Od czasu do czasu w trakcie testów aplikacji można spotkać się z sytuacją, gdy aplikacja nie działa prawidłowo po skonfigurowaniu proxy (np. Burp). Dotyczy to często "grubych klientów", które wykorzystywane są do tradingu. Dlaczego tak się dzieje?
Ciąg dalszy "Gdy aplikacja nie działa przez proxy" »Saturday, January 30. 2016
Friday, January 29. 2016
AutoMapa, Google Maps, HERE Maps
Co jakiś czas pojawia się ten sam dylemat - czy przedłużyć subskrypcję AutoMapy (AutoMapa EU - to ważne)? Do tej pory decyzja zawsze była na "tak", ale teraz mam pewne wątpliwości.
Ciąg dalszy "AutoMapa, Google Maps, HERE Maps" »Wednesday, January 27. 2016
XTS-AES w BitLocker
Tak tylko informacyjnie jeśli ktoś tego nie zauważył:
XTS-AES encryption algorithm. BitLocker now supports the XTS-AES encryption algorithm. XTS-AES provides additional protection from a class of attacks on encryption that rely on manipulating cipher text to cause predictable changes in plain text. BitLocker supports both 128-bit and 256-bit XTS-AES keys.
Więcej: What's new in BitLocker?
P.S: A piszę o tym dlatego, że w końcu zebrałem się w sobie by zmienić AES-CBC na XTS-AES i jestem pod wielkim wrażeniem tego, jak mój szybko laptop poradził sobie z ponad 100GB danych.
Friday, January 22. 2016
Transport layer security w aplikacjach
Doprecyzujmy - w grubych klientach lub aplikacjach mobilnych. Normalnie, w przypadku aplikacji webowych, testowanie transport layer security polega na sprawdzeniu jakie protokoły/szyfry są oferowane przez serwer. W takim scenariuszu ma to trochę sensu, bo to ostatecznie serwer decyduje co zostanie wynegocjowane a przeglądarki, jeśli nie są za stare, nie używają archaicznych protokołów i szyfrów.
Inaczej sytuacja wygląda w przypadku aplikacji (mobilnych, desktopowych). Może okazać się, że klient jest skłonny zaakceptować wszystko co popadnie łącznie z czymś, co nie daje właściwie żadnego bezpieczeństwa (głównie aNULL). Coś takiego aż prosi się o MitM.
Ciąg dalszy "Transport layer security w aplikacjach" »Sunday, January 3. 2016
REAMDE
Właśnie skończyłem czytać/słuchać (no dobrze, bardziej słuchać) REAMDE. Miałem ochotę przeczytać tę książkę wkrótce po tym, jak się ukazała, ale zniechęciła mnie ta recenzja Gwoździa: Dwie powieści o graniu serio:
Niestety lektura książki okazała się sporym zawodem, bo zamiast tego wszystkiego, dostałem tysiąc stron banalnej opowieści o terrorystach (zwykłych, islamskich, a także szlachetnych, dwuwymiarowych cyber-terrorystach), zaś przedstawiona w książce gra T’Rain wydała się być zupełnie niegrywalną.
Jakiś czas temu temat tej książki pojawił się po raz kolejny, tym razem w kontekście Cybersecurity Canon, a konkretnie na temat tej książki więcej jest tutaj: The Cybersecurity Canon: Reamde.
Szczerze? Czytało mi się dość ciężko, słuchało (Audible) zdecydowanie lepiej. Ogólnie - ocena na plus.