Sunday, December 14. 2008
"Software enforced" DEP to nie DEP
Obecnie wciąż na topie jest temat Microsoft Security Advisory: Vulnerability in Internet Explorer Could Allow Remote Code Execution. Jedną z zalecanych akcji jest włączenie DEP dla Internet Explorer w Windows Vista i Windows 2008. Nie usuwa to podatności, ale czyni ją trudniejszą (niemożliwą?) do wykorzystania. Podobny efekt można uzyskać również na Windows XP/2003 na przykład przez wymuszenie DEP dla wszystkich procesów (opcja AlwaysOn ). Problem tym, że można mieć włączony DEP, a podatność nadal może zostać wykorzystana - CPU może nie mieć lub mieć wyłączone w BIOS wsparcie dla NX. Hardware DEP i Software Enforced DEP to tak naprawdę dwie różne technologie, które powinny nazywać się inaczej. Software DEP nie chroni przed wykonaniem kodu z "niewykonywalnych" obszarów pamięci.
Saturday, December 13. 2008
Browser Security Handbook
Analizując bezpieczeństwo aplikacji internetowych warto spojrzeć czasami na bezpieczeństwo klienta, czyli na przeglądarkę. Warto przeczytać Browser Security Handbook, choćby po to, by zobaczyć jak różnią się między sobą przeglądarki... Kwestia ta będzie miała coraz większe znaczenie, ponieważ coraz więcej kodu aplikacji wykonuje się po stronie klienta (choćby wspominany już AJAX). O ile "środowisko wykonania" w postaci serwera WWW/serwera aplikacyjnego może być dość dobrze kontrolowane, to środowisko wykonania w postaci przeglądarki kontrolowanej w całości przez klienta jest sporym wyzwaniem. Warto więc poznać cechy charakterystyczne głównych przeglądarek, ich mechanizmy bezpieczeństwa oraz słabości.
Ciąg dalszy "Browser Security Handbook" »Wednesday, December 10. 2008
eval jest ZŁY!
Część języków programowania zawiera funkcję eval lub jej funkcjonalny odpowiednik. Można tu przywołać (choćby) JavaScript, Python, PHP, Perl, Smalltalk. Problem w tym, że eval jest czasami nadużywany i przez to ZŁY!
Ciąg dalszy "eval jest ZŁY!" »