Była sobie firma, która postanowiła “mieć stronę”, skorzystała więc z usług jednej z wielu firemek nazywających się szumnie “agencją interaktywną”. Strona była bardzo prosta, kilka stron informacyjnych i formularz z możliwością wysłania załącznika. Klient był zadowolony, do czasu, gdy na stronie znalazły się nieco inne treści, niż pierwotnie...
Wczoraj, 23 października, odbyło się kolejne spotkanie OWASP w Krakowie.
Dziś pojawił się Out-of Band Microsoft Security Bulletin, konkretnie MS08-067. Zwracam uwagę na jego fragment:
It is possible that this vulnerability could be used in the crafting of a wormable exploit.
Pamięta ktoś plagę restartujących się komputerów i blastera?
Warto rzucić też okiem na blog Tomka, oraz podawane tam linki:
...i warto przeczytać jeszcze to: MS08-067 and the SDL.
Oryginał tego wpisu dostępny jest pod adresem Czy będzie nowy Blaster?
Autor: Paweł Goleń
Pojawiła się finalna wersja BSDanywhere, czyli LiveCD opartego na OpenBSD. Obecna wersja oparta jest na OpenBSD 4.3, ale wkrótce pojawić się ma nowa wersja oparta na OpenBSD 4.4, którego data premiery zbliża się wielkimi krokami.
Na początek odsyłam do źródła: User Friendly ASP.NET Exception Handling. Koncepcja przechwytywania nieobsłużonych wyjątków i “robienia coś z nimi” nie jest może zła, ale:
Jak to się mogło stać, że jeszcze o tym nie napisałem? Pora nadrobić zaległości. Microsoft udostępnił już jakiś czas temu bibliotekę pod wiele mówiącą nazwą Microsoft Anti-Cross Site Scripting Library. Aktualna wersja to 1.5, dostępna jest do pobrania tutaj.
Ciekawy sposób wykorzystania pliku .htaccess: Watch that .htaccess file on your web site. Odwiedzający dostaje w prezencie wirusa, tylko jeśli na stronę wchodzi za pośrednictwem wyszukiwarki.
Luka w Nasza-klasa.pl – są powody do obaw? Zaiste mroczne odkrycie, że przejęcie cookie sesyjnego prowadzi do przejęcia sesji. Kiedy to ja o tym pisałem, w styczniu?
Kilka dni temu było głośno o CSRF (np. New Cross-Site Request Forgery Attacks). Sama aplikacja może być (nie)zabezpieczona przed CSRF, ale i sposób działania (przyzwyczajenia) użytkowników nie jest bez znaczenia.
Nowa kategoria – Paranoja. Dlaczego mój pendrive, który używam “służbowo” (swoją drogą – ten pendrive to mój łup jeszcze z czasów pierwszej edycji konkursu Strażnik Systemu) ma tylko 256MiB? Dlatego, że nawet na USB 1.1 wykonanie operacji wipe (np. narzędzie wipe.exe z FAU) zajmuje akceptowalnie mało czasu. Choć sam dane przenoszone na pamięciach przenośnych szyfruję, to nie wszędzie gdzie jestem, spotyka się to ze zrozumieniem (a różne rzeczy dostaję). Dla pewności pliki po przeniesieniu kasuję przy pomocy sdelete, a później (na koniec dnia/projektu) robię wipe całego pendrive. To tak na wypadek, gdyby ktoś “po drugiej stronie” chciał przypadkiem zobaczyć co więcej było na tym dysku.