Mam w planach uruchomienie małego kursu odnośnie bezpieczeństwa aplikacji internetowych. Kurs to może za dużo powiedziane, po prostu kilka praktycznych przykładów wystąpienia elementarnych podatności. W założeniu nie ma to być kolejny WebGoat, raczej szybka metoda zobrazowania tematów, o których piszę. Pierwszą lekcją będzie pokazanie podstawowych elementów działania protokołu HTTP.
Mam w tej chwili cztery komputery połączone przez WiFi. Ostatnio dwa z nich zaczęły prezentować bardzo irytujące objawy – zerwanie połączenia z AP. W tym samym czasie pozostałe dwa komputery nie miały żadnych problemów.
Na blogu SecuriTeam pojawił się wpis File upload security recommendations. Warto się z nim zapoznać i stosować zawarte tam zalecenia. Ogólnie – im mniej użytkownik ma kontroli nad tym gdzie i jak plik zostanie zapisany na serwerze, tym lepiej.
W Computerworld ukazał się artykuł Bezpiecznie jak w banku. Wspominam o nim tylko dlatego, że z wdrożeniem systemu zarządzania tożsamością miałem “trochę” wspólnego (choć uważam, że można było to zrobić lepiej). Pozdrowienia dla koleżanek i kolegów, którzy pomagali w tym całym zamieszaniu, a teraz muszą z tym systemem żyć :)
Niezwłocznie po ustaleniu przyczyny problemu (czyli po tym, jak się upomniałem) otrzymałem wyczerpujące wyjaśnienie podnoszonej przeze mnie kwestii. Przypomnę: chodziło o otrzymanie przeze mnie mailingu rozsyłanego przez Pracuj.pl na zlecenie Profeo.pl mimo wcześniejszego usunięcia przeze mnie konta. Cytuję: Wskutek czasowego błędu baza danych w tym okresie nie została zaktualizowana, dlatego otrzymał Pan mailing po skasowaniu konta. Błąd został już naprawiony a baza zaktualizowana i Pana dane zostały całkowicie usunięte z systemu. Czy potrzebny jest jakiś komentarz?
Podpis elektroniczny jest jednym ze sposobów autoryzacji transakcji w bankowości internetowej (lub ogólnie – metodą potwierdzania operacji), ale również mechanizm ten jest wykorzystywany przy niektórych schematach uwierzytelnienia. Niby prosta rzecz, ale bywa implementowana źle.
W ciągu ostatniego miesiąca wpis Nasza Klasa na celowniku został otwarty (bo nie będę twierdził, że przeczytany) ponad 9 tysięcy razy(!). To mi podsuwa pomysł na pewien eksperyment...
Bardzo ciekawe i dogłębne analizy:
...kiedy w końcu zrobi się wiosna? Już mnie nosi :)
Pisałem ostatnio o trust boundary i przy okazji pokazałem diagramy DFD, które są wykorzystywane przy modelowaniu zagrożeń. Dla uzupełnienia w takim razie coś o podejściu STRIDE per element.