W ramach ćwiczeń rzucam temat związany z Application Security Verification Standards. Jakie są praktyczne korzyści z tytułowego wymagania i w jakich scenariuszach. Stosowne punkty w ASVS:
V2.9 Verify that re-authentication is required before any application-specific sensitive operations are permitted.
V3.7 Verify that the session id is changed on reauthentication.
Dla pobudzenia Waszej wyobraźni pytania:
Jakie znacie aplikacje, które korzystają z tego mechanizmu?
Czy korzystacie z tego rozwiązania w swoich aplikacjach (pytanie do nielicznych programistów)?
Jakie operacje uznalibyście za application-specific sensitive operations w kontekście konkretnej aplikacji (do wyboru)?
Co w przypadku, gdy na stacji działa malware?
Dlaczego w bankach wymagane jest coś więcej do autoryzacji transakcji?
W temacie ostatniego pytania wiele razy się wypowiadałem w odniesieniu do bankowości internetowej, zresztą pośrednio odpowiadając na pytanie drugie. Ale Wasze zdanie wcale nie musi być takie samo, jak moje :)
Wczoraj w Warszawie komornik zajmował halę KDT. Zajmował, ponieważ istnieje wyrok sądu, do którego kupcy zajmujący KDT się nie zastosowali. To, jakie komentarze się pojawiły po tej akcji (rząd, władze miasta, policja, straż miejska źli; dobrzy kupcy) dowodzi tylko, że jesteśmy bardzo dziwnym krajem.
Na początek odsyłam do postu na BugTraq: Hacking CSRF Tokens using CSS History Hack. W szczególności do sekcji Some of the prerequisites for this attack to work (...). Sam atak jest ciekawy, ale te wymagania...
By uniknąć tworzenia “odtwórczych” wpisów na podstawie postów z cudzych blogów te wpisy, które uznam za interesujące, ale nie będę miał nic sensownego do dodania, po prostu udostępnię tu: http://www.google.com/reader/shared/05959933615902226266.
Na Feedburner mam około 140 subskrybentów. Do tego dochodzi pewna grupa czytelników, którzy z dobrodziejstw RSS nie korzystają. Ciekawy jestem czy wśród czytelników są programiści (głównie chodzi mi o programistów tworzących aplikacje internetowe), a jeśli tak, to ilu. Czy programiści interesują się bezpieczeństwem? Jak wiele o nim wiedzą? Czy znają zagrożenia i wiedzą jakie powinni stosować środki zaradcze?
Od dłuższego czasu przymierzam się, by wiadomości, które czytam na RSS, i które wydają mi się interesujące, udostępnić szerszemu światu. Jak na razie wciąż pozostaje to w sferze dalekich planów, czego pośrednim skutkiem są takie puste posty jak ten, choć raczej zamiast powtarzać oryginalną (lub nieco modyfikując) treść, staram się raczej odsyłać do źródła.
...a jutro (znaczy się dziś, ale “po spaniu”) znowu ma być gorąco...
Oryginał tego wpisu dostępny jest pod adresem Różne takie
Są dni, kiedy człowiek jest jakiś taki sponiewierany, zmęczony, (...), nie może podnieść się z łóżka. Wydaje się wówczas, że gorzej być nie może. Poranek dnia następnego udowadnia jednak, że jest w błędzie. Może. Właśnie testuję naturalną kofeinę z guarany.
Oryginał tego wpisu dostępny jest pod adresem A jednak może