https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:26 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/426-historia-jednej-aplikacji.html#c760 https://archive.mroczna-zaloga.org/archives/426-historia-jednej-aplikacji.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=426 nospam@example.com (wampir) Ja też uważam, że trzeba znać ograniczenia stosowanych rozwiązań (czyli potrafić je skrytykować). Dyskusja może być rzeczywiście ciekawa :) Tue, 28 Oct 2008 14:46:48 +0100 https://archive.mroczna-zaloga.org/archives/426-guid.html#c760 https://archive.mroczna-zaloga.org/archives/426-historia-jednej-aplikacji.html#c759 https://archive.mroczna-zaloga.org/archives/426-historia-jednej-aplikacji.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=426 nospam@example.com (rezos) Wygląda na to, że nie wyraziłem się wystarczająco jasno ;) http://www.owasp.org/index.php/Best_Practices:_Use_of_Web_Application_Firewalls To nie tylko kwestia konfiguracji, a czasem funkcjonalności i innych czynników. Nie neguję Twojego rozwiązania, jest z serii "True". W jednej ze starszych książek przeczytałem kiedyś, że jeżeli nie potrafię skrytykować danego rozwiązania to właściwie go nie znam. Kropka :) Może przy okazji OWASPowej dyskusji o WAFach wyniknie ciekawa wymiana zdań. Tue, 28 Oct 2008 14:28:12 +0100 https://archive.mroczna-zaloga.org/archives/426-guid.html#c759 https://archive.mroczna-zaloga.org/archives/426-historia-jednej-aplikacji.html#c758 https://archive.mroczna-zaloga.org/archives/426-historia-jednej-aplikacji.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=426 nospam@example.com (wampir) WAF/IDS/IPS/Firewall/DEP/ASLR/(inny fajny skrót) nie rozwiązuje wszystkich problemów. Mało tego, często są to rozwiązania praktycznie bezużyteczne, jeśli nie przyłoży się trochę pracy do ich konfiguracji i późniejszego utrzymania. Tutaj będę powtarzał historie IPS, które są wstawiane przed akceleratorem SSL, co czyni ich całkowicie ślepymi na ataki na "chronione" przez nie aplikacje. A nawet jeśli aplikacja jest po HTTP, to nagle okazuje się, że zestaw reguł tego IPS jest nader skromny i w zasadzie ogranicza się do znanych ataków takich dinozaurów jak Nimda. W opisywanej przeze mnie historii mod_security został użyty do stworzenia warstwy ochrony, której programista "zapomniał" wprowadzić, czyli walidacji danych wejściowych. Aplikacja nadal pozostała tak dziurawa, jak była, ale wykorzystanie podatności, które w niej były, zostało poważnie utrudnione (nie zaryzykuję stwierdzenia "uniemożliwione") dzięki zastosowaniu mod_security. Według mnie to dość dobry przykład just-in-time patching. Tue, 28 Oct 2008 12:49:19 +0100 https://archive.mroczna-zaloga.org/archives/426-guid.html#c758 https://archive.mroczna-zaloga.org/archives/426-historia-jednej-aplikacji.html#c757 https://archive.mroczna-zaloga.org/archives/426-historia-jednej-aplikacji.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=426 nospam@example.com (rezos) Pawel, pamiętaj, że nie WAF nie rozwiązuje wszystkich problemów. Część osób żyje w takim przekonaniu. Osobiście uważam, że powinno się krzyczeć o tym, że WAF to nie panaceum na całe 'zło'. Tue, 28 Oct 2008 11:29:40 +0100 https://archive.mroczna-zaloga.org/archives/426-guid.html#c757