Seminer dizisi “güvenlik” başlığıyla devam ediyor. 10 şubat’ta Fırat Okay tarafından verilecek olan seminer, derneğin web sitesinde de görülebileceği gibi şu konuları içeriyor:
* Temel Güvenlik :
Güvenli Sistem/Çözüm Tasarımı,
Temel Uygulama Güvenliği Unsurları,
Kimlik Doğrulama (Authentication),
Erişim Kontrolü (Access Control),
Oturum Yönetimi (Session Management),
Veri Korunumu (Data Protection),
Veri Giriş Dogrulama (Input Validation)
Microsoft’un Live servislerinde XSS açığı bulunmuş.
Olay şu şekilde gerçekleşiyor. Hotmaile giriş yaptığımız vakit oluşan cookie ip bilgisi içermiyormuş. bu cookie kullanılarak daha sonra hesaba girmek mümkün olabiliyormuş.
Başka bi habere göre bunu bulan 16 yaşında hollandalı bir çocukmuş ve durumu microsofta bildirmiş ama pek ciddiye alınmamış. Ama kendisine bir cevap yazmışlar.
“Hi Adriaan, Thanks very much for your report. I have opened case 6678 and the case manager, Scott, will be in touch when there is more information. In the meantime, we ask you respect responsible disclosure guidelines and not report this publicly until users have an opportunity to protect themselves (as you have mentioned). You can review our bulletin acknowledgment policy at
www.microsoft.com/technet/security/ bulletin/policy.mspx and our general policies and practices at
www.microsoft.com/technet/security/ bulletin/info/msrpracs.mspx. If at any time you have questions or more information, please respond to this message.”
