Paweł Goleń, blog

Po drugim dniu konferencji mam pewien niedosyt. Agenda była ułożona w taki sposób, że prezentacje, które mnie interesowały najbardziej odbywały się często równolegle.

XSS is dead. We just don't get it. - tak, oddawna mamy (prawie) wszystko, co potrzebne by wygrać z XSS. Trzeba tylko z tego korzystać. Mimo wszystko jednak nie wierzę, że pozbędziemy się XSS w przewidywalnej przyszłości. To nie jest tak, że w developerach upatruję całego zła tego świata, ale z drugiej strony mam bolesną świadomość jak niektóre zespoły developerów są tworzone/kompletowane, jak często się zmieniają i jak wygląda poziom świadomości odnośnie secure coding.

A na tej prezentacji niestety nie byłem. Defense-in-depth techniques for modern web applications and Google's journey with CSP. Temat CSP jak najbardziej powiązany z prezentacją Mario. Tak, CSP jest fajnym narzędziem, ale jest skomplikowane. Bardzo. Jeśli ktoś potrafi z niego prawidłowo korzystać, prawdopodobnie jest w stanie użyć również pozostałych narzędzi do walki z XSS, więc CSP rzeczywiście pełni rolę dodatkowej linii obrony. A jeśli aplikacja jest, nazwijmy to, “kreatywna”, to stworzenie sensownej polityki nie jest zadaniem trywialnym (zakładając optymistycznie, że jest możliwe).

Kolejny slot, ten bolał mnie najbardziej – tutaj na odmianę trzy interesujące prezentacje:

• Outsmarting smart contracts – an essential walkthrough a blockchain security minefields - na tej byłem, bo ja już jestem wiekowy i dobrze dowiedzieć się coś więcej o tych nowinkach :)
• Case study of an XSS in Google's application including bypassing CSP - piękna kontynuacja wątku z dwóch wspominanych wcześniej prezentacji, niestety – coś musiałem wybrać :/
• Jailbreak – dylematy hazardzisty w pentestach aplikacji iOS - to jest coraz bardziej istotny temat. Kiedyś sprawa była stosunkowo prosta, miało się (co najmniej) dwa urządzenia, jedno “normalne”, drugie po jailbreaku. Na początku wykonywało się kilka prostych testów na normalnym urządzeniu, choćby po to, by sprawdzić, czy testowana aplikacja działa, a potem już normalne testy z pełym dostępem. W czym problem? Coraz ciężej jest znaleźć jailbreak na nowe wersje iOS. Przy okazji temat do rozważań – czy to dlatego, że Apple tworzy tak bezpieczny kod, czy może raczej dlatego, że Chiny wolą zatrzymać takie rzeczy dla siebie.

Oryginał tego wpisu dostępny jest pod adresem Confidence 2018 (2)

Autor: Paweł Goleń