Zdaniem Tomasza Jarmuła, specjalisty bezpieczeństwa RSA Securities, zbudowanie systemu dla bankowości elektronicznej, który nie będzie zapamiętywał kodowanych stron zawierających dane osobowe użytkownika jest bardzo kosztowne. Szacunkowy koszt takiego systemu to 5 – 15 mln zł.
Mam nadzieję, że:
autorka artykułu nie zrozumiała problemu w BZ WBK i zadała “radosne” pytanie,
odpowiadający nie do końca zrozumiał o co jest pytany,
autorka artykułu nie zrozumiała odpowiedzi i przekręciła cytat,
A jeśli tak nie jest to... Mając na uwadze, że problem w BZ WBK wynikał z radosnej obsługi no-cache przez przeglądarki Firefox i Opera (w IE problemu NIE było), podana cena jest co najmniej dziwna. No chyba, że chodzi o wykupienie firm produkujących te przeglądarki i wypuszczenie poprawionej wersji...
Dziś rano czekała na mnie dobra wiadomość: 2.1.8.3 [8/11/08] Improved RequestBuilder (HTTPS, UTF-16) Support -quiet parameter for command line Minor FTP improvements Minor bugfixes Brak obsługi HTTPS przy RequestBuilder oraz przy Replay był poważnym problemem przy testach części aplikacji internetowych, a konkretnie tych, które z SSL korzystały.
Istnieją dwa sposoby bezpowrotnego pozbycia się plików. Pierwszy, fizyczny, to demagnetyzer, swoista mikrofalówko-niszczarka. Urządzenie generuje potężny impuls elektromagnetyczny, który niszczy dane zapisane na nośniku. Drugi sposób, kilkakrotnie tańszy, to specjalny program do kasowania plików, który z kolei nadpisuje ciągiem znaków powierzchnie dysku, tak aby nikt nie mógł więcej go odczytać.
Ostatnio przeczytałem, że firma Kroll Ontrack oferuje promocję o nazwie Odzyskaj cyfrowe wspomnienia. W przypadku uszkodzeń logicznych koszt odzyskania danych to tylko 190 PLN. Jednak nawet te 190 PLN można zaoszczędzić i odzyskać dane “we własnym zakresie”.
Pojawił się ciekawy post: Input Validation Is Not The Answer. Jego głównym przesłaniem jest zdanie If you're trying to solve a SQL injection problem, input validation is NOT the answer!. I to jest prawda, walidacja danych wejściowych jest bardzo istotnym elementem obrony w aplikacjach (nie tylko tych) webowych, ale nie może być jedyną linią obrony. Innymi słowy – dynamiczne sklejanie SQL jest ZŁE!
Często informacji (i usługom/aplikacjom) przypisuje się trzy atrybuty: poufność, integralność oraz dostępność (triada CIA). Atak denial-of-service to oczywiście atak na dostępność danych/usług. Mam wrażenie, że ostatnimi czasy atak DoS w powszechnej świadomości utożsamia się z atakiem DDoS i botnetami, a szkoda, bo czasami atak tego typu jest dużo łatwiejszy.
Tak sobie przeglądam dzisiaj feedy RSS i na co trafiam? Injection in Order by, Group by Clause. Przypominam, że już o tym scenariuszu (w ORDER BY) pisałem.
Nazwiska klientów kilku banków i salda ich kont mogą wpaść w niepowołane ręce, jeśli mimo wylogowania cofną się oni na stronę bankowości elektronicznej.
Klienci BZ WBK korzystający z serwisu banku za pośrednictwem przeglądarek Opera 9 i Firefox 2 mogą być narażeni na ujawnienie informacji objętych tajemnicą bankową.