W OpenBSD-current pojawiło się (w końcu) wsparcie dla WPA/WPA2. Czyli, znając OpenBSD, pojawi się ono oficjalnie w wersji 4.4, gdzieś w okolicy 1 listopada 2008 roku. Nie omieszkam zmienić WEP na WPA2 i wówczas się zastanowię, czy zrezygnować z IPSec w sieci WiFi.
Kiedyś wirusy przenosiły się przez dyskietki, później był bym internetowy, a teraz znowu zaczynają wykorzystywać nośniki wymienne do rozpowszechniania się. W Windows sprzyja temu funkcja Autorun, przy czym od dawna wiadomo, że ją należy wyłączyć. Autorun to jednak nie tylko automatyczne uruchomienie programu, ale również modyfikacja menu kontekstowego dla danego nośnika. W szczególności możliwa jest modyfikacja domyślnej akcji dla nośnika, co oznacza, że po kliknięciu na podłączony dysk USB zamiast zobaczyć jego zawartość, wykonujemy jakąś (bliżej nieokreśloną) akcję domyślną. Można jednak przekonać Windows (a konkretnie powłokę, czyli Explorer), by ignorował pliki Autorun.inf. Jak? Tu jest przedstawiony wyjątkowo zmyślny sposób.
Ilość komputerów w domu i sposób ich wykorzystania rośnie. Coraz częściej z tych samych plików chce się korzystać na różnych komputerach. Microsoft wydał nawet Windows Home Server, ja mam jednak inny pomysł.
W Windows XP w SP2 pojawiła się technologia DEP. W skrócie chodzi o to, by ewentualny kod, który zostanie umieszczony w obszarze danych (na przykład przez buffer overflow) nie mógł być wykonany. W sumie nic odkrywczego, pomysł stosowany z powodzeniem od dłuższego czasu w innych systemach operacyjnych. Problem w tym, że system Windows ciągnie za sobą bagaż zgodności wstecznej, w związku z czym Microsoft, choć wprowadził DEP, to nie zrobił tego tak na 100%25, choć dał użytkownikom prawo wyboru.
Chwalił się już Tomek, że odbył pierwsze jazdy rowerowe, pochwalę się i ja. Ja wiem, że późno i wszyscy inni już dawno mają inaugurację sezonu rowerowego za sobą, ale na swoje usprawiedliwienie mam to, że najpierw się trochę pochorowałem, a później dość długo wracałem do sił... No i jeszcze to, że sezon “wiosennej aktywności” rozpocząłem jeszcze głęboką kalendarzową zimą od rolek... Wrażenia z jazdy pozytywne, trasa niezbyt długa, tylko 40 kilometrów, ale w końcu to pierwsza jazda w tym roku. Samopoczucie nadspodziewanie dobre po tym całym zimowym lenistwie, choć może to zostać brutalnie zweryfikowane jutro rano. Rower też przezimował w stanie zadowalającym, choć chyba będę chciał zmienić widelec, tępy się już stał i kiepsko tłumi małe drgania, co boleśnie odczuwają moje nadgarstki, łokcie i barki. Wymiana widelca jest tańsza niż wymiana stawów, więc “wicie, rozumicie” ... Poważnie zastanowię się też nad zmianą łańcucha.
Na początek muszę wymyślić inny sposób rozpoczęcia tekstu, niż “Pisałem (już) o...”. Dobra, początek jest już inny, więc: pisałem już o tym, dlaczego lubię ASP.NET. Wspominałem wówczas, że w ASP.NET są rozwiązania, które znacznie zwiększają bezpieczeństwo aplikacji, pod warunkiem, że się z nich korzysta. Dziś natknąłem się na prezentację Bitten on the ASP, która to potwierdza. Druga prezentacja, która również jest warta chwili uwagi, to Next Generation .NET Vulnerabilities.
...a sam właśnie boleśnie doświadczam skuteczność mechanizmu EventValidation...
Oryginał tego wpisu dostępny jest pod adresem ASP.NET bezpieczne by default
Autor: Paweł Goleń
Pisałem o wykorzystaniu atrybutu LastAccessTime w celu ustalenia czasu zaistnienia pewnych zdarzeń w systemie. Dotyczyło to systemu plików na NTFS. Co ciekawe również rejestr systemowy utrzymuje pewien interesujący atrybut.
Pisałem, że pewien bank wprowadza zmianę metody uwierzytelnienia i autoryzacji transakcji. Sprawa się rozwija, bank prowadzi akcję informacyjną dla klientów (dobrze), ale dalej jestem niedoinformowany (źle). No dobrze, jestem doinformowany, ale to dzięki “bezpośrednim kontaktom” w banku. Nie podoba mi się natomiast sposób realizacji akcji informacyjnej, w szczególności to, że jest realizowana telefonicznie.
A przynajmniej ja ich nie lubię. I mam ku temu konkretne powody...
Pisałem już o dekompozycji aplikacji, w trakcie której identyfikowane są punkty wejścia oraz poziomy dostępu. Identyfikacja punktów wejścia oraz poziomów dostępu pozwalają na określenie jak i kto może daną aplikację zaatakować. Nie odpowiadają jednak na pytanie po co ma to robić. Dlatego ważny jest trzeci element, który roboczo określę jako zasoby , przy czym nie jest to najlepsze tłumaczenie pojęcia assets.