We came out that approximately 637 million (or 45.2 percent) users currently surf the Web on a daily basis with an out-of-date browser – i.e. not running a current, fully patched Web browser version.
And this is only the tip of what we call the “Insecurity Iceberg”, not counting all the vulnerable browser plug-ins. ...tylko warto zapoznać się jeszcze z “drugą stroną medalu” Vulnerable Web Browser Study – Full of Fail zanim się wpadnie w totalną panikę. Co oczywiście nie znaczy, że aktualizacja tak newralgicznego (bo mającego bezpośredni kontakt z “dzikim światem”) komponentu, jakim jest przeglądarka internetowa (niezależnie, czy to jest Internet Explorer, Mozilla Firefox, Opera, czy jeszcze jakiś inny produkt), nie jest istotna.
Kolejny odcinek serii o tym czego NIE należy robić w trakcie tworzenia aplikacji internetowych. Tym razem o tym, dlaczego nie należy wstawiać zmiennych przekazywanych przez użytkownika bezpośrednio do skryptów JavaScript.
A w zasadzie to “nie wszystko żmija, co pełza”. Fakt, węży pojawia się czasami dość sporo, teraz podobno jest znowu ich “wysyp”, w tym wysyp żmij właśnie. Problem w tym, że żmija to nie jedyne pełzające stworzenie w naszym kraju... Sam kiedyś widziałem jak spokojnie płynący sobie zaskroniec (w Wetlinie) wywołał panikę ludzi stojących na moście i dzikie wrzaski “żmija, żmija”. Nawet jeśli byłaby to żmija, to co ona miała zrobić? Skoczyć 5 metrów do góry i rzucić się do gardła jak królik morderca?
Jak stwierdził Tomek, temat SQL Injection jest tematem dyżurnym na moim blogu. To nie do końca tak, temat ten nie zajmowałby tyle miejsca, gdyby nie był dyżurnym błędem wielu developerów, których produkty następnie przychodzi mi testować. W każdym razie dla porządku jeszcze ja wymienię te narzędzia:
Jakiś czas temu pisałem o pojawieniu się nowego narzędzia – F-Response. Wówczas mogłem napisać o nim jedynie na podstawie opinii innych ludzi, tak się jednak stało, że dostałem do testów F-Response Enterprise Edition.
Jakiś czas temu pojawiły się informacje o ataku na klientów PKO BP, informacja dostępna jest na przykład tu: Klienci PKO BP – uwaga na cyberoszustów. Tradycyjnie przyczepię się do kwestii merytorycznych zawartych w tym artykule.
We wtorek swoją premierę miał Firefox 3. W jednej wypowiedzi Window Snyder powiedziała:
In setting out to elevate Firefox's basic security, Snyder is also compelling Microsoft and Apple, maker of the Safari browser, to follow her lead — or get out of the way.
Snyder's rising star is sure to ascend even more this week, with the release of Version 3.0 of Firefox on Tuesday. The release is packed with new features, most notably stiffer security, faster speed and improved ease of use.
Panią Snyder uważam za kompetentną osobę, choćby z uwagi na książkę Threat Modeling , ale ta wypowiedź wybitnie jej nie wyszła...
Jednym z elementów analizy systemu (po incydencie) jest analiza pamięci fizycznej. Problemem jest oczywiście zdobycie obrazu tej pamięci. Kiedyś można było zdobyć go bezpośrednio nawet za pomocą narzędzia dd przy czym a samą pamięć można było odczytywać z \Device\PhysicalMemory. To się jednak zmieniło. W ostatnich dniach pojawiło się jednak kilka narzędzi, które na uzyskanie obrazu pamięci pozwalają.