W aplikacjach sieciowych często zamiast “czystych” linków, wykorzystywany jest JavaScript. Po kliknięciu na obiekt (link, obrazek, paragraf), wykonuje się pewna akcja, na przykład otwiera się nowa strona w nowym oknie przeglądarki. Czasami adres tej nowej strony budowany jest na podstawie parametrów przesłanych przez użytkownika. Jeśli wartość wstawiana jest “wprost”, jest oczywiście XSS. Zamiast tego znaki specjalne powinny być kodowane z wykorzystaniem URL Encoding. Tylko jest jedna, mała niespodzianka.
Tytuł tego wpisu to zapożyczenie z piosenki KNŻ, dobrze on ilustruje to, o czym chcę tym razem napisać. No właśnie? Co się stanie (a przynajmniej powinno się stać) w przypadku, gdy będzie miał miejsce “incydent”, czyli mówiąc wprost – gdy ktoś się włamie? Niestety, nadal często stosowane jest podejście na zasadzie “posprzątać i udawać, że nic się nie stało”. Problem w tym, że tak naprawdę to jest błędne koło – skoro ktoś się włamał, to musi istnieć podatność, która na to pozwala. Usunięcie skutków ataku nie usuwa podatności, a więc atak może się powtórzyć...
Skusiliśmy się z Moją Ulubioną Czarownicą na wyjazd w trakcie tego długiego weekendu. Wyjazd (w sensie jazdy) rzeczywiście był długi, choć na szczęście znajomość objazdów i GPS swoje zrobiło. Natomiast ilość buractwa (bo ciężko to inaczej określić) na drodze jest przerażająca. Naprawdę aż dziw, że w trakcie długich weekendów ginie tak mało ludzi. Szkoda tylko, że często giną niewinni, którzy mieli pecha spotkać takiego buraka na drodze...
Zdaniem Tomasza Jarmuła, specjalisty bezpieczeństwa RSA Securities, zbudowanie systemu dla bankowości elektronicznej, który nie będzie zapamiętywał kodowanych stron zawierających dane osobowe użytkownika jest bardzo kosztowne. Szacunkowy koszt takiego systemu to 5 – 15 mln zł.
Mam nadzieję, że:
autorka artykułu nie zrozumiała problemu w BZ WBK i zadała “radosne” pytanie,
odpowiadający nie do końca zrozumiał o co jest pytany,
autorka artykułu nie zrozumiała odpowiedzi i przekręciła cytat,
A jeśli tak nie jest to... Mając na uwadze, że problem w BZ WBK wynikał z radosnej obsługi no-cache przez przeglądarki Firefox i Opera (w IE problemu NIE było), podana cena jest co najmniej dziwna. No chyba, że chodzi o wykupienie firm produkujących te przeglądarki i wypuszczenie poprawionej wersji...
Dziś rano czekała na mnie dobra wiadomość: 2.1.8.3 [8/11/08] Improved RequestBuilder (HTTPS, UTF-16) Support -quiet parameter for command line Minor FTP improvements Minor bugfixes Brak obsługi HTTPS przy RequestBuilder oraz przy Replay był poważnym problemem przy testach części aplikacji internetowych, a konkretnie tych, które z SSL korzystały.
Istnieją dwa sposoby bezpowrotnego pozbycia się plików. Pierwszy, fizyczny, to demagnetyzer, swoista mikrofalówko-niszczarka. Urządzenie generuje potężny impuls elektromagnetyczny, który niszczy dane zapisane na nośniku. Drugi sposób, kilkakrotnie tańszy, to specjalny program do kasowania plików, który z kolei nadpisuje ciągiem znaków powierzchnie dysku, tak aby nikt nie mógł więcej go odczytać.
Ostatnio przeczytałem, że firma Kroll Ontrack oferuje promocję o nazwie Odzyskaj cyfrowe wspomnienia. W przypadku uszkodzeń logicznych koszt odzyskania danych to tylko 190 PLN. Jednak nawet te 190 PLN można zaoszczędzić i odzyskać dane “we własnym zakresie”.
Pojawił się ciekawy post: Input Validation Is Not The Answer. Jego głównym przesłaniem jest zdanie If you're trying to solve a SQL injection problem, input validation is NOT the answer!. I to jest prawda, walidacja danych wejściowych jest bardzo istotnym elementem obrony w aplikacjach (nie tylko tych) webowych, ale nie może być jedyną linią obrony. Innymi słowy – dynamiczne sklejanie SQL jest ZŁE!