Wampiryczny blog

W tym roku nawet szybciej niż w ubiegłym (patrz też: 1103).

...i na razie rozbijam się o ścianę. Obiekt testów wybrałem niezbyt ambitny - swój własny blog. Pierwsze zadanie - crawling (patrz: Burp's new crawler). Niestety, do tej pory nie udało mi się doczekać końca tego zadania (kilka podejść w kilku kolejnych wersjach beta). Crawler wysyła ponad 20k requestów i nadal końca nie widać.

Dla porównania:

• OWASP Zap - 14453 URLi, 2541 unikalnych;
• Burp 1.7.x - 4652 requestów, 2208 unikalnych URLi.

Kompletnie pomijając kwestię dokładności oraz czas trwania - w przypadku starszej wersji Burp oraz OWASP ZAP najistotniejsze jest to, że spidering się kończy.

Korzystam z wielu usług oferowanych przez Google. Korzystam, ale im nie ufam. Nie, nie chodzi o to, że ktoś czyta moje maile albo przegląda wydarzenia w kalendarzu. Chodzi o to, że usługa, z której korzystam może sobie zniknąć. Ot tak.

Tym razem chodzi o Inbox. Korzystam z tej usługi od kiedy tylko było to możliwe i pasuje mi dużo bardziej niż Gmail. Mówię to przede wszystkim o aplikacji mobilnej. I co? I to:

Inbox by Gmail is going away at the end of March 2019. Use the new Gmail to help you get more done and continue your conversations without interruption.

Dawno, dawno temu pisałem, że byłbym w stanie zapłacić za usługę polegającą na doborze i prezentowaniu interesujących mnie treści. Dobór miałby polegać na merytorycznej weryfikacji zawartości, prezentacja - cokolwiek (to były jeszcze zamierzchłe czasy gdy RSS był nowy i trendy). Cóż, dalej czekam na taką usługę.

Usług oferujących feed newsów jest sporo, wystarczy wymienić Google News (Wiadomości Google), czy Wiadomości (Microsoft), do tego taki feed jest oferowany w przeglądarkach (choćby Chrome, Edge). W dalszym ciągu to nie to.

Po pierwsze jakość informacji - przeraźliwie niska. Nie, nie jest dobrze, gdy 50% kanału "Nauka i technika" stanowią artykuły o grach komputerowych. Do tego informacje o nowych telefonach/tabletach/zegarkach oraz "spadochroniarze" typu "Kandydat na prezydenta ugodzony nożem" (przykład błędnej klasyfikacji treści). Podobnie w innych kategoriach. W zasadzie nie - w porównianiu z innymi kategoriami "Nauka i technika" nie wypada tak źle.

Po drugie duplikacja treści - OK, rozumiem, ten sam temat może być poruszany w wielu źródłach, wolałbym jednak, by w takich przypadkach następowało grupowanie treści. Niby próby są podejmowane, ale wciąż daleko temu do używalności (nie mówiąc o doskonałości).

Po trzecie niedopasowanie treści do odbiorcy - zarówno Microsoft jak i Google mają mnie dość dobrze sprofilowanego (w to nie wątpię). Czy nie można tej wiedzy wykorzystać do tego, by przestać prezentować mi treści, które mnie nie zainteresują? Co więcej, mimo możliwości oznaczania w aplikacji artykułów, które mnie (nie)interesują nie widzę wielkiego wpływu takich działań na prezentowanie później treści.

Po czwarte głupie pomysły EU wygoda użytkowania - nie, nie podoba mi się to, że po otwarciu strony z artykułem muszę się przeklikać przez kilka okienek informacyjnych o cookies, danych osobowych i tak dalej. Tak wiem, obowiązki informacyjne i tak dalej...

(....) i jest tego więcej...

Czekam na zakończenie The new month of Burp pr0n i możliwość przetestowania (w praktyce) opisywanych zmian. W tym samym czasie chciałbym porównać jego możliwości z OWASP ZAP.

Co do zasady nie mam złudzeń, Burp jest bardziej kompletnym, dopracowanym narzędziem, ale jest kilka obszarów, w których ZAP ma ciekawe pomysły. Choćby spider/crawler, który w Burp również ma zostać znacząco ulepszony (patrz: Burp's new crawler).

Jedna rzecz się nie zmieni, Burp nie stanie się narzędziem fire and forget. To, że nie jest on w stanie zaadresować błędów logiki biznesowej jest oczywistością, wyzwaniem mogą być również skanowanie prostych technicznych usterek jeśli skaner nie jest w stanie odtworzyć prawidłowej ścieżki wywołania danej funkcji. Tu też należy spodziewać się ulepszeń (patrz: Automatically maintaining session during scans), ale nie wierzę, że rozwiązanie będzie kompletne. Niemniej jednak z chęcią sprawdzę jak Burp będzie sobie radził choćby z ochroną przez CSRF, obecne rozwiązania, Using Burp's Session Handling Rules with anti-CSRF Tokens, do najwygodniejszych nie należy.

Jest jeszcze jedna rzecz, której brakuje mi i w Burp, i w ZAP - dokładnego logowania wszystkiego co jest wysyłane do serwera w celu późniejszej analizy. Tak, są rozszerzenia (Logger++), można zapisywać logi do pliku tekstowego, ale nie są to rozwiązania wygodne. Ciągle chyba najlepszym rozwiązaniem jakie widzę, to puszczenie całego ruchu przez kolejne proxy (np. Fiddler) i zachowanie również tych logów na wypadek, gdyby w przyszłości zaszła potrzeba przeanalizowania co (nie)zostało zrobione.