Na początek odsyłam do źródła: User Friendly ASP.NET Exception Handling. Koncepcja przechwytywania nieobsłużonych wyjątków i “robienia coś z nimi” nie jest może zła, ale:
Jak to się mogło stać, że jeszcze o tym nie napisałem? Pora nadrobić zaległości. Microsoft udostępnił już jakiś czas temu bibliotekę pod wiele mówiącą nazwą Microsoft Anti-Cross Site Scripting Library. Aktualna wersja to 1.5, dostępna jest do pobrania tutaj.
Ciekawy sposób wykorzystania pliku .htaccess: Watch that .htaccess file on your web site. Odwiedzający dostaje w prezencie wirusa, tylko jeśli na stronę wchodzi za pośrednictwem wyszukiwarki.
Luka w Nasza-klasa.pl – są powody do obaw? Zaiste mroczne odkrycie, że przejęcie cookie sesyjnego prowadzi do przejęcia sesji. Kiedy to ja o tym pisałem, w styczniu?
Kilka dni temu było głośno o CSRF (np. New Cross-Site Request Forgery Attacks). Sama aplikacja może być (nie)zabezpieczona przed CSRF, ale i sposób działania (przyzwyczajenia) użytkowników nie jest bez znaczenia.
Nowa kategoria – Paranoja. Dlaczego mój pendrive, który używam “służbowo” (swoją drogą – ten pendrive to mój łup jeszcze z czasów pierwszej edycji konkursu Strażnik Systemu) ma tylko 256MiB? Dlatego, że nawet na USB 1.1 wykonanie operacji wipe (np. narzędzie wipe.exe z FAU) zajmuje akceptowalnie mało czasu. Choć sam dane przenoszone na pamięciach przenośnych szyfruję, to nie wszędzie gdzie jestem, spotyka się to ze zrozumieniem (a różne rzeczy dostaję). Dla pewności pliki po przeniesieniu kasuję przy pomocy sdelete, a później (na koniec dnia/projektu) robię wipe całego pendrive. To tak na wypadek, gdyby ktoś “po drugiej stronie” chciał przypadkiem zobaczyć co więcej było na tym dysku.
Nie uważam, by wybór takiej lub innej technologii miał decydujące znaczenie dla bezpieczeństwa całego rozwiązania. Z drugiej jednak strony na pewno nie jest on pomijalny. Pisałem o tym, że na przykład środowisko ASP.NET (patrz na przykład: Next Generation .NET Vulnerabilities) ma wbudowanych kilka rozwiązań pozytywnie wpływających na bezpieczeństwo, podobnie jest również w przypadku JSF. Czasami kluczowy okazuje się wybór serwera aplikacyjnego...
Kilka lat temu czytałem artykuł, że złodzieje chodzą po parkingach samochodowych i szukają samochodów, przy których odezwie się bluetooth. Złodzieje wówczas rozbijali szyby/otwierali bagażnik i... kradli laptopa. Zresztą znalazłem coś na ten temat: Bluetooth As a Laptop Sensor. I teraz mam taką refleksję – w wielu samochodach montowane są radia ze zdejmowanym panelem. W założeniu panel zabierany jest z samochodu, więc złodziej co najwyżej ukradnie “kadłubek”, który bez panelu jest umiarkowanie użyteczny. Pomysł może i dobry, tylko jest mały problem – w znacznej części przypadków panel ten znajduje się... w schowku. W takim razie w zasadzie po co go ściągać?
Kilka dni temu pojawił się Helix 2.0. Informacje o zmianach w stosunku do poprzedniej wersji dostępne są w release notes.
W 2000 roku pojawił się esej 10 Immutable Laws of Security. Dziś, 8 lat później można zastanawiać się, czy te prawa nadal pozostają niezmienne. Pierwszy odcinek serii dostępny jest tu: Security Watch Revisiting the 10 Immutable Laws of Security, Part 1.