Tak tak, "we are feeling confident" to bardzo popularne podejście. A potem jest pożar w burdelu. Albo na produkcję idzie dziurawa aplikacja, bo już "inaczej się nie da"...
Tuesday, May 17. 2011
Majowe spotkanie OWASP już 23 maja
Jeśli do tej pory uszło to Waszej uwadze już 23 maja odbędzie się w Krakowie kolejne spotkanie OWASP. Więcej informacji na ten temat można znaleźć oczywiście na stronie polskiego chapteru OWASP, jak również np. tu: [Kraków] Spotkanie OWASP.
Tym razem tematyka nieco inna niż na ostatnich spotkaniach:
- Minerva – automatyczne wyszukiwanie błędów (Mateusz Kocielski),
- Uczący się firewall webowy – nowy polski projekt (Darek Pałka; Marek Zachara),
Oba zagadnienia są bardzo ciekawe. Poza samymi prezentacjami liczę na ciekawe dyskusje po ich zakończeniu.
Thursday, May 12. 2011
O dziurze w Chrome(?)
Jak zapewne wiecie pojawiła się informacja o skutecznym ataku na przeglądarkę Chrome (np. tu: Dziura i exploit na Google Chrome [0day] i u źródła: Google Chrome Pwned by VUPEN aka Sandbox/ASLR/DEP Bypass). Oczywiście całość okraszona podejściem "wiemy, ale nie powiemy", a konkretniej "wiemy, ale powiemy tylko naszym klientom, a producent niech sam dziury szuka". Z drugiej strony pojawiają się informacje, że dziura wcale nie jest w Chrome. I w tym momencie warto spróbować wykonać mały eksperyment myślowy: o co może chodzić.
Ciąg dalszy "O dziurze w Chrome(?)" »Tuesday, May 10. 2011
Magiczne myślenie zakazami
Była sobie rozróba na stadionie. Nie pierwsza i nie ostatnia. A jej skutki są takie, że znowu mamy prześciganie się w pomysłach odnośnie tego co z tym trzeba zrobić i jak to zrobić. Postanowiłem się do tego strumienia pomysłów przyłączyć.
Ciąg dalszy "Magiczne myślenie zakazami" »Saturday, May 7. 2011
Olej z węża: LastPass i Content Security Policy
Zgodnie z zapowiedzią z poprzedniego wpisu wracam do tematu LastPass. Tym razem trochę na temat webowego klienta LastPass, tego co mogłoby się stać, gdyby był w nim (odpowiedni) XSS i wdrożenia Content Security Policy przez LastPass.
Ciąg dalszy "Olej z węża: LastPass i Content Security Policy" »