Poczta Polska proponuje głosowanie listem poleconym. Na bazie swoich doświadczeń z różnymi usługami Poczty Polskiej mam pewne wątpliwości, czy firma ta byłaby w stanie dostarczyć wspomniane przesyłki na czas i ile by z nich zaginęło po drodze...
Monday, July 27. 2009
Sunday, July 26. 2009
Wreszcie znośna pogoda na rower
Właśnie wróciłem z małej wycieczki. Niestety w tym roku wciąż nie mogę dojść do formy, ciągle mam jakieś problemy albo ze sobą (np. bóle nadgarstków), ze sprzętem (piasty, stery), albo z pogodą (nie znoszę jeździć w trakcie upałów). Dziś w końcu było znośnie. Co prawda zapomniałem mapy, trochę się zgubiłem i musiałem przeprawiać się przez dość głębokie kałuże, ale co tam :)
Thursday, July 23. 2009
Niebezpieczna luka w systemie rejestracji na UJ
Niebezpieczna luka w systemie rejestracji na UJ.
Zakładasz dowolne konto, logujesz się i możesz przeszukiwać bazę danych kandydatów. Wystarczy, że w pasku wyszukiwarki zmienisz trzy ostatnie cyfry adresu.
Kontrola dostępu do danych się kłania. A identyfikatory globalne są ZŁE! (patrz Insecure Direct Object Reference oraz dobre wyjaśnienie ogólnej koncepcji AccessReferenceMap, że o moim PoC nie wspomnę).
Green IT
Dołączyłem się do Green IT.
Ciąg dalszy "Green IT" »(...) re-authentication is required (...)
W ramach ćwiczeń rzucam temat związany z Application Security Verification Standards. Jakie są praktyczne korzyści z tytułowego wymagania i w jakich scenariuszach. Stosowne punkty w ASVS:
- V2.9 Verify that re-authentication is required before any application-specific sensitive operations are permitted.
- V3.7 Verify that the session id is changed on reauthentication.
Dla pobudzenia Waszej wyobraźni pytania:
- Jakie znacie aplikacje, które korzystają z tego mechanizmu?
- Czy korzystacie z tego rozwiązania w swoich aplikacjach (pytanie do nielicznych programistów)?
- Jakie operacje uznalibyście za application-specific sensitive operations w kontekście konkretnej aplikacji (do wyboru)?
- Co w przypadku, gdy na stacji działa malware?
- Dlaczego w bankach wymagane jest coś więcej do autoryzacji transakcji?
W temacie ostatniego pytania wiele razy się wypowiadałem w odniesieniu do bankowości internetowej, zresztą pośrednio odpowiadając na pytanie drugie. Ale Wasze zdanie wcale nie musi być takie samo, jak moje :)