Pora na kolejny eksperyment. Tym razem jest on związany z bankowością internetową i tematem autoryzacji transakcji. Eksperyment jest podwójny ponieważ symuluję w nim dwie metody autoryzacji transakcji. Pierwsza jego część związana jest z autoryzacją transakcji przy użyciu kodów jednorazowych dostarczanych poprzez SMS. W drugiej części w ograniczonym stopniu symuluję autoryzację transakcji przy użyciu tokena challenge/response. Zadanie polega na wykonaniu przelewu tak, jak w normalnym banku, który korzysta z tych metod autoryzacji transakcji. Po prostu zrób kilka przelewów i nie daj się okraść.
Mój niedawny eksperyment dotyczył pojemności pamięci krótkotrwałej. Pojemność tej pamięci jest znana i wynosi 7 elementów +/– 2. Chciałem zweryfikować, czy informacje, które można wyczytać w mądrych książkach, są zgodne z rzeczywistością. Ten sam eksperyment przeprowadzony 20 lat temu i dziś wcale nie musi dać takich samych rezultatów. Są badania, z których wynika, że wśród obecnych 11-12 latków pewne zdolności kognitywne rozwijają się o 2-3 lata później, niż miało to miejsce 15 lat temu (Children are less able than they used to be). Co prawda oczekiwano zmiany, ale raczej w drugim kierunku. Inny przykład: Psychologia biznesu: Jak reklamy wabią dzieci? (20.02) i fragmenty o “wymiataniu neuronów”. Przez otaczającą nas rzeczywistość nasze mózgi kształtują się inaczej, niż kiedyś. No i w zasadzie po co nam pamięć krótkotrwała, skoro mamy cut, copy and paste?
Kolejne wskazówki/zadanie związane z bootcamp XXV. W tej części wskazówek udostępniony jest plik z zapisem sesji HTTP. Zadanie polega na przeanalizowaniu odpowiedzi serwera na poszczególne zapytania i identyfikacji na tej podstawie miejsc, w których należy się spodziewać sql injection. Więcej informacji: Wyzwanie V – wskazówki, część druga.
Truizmem jest stwierdzenie, że człowiek jest najsłabszym ogniwem (bezpieczeństwa). Wydaje mi się, że za mało czasu poświęca się temu, by odpowiedzieć na pytanie dlaczego tak właśnie jest. Człowiek jest (tylko) człowiekiem, jest przez to “ograniczony”. Ograniczony przez tysiące lat ewolucji, które w pewien sposób nas ukształtowały. Uważam, że z czasów, gdy nasi przodkowie musieli walczyć o przetrwanie, pożywienie i sukces reprodukcyjny, zostało w naszym zachowaniu dużo więcej, niż chcemy się do tego przyznać. Są też inne, prostsze(?), zagadnienia z psychologii, które mogą przydać się przy projektowaniu mechanizmów bezpieczeństwa. Używalnych mechanizmów bezpieczeństwa, cokolwiek to znaczy.
używanie oprogramowania, które zawiera znane podatności ,
W tej chwili zamiast się dowartościowywać wymyślając przemyślne epitety mające oddać brak profesjonalizmu ofiar ataku, lepiej zastanowić się, czy my sami się przed takim scenariuszem dobrze bronimy. To jak z tym jest?
Jeśli ktoś z czytelników ma trochę czasu do zmarnowania(?), to może niech go marnuje produktywnie. No, produktywnie przynajmniej dla mnie :) Chcę przeprowadzić pewien eksperyment, Wasz udział bardzo mi w tym pomoże.
O co chodzi? Przygotowałem prostą aplikację, która wyświetla przez kilka sekund kilka cyfr. Następnie te cyfry znikają, natomiast pojawia się pole do ich wpisania. Zadanie jest proste – spróbować przepisać wyświetlone wcześniej cyfry, lub przynajmniej tyle, ile udało się zapamiętać. Ilość wyświetlanych cyfr waha się od 3 do 10, czas ich wyświetlania zależy natomiast od ich ilości (sekunda na każdą cyfrę).
Znam Tomka i mogę praktycznie w ciemno założyć, że jego szkolenie było konkretne (treść) i ciekawe (forma przedstawienia, sposób mówienia, osobowość mówcy). Podobne odczucia mam w odniesieniu do kilku innych osób, co do których wiem, że łączą sporą wiedzę z umiejętnością ciekawego opowiadania. Znam też osoby, których wiedzę naprawdę podziwiam, ale na prezentacji/szkoleniu w ich wykonaniu wytrzymam góra 5 minut, potem zasnę, albo mnie trafi... I niestety też miałem wątpliwą przyjemność uczestniczenia w szkoleniach/prezentacjach, których treść i forma nie nadaje się nawet do /dev/null.
Otrzymałem ostatnio zapytanie odnośnie przechowywania danych sesji po stronie klienta. Było ono związane z drugim z przygotowanych przeze mnie wyzwań. Jednym z istotnych elementów tego zadania była analiza danych przechowywanych po stronie klienta, co wyjaśniam w opisie implementacji sesyjności w przykładowej aplikacji. Pytanie – czy dane sesji można bezpiecznie przechowywać po stronie klienta?
Przyznaję, że intruder21 wygląda interesująco, ale już przyzwyczaiłem się do swoich skryptów i widzę w tym rozszerzeniu pewne braki. W wielu wypadkach będzie jednak narzędziem wystarczająco dobrym , dlatego warto się z nim zapoznać. A swoimi skryptami nadal nie zamierzam się dzielić. Nie dlatego, by była w nich jakaś wiedza tajemna, ale dlatego, że są po prostu brzydkie :)
Nie jest to do końca prawda, już wcześniej dostępne były darmowe narzędzia, które pozwalały na montowanie obrazu dysku w systemie Windows. Wystarczy wspomnieć o:
Narzędzie P2 eXplorer dostępne jest co prawda za darmo, ale na stronie pobierania znajduje się formularz, w którym trzeba zostawić swoje dane. Jak już kiedyś wspominałem takie formularze działają na mnie zniechęcająco...
Niespodzianka – ten formularz jest dobrym przykładem jak nie należy implementować tego typu funkcjonalności. Ach, te pola ukryte...