Czasami w trakcie testów trafia się na zachowanie aplikacji, które jest co najmniej zagadkowe. Mam na myśli tu różnego rodzaju udziwnienia, które prawdopodobnie w zamyśle jej twórców mają na celu podniesienie jej bezpieczeństwa. W praktyce ich skuteczność jest jednak często bliska zeru. Fakt, trzeba się chwilę zastanowić o co właściwie chodzi (co artysta miał na myśli), ale to trochę security by obscurity przy czym to obscurity szybko przestaje być tajemnicą bo wystarczy na przykład rzucić okiem w kod JavaScript.
Skoro wspominałem ostatnio ponownie o Application Security Verification Standards, warto wspomnieć o nowej wersji narzędzia Watcher. Wersja 1.2 tego narzędzia zawiera wsparcie dla ASVS właśnie. Wsparcie, czyli mapowanie kilku testów na punkty kontrolne zdefiniowane w ASVS.
Tomek na swoim blogu odniósł się do mojej serii o implementowaniu haseł. Przedstawił nieco inne podejście, czyli zamiast implementować hasła, skorzystać z oferowanych usług w tym zakresie (np. OpenID, information card). Zdecydowanie warto przeczytać i zastanowić się dlaczego wykorzystanie tego typu rozwiązań wciąż jest tak małe i programiści wciąż wolą implementować hasła po swojemu.
Oryginał tego wpisu dostępny jest pod adresem Tomek o hasłach
Mógłbym znowu napisać jak fatalnie się jeździ, ale szkoda moich nerwów. Misiek – droga “na skos” też wcale nie jest taka szybka, zwłaszcza jak wiele innych samochodów z niej korzysta. Poza tym trzeba najpierw do niej dojechać...
Od dłuższego czasu zbieram się w sobie do napisania tego tekstu. Wcale nie jestem przekonany, że testy penetracyjne są tym, z czego klient odniesie najwięcej korzyści, mimo, że je chce zamówić (często pod nazwą audytu bezpieczeństwa). Chodzi mi tu o testy penetracyjne sieci a nie testy penetracyjne (dedykowanej) aplikacji internetowej bo to trochę dwie różne kwestie.
Na początku chciałem przeprosić wszystkich fanów serii Heroes of Might and Magic, z serią miałem kontakt jedynie pobieżny i raczej rozrywkowy, więc mogę trochę mieszać. O ile pamięć mnie nie myli, jedną z postaci było Zombie (a może zmutowane zombie albo mumia?).