VS Code от snyk.io, который прямо в редакторе анализирует используемые библиотеки на предмет уязвимостей. Умеет как в npm-пакеты, так и подключаемые через CDN. 🕵🏻♂️
https://snyk.io/blog/vuln-cost-security-scanner-vs-code/
#javascript #security
https://snyk.io/blog/vuln-cost-security-scanner-vs-code/
#javascript #security
Snyk
Vuln Cost: Effortless finding vulnerabilities in npm packages with VS Code | Snyk
Vuln Cost is a security scanner for VS Code. The Vuln Cost extension shows you inline how many vulnerabilities a specific package contains the moment you import it into your code.
Интересное исследование на тему, как используя юникод символы, встроить бэкдор в код приложений на JavaScript:
https://certitude.consulting/blog/en/invisible-backdoor/
#javascript #nodejs #security
https://certitude.consulting/blog/en/invisible-backdoor/
#javascript #nodejs #security