Wczoraj w Warszawie komornik zajmował halę KDT. Zajmował, ponieważ istnieje wyrok sądu, do którego kupcy zajmujący KDT się nie zastosowali. To, jakie komentarze się pojawiły po tej akcji (rząd, władze miasta, policja, straż miejska źli; dobrzy kupcy) dowodzi tylko, że jesteśmy bardzo dziwnym krajem.
Ciąg dalszy "Polska to bardzo dziwny kraj..." »Wednesday, July 22. 2009
Monday, July 20. 2009
Jak NIE należy implementować ochrony przed CSRF
Na początek odsyłam do postu na BugTraq: Hacking CSRF Tokens using CSS History Hack. W szczególności do sekcji Some of the prerequisites for this attack to work (...). Sam atak jest ciekawy, ale te wymagania...
Ciąg dalszy "Jak NIE należy implementować ochrony przed CSRF" »Pawel's shared items
By uniknąć tworzenia "odtwórczych" wpisów na podstawie postów z cudzych blogów te wpisy, które uznam za interesujące, ale nie będę miał nic sensownego do dodania, po prostu udostępnię tu: http://www.google.com/reader/shared/05959933615902226266.
Sunday, July 19. 2009
Scenariusze wykorzystania Cross-Site Scripting
Cross-Site Scripting na liście OWASP Top10 2007 znalazł się na pierwszym miejscu. Na liście 2009 CWE/SANS Top 25 Most Dangerous Programming Errors znajdują się z kolei Improper Input Validation, Improper Encoding or Escaping of Output czyli przyczyny podatności oraz beast itself, czyli Failure to Preserve Web Page Structure ('Cross-site Scripting').
Ciąg dalszy "Scenariusze wykorzystania Cross-Site Scripting" »Saturday, July 18. 2009
Ilu programistów mnie czyta?
Na Feedburner mam około 140 subskrybentów. Do tego dochodzi pewna grupa czytelników, którzy z dobrodziejstw RSS nie korzystają. Ciekawy jestem czy wśród czytelników są programiści (głównie chodzi mi o programistów tworzących aplikacje internetowe), a jeśli tak, to ilu. Czy programiści interesują się bezpieczeństwem? Jak wiele o nim wiedzą? Czy znają zagrożenia i wiedzą jakie powinni stosować środki zaradcze?
Moje odczucia są takie, że temat bezpieczeństwa jest traktowany mocno po macoszemu w procesie tworzenia oprogramowania. Inicjatywy takie jak Building Security In Maturity Model, Software Assurance Maturity Model czy Security Development Lifecycle to wciąż egzotyka. Chciałbym wiedzieć jak na ten temat zapatruje się "druga strona".