Takie nietypowe pytanie: z ilu komputerów korzystacie? Chodzi mi tu przede wszystkim o rozgraniczenie między sprzętem firmowym i prywatnym. Czy jeśli macie służbowego laptopa, używacie go do celów prywatnych (o ile konfiguracja na to pozwala)? A jak w przypadku własnej działalności?
Ja bardzo się staram, by kwestie firmowe i prywatne oddzielić. Nawet teraz korzystam z dwóch laptopów, jednego “prywatnego” i drugiego “roboczego”. Poza pocztą na “roboczym” laptopie rzeczy prywatnych nie mam praktycznie wcale. Zastanawiam się, czy jestem pod tym względem jakimś ewenementem (tak mi się wydaje patrząc wśród znajomych), czy więcej osób stosuje tego typu podejście.
Poczta Polska proponuje głosowanie listem poleconym. Na bazie swoich doświadczeń z różnymi usługami Poczty Polskiej mam pewne wątpliwości, czy firma ta byłaby w stanie dostarczyć wspomniane przesyłki na czas i ile by z nich zaginęło po drodze...
Właśnie wróciłem z małej wycieczki. Niestety w tym roku wciąż nie mogę dojść do formy, ciągle mam jakieś problemy albo ze sobą (np. bóle nadgarstków), ze sprzętem (piasty, stery), albo z pogodą (nie znoszę jeździć w trakcie upałów). Dziś w końcu było znośnie. Co prawda zapomniałem mapy, trochę się zgubiłem i musiałem przeprawiać się przez dość głębokie kałuże, ale co tam :)
Zakładasz dowolne konto, logujesz się i możesz przeszukiwać bazę danych kandydatów. Wystarczy, że w pasku wyszukiwarki zmienisz trzy ostatnie cyfry adresu.
W ramach ćwiczeń rzucam temat związany z Application Security Verification Standards. Jakie są praktyczne korzyści z tytułowego wymagania i w jakich scenariuszach. Stosowne punkty w ASVS:
V2.9 Verify that re-authentication is required before any application-specific sensitive operations are permitted.
V3.7 Verify that the session id is changed on reauthentication.
Dla pobudzenia Waszej wyobraźni pytania:
Jakie znacie aplikacje, które korzystają z tego mechanizmu?
Czy korzystacie z tego rozwiązania w swoich aplikacjach (pytanie do nielicznych programistów)?
Jakie operacje uznalibyście za application-specific sensitive operations w kontekście konkretnej aplikacji (do wyboru)?
Co w przypadku, gdy na stacji działa malware?
Dlaczego w bankach wymagane jest coś więcej do autoryzacji transakcji?
W temacie ostatniego pytania wiele razy się wypowiadałem w odniesieniu do bankowości internetowej, zresztą pośrednio odpowiadając na pytanie drugie. Ale Wasze zdanie wcale nie musi być takie samo, jak moje :)
Wczoraj w Warszawie komornik zajmował halę KDT. Zajmował, ponieważ istnieje wyrok sądu, do którego kupcy zajmujący KDT się nie zastosowali. To, jakie komentarze się pojawiły po tej akcji (rząd, władze miasta, policja, straż miejska źli; dobrzy kupcy) dowodzi tylko, że jesteśmy bardzo dziwnym krajem.
Na początek odsyłam do postu na BugTraq: Hacking CSRF Tokens using CSS History Hack. W szczególności do sekcji Some of the prerequisites for this attack to work (...). Sam atak jest ciekawy, ale te wymagania...
By uniknąć tworzenia “odtwórczych” wpisów na podstawie postów z cudzych blogów te wpisy, które uznam za interesujące, ale nie będę miał nic sensownego do dodania, po prostu udostępnię tu: http://www.google.com/reader/shared/05959933615902226266.