Decydując się na wykorzystanie hostingu oferowanego przez firmę hostingową trzeba zaakceptować fakt, że nad bezpieczeństwem swoich stron i aplikacji ma się ograniczoną kontrolę. Można jednak zastosować kilka praktyk, dzięki którym poziom bezpieczeństwa ulegnie pewnej drobnej poprawie.
Skoro wspomniałem o BSIMM, to warto też wspomnieć o Software Assurance Maturity Model. Ogólnie jest w czym wybierać:
Stosunkowo niedawno światło dzienne ujrzała ciekawa inicjatywa: Building Security In Maturity Model. Można było o niej przeczytać na przykład na blogu poświęconemu SDL (przy okazji też można poczytać o SDL Optimization Model).
Warto przeczytać: Exposing Flash Application Vulnerabilities with SWFScan. A tak to narzędzie można wykorzystać: Code in a Flash.
Tak, to prawda. Kury przestaną znosić jajka, krowy dawać mleko, koty zaczną szczekać, a psy miauczeć. A wszystko to przez fakt, że robak Conficker objawi swoje piekielne moce, właśnie w dniu tym przeklętym, czyli 1 kwietnia 2009 roku. Wszak to jest oczywiste, jeśli do 2009 doda się wysokość słońca nad horyzontem, podzieli przez kąt padania promieni słonecznych na Krzysztofa Kolumba w dniu 1 kwietnia 1492 roku, a następnie pomnoży przez sumę ilorazów inteligencji roślin doniczkowych z obszaru dwóch hektarów w obrębie punktu na ziemi, na który światło księżyca pada prostopadle 1 kwietnia 2009 roku o godzinie 7:06 czasu UTC, niewątpliwie otrzyma się liczbę 666, a to mówi samo za siebie! Koniec świata takiego, jaki znamy...
Zgodnie z zapowiedzią udostępniam pierwszy odcinek obozu dla rekrutów na temat absolutnych podstaw, czyli:
Osoby choć trochę zaawansowane nie znajdą w tym odcinku niczego ciekawego, przeznaczony jest on dla osób absolutnie początkujących, takie wprowadzenie, by mogli ugryźć późniejsze przykłady. Kolejny odcinek będzie dotyczył identyfikatorów globalnych i pojawi się, jak znajdę czas, by popełnić dobry przykład złego przykładu.
Mam w planach uruchomienie małego kursu odnośnie bezpieczeństwa aplikacji internetowych. Kurs to może za dużo powiedziane, po prostu kilka praktycznych przykładów wystąpienia elementarnych podatności. W założeniu nie ma to być kolejny WebGoat, raczej szybka metoda zobrazowania tematów, o których piszę. Pierwszą lekcją będzie pokazanie podstawowych elementów działania protokołu HTTP.
Mam w tej chwili cztery komputery połączone przez WiFi. Ostatnio dwa z nich zaczęły prezentować bardzo irytujące objawy – zerwanie połączenia z AP. W tym samym czasie pozostałe dwa komputery nie miały żadnych problemów.
Na blogu SecuriTeam pojawił się wpis File upload security recommendations. Warto się z nim zapoznać i stosować zawarte tam zalecenia. Ogólnie – im mniej użytkownik ma kontroli nad tym gdzie i jak plik zostanie zapisany na serwerze, tym lepiej.