Tomek na swoim blogu odniósł się do mojej serii o implementowaniu haseł. Przedstawił nieco inne podejście, czyli zamiast implementować hasła, skorzystać z oferowanych usług w tym zakresie (np. OpenID, information card). Zdecydowanie warto przeczytać i zastanowić się dlaczego wykorzystanie tego typu rozwiązań wciąż jest tak małe i programiści wciąż wolą implementować hasła po swojemu.
Oryginał tego wpisu dostępny jest pod adresem Tomek o hasłach
Autor: Paweł Goleń
Drobne nawiązanie do tekstu Czy potrzebujesz właśnie testów penetracyjnych i tematów podnoszonych przez Michała (xterm) w komentarzach.
Mógłbym znowu napisać jak fatalnie się jeździ, ale szkoda moich nerwów. Misiek – droga “na skos” też wcale nie jest taka szybka, zwłaszcza jak wiele innych samochodów z niej korzysta. Poza tym trzeba najpierw do niej dojechać...
EDIT: ...a powrót niewiele lepszy był...
Oryginał tego wpisu dostępny jest pod adresem Polskie drogi po raz kolejny
Autor: Paweł Goleń
Od dłuższego czasu zbieram się w sobie do napisania tego tekstu. Wcale nie jestem przekonany, że testy penetracyjne są tym, z czego klient odniesie najwięcej korzyści, mimo, że je chce zamówić (często pod nazwą audytu bezpieczeństwa). Chodzi mi tu o testy penetracyjne sieci a nie testy penetracyjne (dedykowanej) aplikacji internetowej bo to trochę dwie różne kwestie.
Tak tylko informacyjne dwie sprawy:
Na początku chciałem przeprosić wszystkich fanów serii Heroes of Might and Magic, z serią miałem kontakt jedynie pobieżny i raczej rozrywkowy, więc mogę trochę mieszać. O ile pamięć mnie nie myli, jedną z postaci było Zombie (a może zmutowane zombie albo mumia?).
Choć piszę głównie o testach i bezpieczeństwie aplikacji internetowych, to zdarzają się również testy penetracyjne infrastruktury sieciowej, często zresztą połączone z testami aplikacji internetowej korzystającej z danej infrastruktury. Jednym z pierwszych kroków w takich testach jest skanowanie portów. Czas skanowania (a właściwie jego minimalizacja) jest dość istotna w przypadku testów (lub nawet tylko skanowania z wykorzystaniem narzędzi automatycznych) dużej ilości adresów.
Podczas jednego ze spotkań OWASP w Krakowie Łukasz Pilorz mówił na temat wykrywania intruzów w aplikacjach internetowych. Wartością dodaną wykorzystania tego typu mechanizmów jest nie tylko wykrycie i powstrzymanie próby włamania, ale również pozyskanie informacji na temat tego, co i w jaki sposób robią ONI.
Ciekawa uwaga odnośnie modelowania zagrożeń została zawarta w poście Good thinking about threat models: ”(...) we threat model not to find threats, but to find and implement countermeasures (...)”. Przy okazji przypominam o IT Infrastructure Threat Modeling Guide.
Oryginał tego wpisu dostępny jest pod adresem Modelowanie zagrożeń i proaktywne bezpieczeństwo
Autor: Paweł Goleń
Na schemacie, który umieściłem w pierwszym poście O implementowaniu haseł zaznaczone są dwa data store. Jednym z nich są logi. Po co znalazł się on na schemacie i jaki ma związek z (poprawną) implementacją haseł?