Kolejny odcinek, również prosty. Dotyczy “kontroli dostępu” do danych, która realizowana jest na zasadzie “czego użytkownik nie kliknie, to NA PEWNO jest bezpieczne”, czyli przypadku, gdy taka kontrola realizowana jest wyłącznie w GUI. Bootcamp: “kontrola dostępu” do danych.
Zawsze wolałem Wołoszańskiego od Baliszewskiego. Jakoś ostatnio pojawił się w kinach film Generał – Zamach na Gibraltarze , który powstał “na podstawie badań” Baliszewskiego właśnie. O ile się nie mylę, to żenujący spektakl z ekshumacją zwłok Władysława Sikorskiego zakończył się wykluczeniem wersji (a to niespodzianka) o wcześniejszym otruciu lub zastrzeleniu... Ja rozumiem, że można “bawić się” historią, to nawet bywa ciekawe i inspirujące, gdy buduje się alternatywną wizję świata na zasadzie “co by było, gdyby”, ale albo coś jest fikcją, albo biografią. Wiem na pewno na co nie pójdę do kina... A przy okazji – nie życzę sobie, by moje pieniądze szły na badania odnośnie tego, czy ksiądz Jankowski był “kontaktem operacyjnym” (Ksiądz Jankowski to kontakt operacyjny SB) albo czy Wałęsa miał nieślubnego syna i gdzie nasikał, a gdzie nie (Lech Wałęsa – idea i historia). Po prostu nie interesuje mnie to , to już nie jest nawet śmieszne, to jest żenujące.
Kilka razy widziałem pytanie na grupach dyskusyjnych, w jaki sposób można otrzymać informację, że jakiś plik został zmodyfikowany (lub stworzony). Jest to dość proste do zrealizowania, choćby za pomocą klasy System.IO.FileSystemWatcher. Oczywiście można zejść niżej do funkcji API typu FindFirstChangeNotification czy ReadDirectoryChangesW. Można też skorzystać z [dzienników zmian (Change Journals)](). Można również wykorzystać do tego celu WMI.
Tym razem drobne wyjaśnienie odnośnie jakie typy zagrożeń dotyczą poszczególnych typów obiektów (z diagramów DFD). Istnieje kilka wersji matrycy przyporządkowującej zagrożenia do elementów, kilka słów na ten temat.
Decydując się na wykorzystanie hostingu oferowanego przez firmę hostingową trzeba zaakceptować fakt, że nad bezpieczeństwem swoich stron i aplikacji ma się ograniczoną kontrolę. Można jednak zastosować kilka praktyk, dzięki którym poziom bezpieczeństwa ulegnie pewnej drobnej poprawie.
Skoro wspomniałem o BSIMM, to warto też wspomnieć o Software Assurance Maturity Model. Ogólnie jest w czym wybierać:
Stosunkowo niedawno światło dzienne ujrzała ciekawa inicjatywa: Building Security In Maturity Model. Można było o niej przeczytać na przykład na blogu poświęconemu SDL (przy okazji też można poczytać o SDL Optimization Model).
Warto przeczytać: Exposing Flash Application Vulnerabilities with SWFScan. A tak to narzędzie można wykorzystać: Code in a Flash.
Tak, to prawda. Kury przestaną znosić jajka, krowy dawać mleko, koty zaczną szczekać, a psy miauczeć. A wszystko to przez fakt, że robak Conficker objawi swoje piekielne moce, właśnie w dniu tym przeklętym, czyli 1 kwietnia 2009 roku. Wszak to jest oczywiste, jeśli do 2009 doda się wysokość słońca nad horyzontem, podzieli przez kąt padania promieni słonecznych na Krzysztofa Kolumba w dniu 1 kwietnia 1492 roku, a następnie pomnoży przez sumę ilorazów inteligencji roślin doniczkowych z obszaru dwóch hektarów w obrębie punktu na ziemi, na który światło księżyca pada prostopadle 1 kwietnia 2009 roku o godzinie 7:06 czasu UTC, niewątpliwie otrzyma się liczbę 666, a to mówi samo za siebie! Koniec świata takiego, jaki znamy...
Zgodnie z zapowiedzią udostępniam pierwszy odcinek obozu dla rekrutów na temat absolutnych podstaw, czyli:
Osoby choć trochę zaawansowane nie znajdą w tym odcinku niczego ciekawego, przeznaczony jest on dla osób absolutnie początkujących, takie wprowadzenie, by mogli ugryźć późniejsze przykłady. Kolejny odcinek będzie dotyczył identyfikatorów globalnych i pojawi się, jak znajdę czas, by popełnić dobry przykład złego przykładu.