War es wirklich?

Thomas Ptacek: Enough With The Rainbow Tables: What You Need To Know About Secure Password Schemes

http://www.debian-administration.org/articles/590
Die neue Option ist offenbar erst ab Version 4.8p1 unter Linux verfügbar.
Die gute Nachricht: Debian Lenny ist neu genug: 5.1p1-5

Cross Site Tracing ist ein Angriff auf Web-Anwendungen, der es durch Ausnutzung der eigentlich zu Debug-Zwecken vorhandenen HTTP-Methode TRACE z.B. erlaubt, Cookies anderer Domänen auszulesen, deren Web-Server die TRACE-Methode angeschaltet haben. Das Opfer muss lediglich eine beliebige präparierte Seite aufrufen.

http://www.md5cracker.org/
http://hashcrack.com/index.php
http://opencrack.hashkiller.com/
http://www.freerainbowtables.com/
(via heise.de)

http://www.whatsmypass.com/?p=415

Einige Kartenterminals sind schon vor der Auslieferung an Einzelhändler in Europa so manipuliert worden, dass sie bei normaler Bezahlung im Laden die Kartendaten inklusive der eingetippten PIN wegspeichern und per Mobilfunknetz an die Verbrecher schicken: http://www.lz-net.de/dossiers/itlogistik/pages/protected/show.php?id=3428

(via Fefe)

Die Datenschutzpannen bei der Telekom sind mit etwas Phantasie durchaus noch steigerungsfähig.

Jeff Atwood from codinghorror.com writes about Cross-Site Request Forgery (CSRF)

LOL: http://xkcd.com/327/

Bruce Schneier about the special way of thinking about things that security professionals (should) have.