Top
Contenido
Buscar
Usuarios
Social
Fotos
Foros
Ofertas laborales ES
miércoles
ago272008

Extrema sistemas propone parches para resolver ataques XSS en Tomcat, Jetty y Glassfish

Datemiércoles, agosto 27, 2008 at 11:12PM

La empresa española Extrema Sistemas liberó el pasado mes de julio la versión RC1 de su framework web Loom. Ese anuncio provocó un gran tráfico en sus servidores de gente que quería probarlo, y parte de los interesados en el framework hicieron varias pruebas de XSS sobre él. Y
si bien Loom en sí salió victorioso de todo los ataques, no se puede decir lo mismo de servidor de aplicaciones en el cual corría. En ocasiones el servidor mostraba datos que habían sido proporcionados por los usuarios, sin chequearlos contra posibles ataques XSS, en páginas propias.

Para resolver este problema, Extrema Sistemas ha desarrollado parches para resolver ataques XSS en Tomcat, Jetty y Glassfish. En el blog de Ignacio Coloma apuntan que éstos parches pueden provocar una sobrecarga de rendimiento innecesaria en ciertas ocasiones. Pero, como Ignacio comenta, lo realmente importante aquí es que, por defecto, estos servidores pueden hacer que nuestras aplicaciones web sean vulnerables ante ataques XSS, incluso cuando la aplicación en sí misma no contenga vulnerabilidades. Una observación muy interesante y que, desde luego, debería ser resuelta por los servidores de aplicaciones.

 

Authorecamacho | CommentPost a Comment |
in
miércoles
ago272008

Integrando Groovy con Spring

Datemiércoles, agosto 27, 2008 at 9:54PM
Groovy es un lenguaje dinámico de programación alternativo para la plataforma Java. Spring tiene soporte nativo para incorporar scripts escritos en Groovy, y utilizarlos dentro de la aplicación como si fueran beans comunes. Es decir, es posible declarar un bean, inyectar y utilizarlo como una clase Java más, cuando en realidad su implementación es una clase Groovy.

Todo esto se realiza a través del soporte para lenguajes dinámicos que forma parte de Spring 2.x, el cual permite programar clases en cualquiera de los lenguajes dinámicos soportados (actualmente Groovy, JRuby y BeanShell). Spring automáticamente realiza la instanciación, configuración e inyección de los objetos resultantes.

Pueden leer un ejemplo de integración con Groovy, además de un descargar un proyecto con el ejemplo  completo y todas las librerias incluidas para ejecutarlo.

AuthorjavaHispano | CommentPost a Comment |
in
miércoles
ago272008

JavaRebel 1.2 con soporte para Spring

Datemiércoles, agosto 27, 2008 at 12:55AM

JavaRebel es un agente de la JVM que permite recargar clases en caliente, sin necesidad de reiniciar tu JVM. Esto es bastante útil durante la fase de desarrollo para poder actualizar los cambios de tus aplicaciones sin tener que estar tirando y levantando tu servidor de servlets.

Esta nueva versión de la herramienta incluye las siguientes características:

  • Core mejorado.
  • SDK mejorado. Gracias al nuevo API y configuración puedes hacer cualquier parte de tu aplicación o biblioteca de código recargable, no importa donde se encuentre. El SDK es open source.
  • Plugins JavaRebel. Ahora es más fácil soportar classloaders personalizados, contenedores y frameworks simplemente registrando un plugin.
  • Plugins para el Contenedor OSGi Equinox, IBM WebSphere y  Atlassian Confluence.


Además, se incluye el soporte para Spring a través de un plugin que permite recargar los Application Context de tus aplicaciones Spring sin necesidad de reiniciar tu servidor de aplicaciones, una característica bastante interesante. Si quieres verlo en acción, han preparado un screencast para demostrar su uso.

JavaRebel es una herramienta de pago aunque es gratuito para proyectos open source.

Authorecamacho | CommentPost a Comment |
in
martes
ago262008

Graves agujeros de seguridad en los Nokia serie 40

Datemartes, agosto 26, 2008 at 7:04PM

Adam Gowdiak, experto en temas de seguridad, ha encontrado 14 agujeros de seguridad en la implementación de Java ME de los Nokia serie 40. Algunos de estos agujeros pueden permitir al atacante instalar aplicaciones Java ME en el terminal atacado sin necesidad de autorización del usuario, y después realizar llamadas, enviar SMS o grabar vidrio o audio, entre otros.

 

Adam ha hecho llegar a Nokia información bastante limitada acerca de estos fallos. Pero pide 20.000 € a cambio de toda la información, dinero que dice es necesario para cubrir los gastos de la investigación que realizó para encontrar dichos fallos. Nokia ha reconocido que es cierto que existen estas vulnerabilidades y que permiten hacer lo que Adam afirma.

 

Al margen del grave problema de seguridad (los Nokia serie 40 son uno de los terminales móviles más extendidos) esta noticia pone de manifiesto una situación bastante polémica. Hay múltiples investigadores que se dedican a encontrar fallos de seguridad en software y que, en muchas ocasiones, no son debidamente recompensados por las compañías dueñas de los productos en los que se encontraron los fallos. A veces esta situación lleva a los investigadores a "convertirse al lado oscuro" y a vender los agujeros de seguridad a delincuentes que los quieren explotar con fines económicos y que, a diferencia de las compañías, si que están dispuestos a pagar por ellos.

 

Esta situación ha llevado incluso a crear un "Ebay" de agujeros de seguridad. En él, cualquiera (compañía, o delincuente) puede registrarse y comprar o vender vulnerabilidades. La compañía que está detrás de este "Ebay" afirma que lo que pretende es que se trate de modo justo a los investigadores que han dedicado mucho tiempo y esfuerzo a encontrar agujeros de seguridad y que se les compensa adecuadamente. Si bien el fin es encomendarle, también es cierto que este portal es una estupenda herramienta para los delincuentes.

¿Qué opináis acerca de esta situación?

AuthorjavaHispano | CommentPost a Comment |
in
martes
ago262008

Liberado Android 0.9 SDK beta

Datemartes, agosto 26, 2008 at 6:36PM

Tras una buena temporada sin tener novedades de Android, la semana pasada el equipo de desarrollo anunció la versión 0.9 beta del SDK. Entre las novedades se encuentran nuevas aplicaciones como calculadora, cámara, reproductor de música, visor de imágenes, aplicación de envío de SMS y MMS, etcétera; un mayor control a la hora de definir como un componente gráfico debe escalarse para dibujarse en pantalla (por ejemplo, permite decir que los píxeles del borde de un componente no se deben aumentar al incrementar el tamaño, pero el interior sí; este sería el comportamiento que debería aplicarse, por ejemplo, a un botón); y la inclusión de una "home screen".

Sin embargo, también ha habido APIS que se han eliminado respecto a versiones anteriores. Entre ellas, destaca la ausencia del soporte para Bluetooth y para Gtalk. Esta última resultaba especialmente interesante ya que permitía construir aplicaciones con funcionalidad tipo push, pero varios problemas de seguridad han hecho que por lo de ahora no se incluyan en Android.

AuthorjavaHispano | CommentPost a Comment |
in
Page 1 ... 288 289 290 291 292 ... 1335 Next 5 Entries »