Tak, znowu będzie o hasłach. Tym razem o przechowywaniu haseł. A bezpośrednią inspiracją jest (tak, zgadliście) to: Allegro: kontrowersje wokół sposobu przechowywania haseł, ale od razu uprzedzam – na ten temat nie napiszę nic.
Programiści zawsze potrafią mnie zaskoczyć, ilość sposobów, na których można wprowadzić do aplikacji podatności wydaje się nieograniczona. Skąd czerpią na to pomysły?
Widzę, że temat identyfikatorów pośrednich nie spotkał się z większym zainteresowaniem, a szkoda. Ilość błędów kontroli dostępu do danych, z którymi się spotkałem w trakcie testów penetracyjnych aplikacji internetowych jest duża. Praktycznie za każdym razem wynikają one właśnie z użycia identyfikatorów globalnych (ponownie patrz: Insecure Direct Object Reference).
Przykład: Absurdy i obelgi pod internetowym adresem. Tak to jest, jak za pisanie na jakiś temat zabiera się ktoś, kto nie ma na jego temat większego pojęcia.
Nabyłem sobie ostatnio nowy router WiFi (TL-WR340GD), bo z realizowania access pointa za pomocą OpenBSD ostatecznie zrezygnowałem (bo miałem z tym problemy). W zasadzie wystarczyłby mi zwykły AP a nie router, ale zależało mi na wbudowanym w urządzenie switchu. I w sumie ten post by nie powstał, gdyby nie drobna inspiracja: DEFCON preview: Netgear RP614 CSRF attack video.
Jest wiele metod na ustalenie cudzego PIN. Na BlackHat 2009 zaprezentowana została nowa metoda, o której pisał między innymi Piotrek. Tu rozwinę swój komentarz, który umieściłem pod jego wpisem.
O tym, że identyfikatory globalne są ZŁE pisałem wielokrotnie, ostatnio przy okazji luki w systemie rejestracji UJ. Udostępniam więc prosty przykład pokazujący różnicę między identyfikatorem globalnym a lokalnym (pośrednim): Identyfikatory globalne i lokalne (pośrednie).
...w muzyce. Pamiętacie?
A tak mnie naszło :)
I z zupełnie innych klimatów: http://www.youtube.com/watch?v=8ho2xvEJxls. Na koncertach zawsze mnie rozbrajało jak misio Skawiński z brzuchem pokaźnym i dyndającą na jego końcu gitarą wymiata tak, że dźwięk wgniata w podłogę. Zwłaszcza pamiętam jedno wykonanie tej właśnie piosenki z baaardzo długą solówką... To tu się do niego nie umywa. A teraz co? Znów gra i trąbi zespół Kombi.
Oryginał tego wpisu dostępny jest pod adresem Nostalgia za tym, co było...
Autor: Paweł Goleń
Drobne uzupełnienie do poprzedniego wpisu o autocomplete. Po pierwsze IE będzie proponował zapamiętywanie pary username/password nawet, jeśli strona jest pobrana po SSL. Po drugie użytkownik może włączyć automatyczne uzupełnianie dla pól formularzy bez wchodzenia do konfiguracji przeglądarki. “Świeża” przeglądarka przy wysyłaniu formularza zapyta użytkownika, czy życzy sobie włączyć tę funkcję.
Powyższy dialog pojawia się chyba przy drugim wysłaniu tego samego formularza, a domyślny wybór to “tak, oczywiście”, tak więc wyłączenie automatycznego uzupełniania formularzy prawdopodobnie nie zmienia faktu, że znaczna część użytkowników je włącza.
Oryginał tego wpisu dostępny jest pod adresem Autocomplete II: uzupełnienie
Autor: Paweł Goleń
Jest kilka aspektów bezpieczeństwa aplikacji, które zależne są przede wszystkim od przeglądarki, z której korzysta użytkownik, a w mniejszym stopniu od samej aplikacji.