Poczta Polska proponuje głosowanie listem poleconym. Na bazie swoich doświadczeń z różnymi usługami Poczty Polskiej mam pewne wątpliwości, czy firma ta byłaby w stanie dostarczyć wspomniane przesyłki na czas i ile by z nich zaginęło po drodze...
Oryginał tego wpisu dostępny jest pod adresem Poczta Polska proponuje głosowanie listem poleconym
Autor: Paweł Goleń
Właśnie wróciłem z małej wycieczki. Niestety w tym roku wciąż nie mogę dojść do formy, ciągle mam jakieś problemy albo ze sobą (np. bóle nadgarstków), ze sprzętem (piasty, stery), albo z pogodą (nie znoszę jeździć w trakcie upałów). Dziś w końcu było znośnie. Co prawda zapomniałem mapy, trochę się zgubiłem i musiałem przeprawiać się przez dość głębokie kałuże, ale co tam :)
Oryginał tego wpisu dostępny jest pod adresem Wreszcie znośna pogoda na rower
Autor: Paweł Goleń
Niebezpieczna luka w systemie rejestracji na UJ.
Zakładasz dowolne konto, logujesz się i możesz przeszukiwać bazę danych kandydatów. Wystarczy, że w pasku wyszukiwarki zmienisz trzy ostatnie cyfry adresu.
Kontrola dostępu do danych się kłania. A identyfikatory globalne są ZŁE! (patrz Insecure Direct Object Reference oraz dobre wyjaśnienie ogólnej koncepcji AccessReferenceMap, że o moim PoC nie wspomnę).
Oryginał tego wpisu dostępny jest pod adresem Niebezpieczna luka w systemie rejestracji na UJ
Autor: Paweł Goleń
Dołączyłem się do Green IT.
W ramach ćwiczeń rzucam temat związany z Application Security Verification Standards. Jakie są praktyczne korzyści z tytułowego wymagania i w jakich scenariuszach. Stosowne punkty w ASVS:
Dla pobudzenia Waszej wyobraźni pytania:
W temacie ostatniego pytania wiele razy się wypowiadałem w odniesieniu do bankowości internetowej, zresztą pośrednio odpowiadając na pytanie drugie. Ale Wasze zdanie wcale nie musi być takie samo, jak moje :)
Oryginał tego wpisu dostępny jest pod adresem (...) re-authentication is required (...)
Autor: Paweł Goleń
Wczoraj w Warszawie komornik zajmował halę KDT. Zajmował, ponieważ istnieje wyrok sądu, do którego kupcy zajmujący KDT się nie zastosowali. To, jakie komentarze się pojawiły po tej akcji (rząd, władze miasta, policja, straż miejska źli; dobrzy kupcy) dowodzi tylko, że jesteśmy bardzo dziwnym krajem.
Na początek odsyłam do postu na BugTraq: Hacking CSRF Tokens using CSS History Hack. W szczególności do sekcji Some of the prerequisites for this attack to work (...). Sam atak jest ciekawy, ale te wymagania...
By uniknąć tworzenia “odtwórczych” wpisów na podstawie postów z cudzych blogów te wpisy, które uznam za interesujące, ale nie będę miał nic sensownego do dodania, po prostu udostępnię tu: http://www.google.com/reader/shared/05959933615902226266.
Oryginał tego wpisu dostępny jest pod adresem Pawel's shared items
Autor: Paweł Goleń
Cross-Site Scripting na liście OWASP Top10 2007 znalazł się na pierwszym miejscu. Na liście 2009 CWE/SANS Top 25 Most Dangerous Programming Errors znajdują się z kolei Improper Input Validation, Improper Encoding or Escaping of Output czyli przyczyny podatności oraz beast itself , czyli Failure to Preserve Web Page Structure ('Cross-site Scripting').
Na Feedburner mam około 140 subskrybentów. Do tego dochodzi pewna grupa czytelników, którzy z dobrodziejstw RSS nie korzystają. Ciekawy jestem czy wśród czytelników są programiści (głównie chodzi mi o programistów tworzących aplikacje internetowe), a jeśli tak, to ilu. Czy programiści interesują się bezpieczeństwem? Jak wiele o nim wiedzą? Czy znają zagrożenia i wiedzą jakie powinni stosować środki zaradcze?
Moje odczucia są takie, że temat bezpieczeństwa jest traktowany mocno po macoszemu w procesie tworzenia oprogramowania. Inicjatywy takie jak Building Security In Maturity Model, Software Assurance Maturity Model czy Security Development Lifecycle to wciąż egzotyka. Chciałbym wiedzieć jak na ten temat zapatruje się “druga strona”.
Oryginał tego wpisu dostępny jest pod adresem Ilu programistów mnie czyta?
Autor: Paweł Goleń