Tuesday, August 1. 2023
Polecam ciekawą dyskusję w tym wątku na LinkedIn. Zrobiły się rozważania o różnicach między PRNG i CRNG. A wszystko zaczęło się od kilku wykresów pokazujących dystrybucję funkcji random(), random(random()), random(random(random())), (...).
Tuesday, December 27. 2022
Tak czytam sobie Notice of Recent Security Incident i mam dziwne przebłyski z przeszłości. Mniej więcej 10 lat temu (konkretnie, w 2011 roku) LastPass również informowało o potencjalnym incydencie. W efekcie powstał wpis Najpierw miało być o LastPass, a potem mnie poniosło.
Wiele się zmieniło od czasu powstania tamtego wpisu, choćby to:
To further increase the security of your master password, LastPass utilizes a stronger-than-typical implementation of 100,100 iterations of the Password-Based Key Derivation Function (PBKDF2), a password-strengthening algorithm that makes it difficult to guess your master password. You can check the current number of PBKDF2 iterations for your LastPass account here.
Nie zmienia to jednak mojej rezerwy odnośnie modelu LassPass. Nie chodzi mi nawet o sam fakt przechowywania zaszyfrowanych baz haseł w chmurze. Boli mnie natomiast możliwość wprowadzenia niewielkich modyfikacji do kodu LastPass, które w efekcie mogą spowodować wyciek masterpassword. Cytując samego siebie:
Z perspektywy ZŁEGO zdecydowanie bardziej efektywnym sposobem uzyskania dostępu do danych użytkowników byłoby wprowadzenie delikatnej zmiany w kodzie (np. aplikacji internetowej) tak, by hasło użytkownika jednak było przesyłane na serwer.
A uzupełniając fragment "a nie mówiłem", to zwracam uwagę, że teraz również główną słabością (potencjalną) są hasła użytkowników. Bo AES-256 to jedno, a i tak wszystko sprowadza się do klucza bo...
(...) Sam algorytm to nie wszystko, ważny jest jeszcze jego klucz i sposób, w jaki został uzyskany...
Thursday, November 24. 2022
13 lat temu pisałem, że encoding musi być dostosowany do kontekstu, w którym dane mają być użyte: Znaj swój kontekst. Dokładnie to samo można przeczytać w OWASP Cross Site Scripting Prevention Cheat Sheet. I co? I dalej można spotkać się z sytuacjami, gdy ktoś uważa, że jedna magiczna funkcja problem XSS rozwiązuje raz i na zawsze, w każdym możliwym przypadku. I oczywiście w dalszym ciągu przychodzą Źli Ludzie™ i pokazują, jak bardzo się ktoś myli...
Ciąg dalszy "Ciągle musisz znać swój kontekst" »
Friday, June 24. 2022
Jak to było, everything old is new again czy jakoś tak? Przy czym nie chodzi tutaj o modę, a o pewne umiejętności. Temat jest nawet szerszy, jeśli ktoś siedzi w branży security wystarczająco długo może zauważyć, że niektóre klasy podatności "odżywają" po części dlatego, że zmienia się technologia, a po części dlatego, że następuje rotacja ludzi. Starsi, którzy już nauczyli się już na swoich błędach, idą dalej. Młodsi - muszą się dopiero nauczyć.
To samo dotyczy również testowania. Coś się intensywnie testuje, bo każdy wie, że "tam żyją smoki". Z czasem smoki idą gdzie indziej, a dany obszar jest w miarę sensowny. Czas mija, ktoś zagląda w to samo miejsce i... smoki wróciły.
Ciąg dalszy "The lost art of session management testing" »
Friday, December 10. 2021
Log4Shell, aż chce się żyć! Serio, poczułem się tak 10 lat młodszy i zachciało mi się chcieć.
Ciąg dalszy "Log4Shell - jaka piękna katastrofa!" »
