Saturday, December 13. 2008
Analizując bezpieczeństwo aplikacji internetowych warto spojrzeć czasami na bezpieczeństwo klienta, czyli na przeglądarkę. Warto przeczytać Browser Security Handbook, choćby po to, by zobaczyć jak różnią się między sobą przeglądarki... Kwestia ta będzie miała coraz większe znaczenie, ponieważ coraz więcej kodu aplikacji wykonuje się po stronie klienta (choćby wspominany już AJAX). O ile "środowisko wykonania" w postaci serwera WWW/serwera aplikacyjnego może być dość dobrze kontrolowane, to środowisko wykonania w postaci przeglądarki kontrolowanej w całości przez klienta jest sporym wyzwaniem. Warto więc poznać cechy charakterystyczne głównych przeglądarek, ich mechanizmy bezpieczeństwa oraz słabości.
Ciąg dalszy "Browser Security Handbook" »
Wednesday, December 10. 2008
Część języków programowania zawiera funkcję eval lub jej funkcjonalny odpowiednik. Można tu przywołać (choćby) JavaScript, Python, PHP, Perl, Smalltalk. Problem w tym, że eval jest czasami nadużywany i przez to ZŁY!
Ciąg dalszy "eval jest ZŁY!" »
Czym są giblets (tak bez spolszczenia pozwolę sobie)? Jest to termin pochodzący z Security Development Lifecycle, który oznacza fragment kodu (nie koniecznie rozumianego jako kod źródłowy) pochodzącego z zewnętrznego źródła. Jest z tym pewien problem: Larry Osterman's WebLog : The Trouble with Giblets. W skrócie - obcy kod może być ZŁY, a wraz z nim dostaje się poniekąd "w prezencie" istniejące w nim podatności.
W przypadku użycia zewnętrznego kodu warto przyglądnąć się jego historii błędów, temu jak jest rozwijany (i czy jest jeszcze rozwijany)... a potem jeszcze śledzić informacje o błędach i aktualizować.
Ciąg dalszy "Giblets" »
Monday, December 8. 2008
Wczoraj napisałem kilka słów o różnych timestampach zwracanych przez LogParser dla różnych formatów wejściowych. Dziś jeszcze kilka słów w tym temacie.
Ciąg dalszy "I jeszcze o czasie (time_t, FILETIME,..." »
