https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:07 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/586-do-zapisania-w-umowie-application-security-verification-standards.html#c1035 https://archive.mroczna-zaloga.org/archives/586-do-zapisania-w-umowie-application-security-verification-standards.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=586 nospam@example.com (wampir) Na temat tego, co jest, a co nie jest zbędne ciężko dyskutować bez konkretnego przykładu. Natomiast co do "poziomów weryfikacji" na sprawę trzeb popatrzeć nieco z innej strony. Aplikacja ma używać "security controls", które są w jakiś sposób określone (zdrowy rozsądek, najlepsza praktyka, wymogi prawa). Weryfikacja stosowania tych mechanizmów może być realizowana w różny sposób. To, że coś jest "wymagane" dopiero na poziomie 3 czy 4 może wynikać z faktu, że dopiero przy pomocy "narzędzi" wykorzystywanych na tym poziomie, jest to możliwe do zweryfikowania. Na przykład "V2.13: Verify that all authentication credentials are encrypted and stored in a centralized location (not in source code)." jest praktycznie nieweryfikowalne przy pomocy testu penetracyjnego. Punkt ten jest natomiast wymieniony dla 2B (tu chyba jakaś rozbieżność jest), ponieważ w trakcie przeglądu kodu można to już stwierdzić. Sun, 03 May 2009 20:29:54 +0200 https://archive.mroczna-zaloga.org/archives/586-guid.html#c1035 https://archive.mroczna-zaloga.org/archives/586-do-zapisania-w-umowie-application-security-verification-standards.html#c1034 https://archive.mroczna-zaloga.org/archives/586-do-zapisania-w-umowie-application-security-verification-standards.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=586 nospam@example.com (lpt) Po namyśle - faktycznie trudno to zdefiniować. Mam na myśli to, że niektóre punkty poziomu 2A (V3.10, V3.12, V4.1, V4.8, V7, itp.) są moim zdaniem zbędne np. w stronach reklamowych, a jednocześnie wymaganie w umowie wszystkich punktów typu V2.13 jest oczywiste, mimo że w ASVS znajdują się dopiero na poziomie czwartym (ponieważ są to poziomy weryfikacji). Sun, 03 May 2009 14:35:36 +0200 https://archive.mroczna-zaloga.org/archives/586-guid.html#c1034 https://archive.mroczna-zaloga.org/archives/586-do-zapisania-w-umowie-application-security-verification-standards.html#c1033 https://archive.mroczna-zaloga.org/archives/586-do-zapisania-w-umowie-application-security-verification-standards.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=586 nospam@example.com (wampir) A czym jest "poziom bezpieczeństwa"? Jak jest zdefiniowany? Jak się go weryfikuje? Czy ta aplikacja JESZCZE spełnia, czy JUŻ nie? Jeśli ktoś ma czas/możliwość przygotowania odpowiednich wymagań oraz listy kontrolnej, może je zawrzeć w umowie. Ponieważ jednak zwykle takiej możliwości nie ma (możliwość jest, ale się tego z różnych powodów nie robi, na przykład z braku czasu/wiedzy), dobrze jest skorzystać z czegoś gotowego. To, co jest w ASVS (np. dla 2A) jest dość dobre, choć oczywiście dla specyficznej aplikacji ze specyficznymi wymaganiami niewystarczające. Nie dotyczy również konkretnych funkcji związanych z bezpieczeństwem - jak na przykłada pod te punkty podciągnąć autoryzację transakcji w bankowości elektronicznej? Fri, 01 May 2009 15:50:42 +0200 https://archive.mroczna-zaloga.org/archives/586-guid.html#c1033 https://archive.mroczna-zaloga.org/archives/586-do-zapisania-w-umowie-application-security-verification-standards.html#c1032 https://archive.mroczna-zaloga.org/archives/586-do-zapisania-w-umowie-application-security-verification-standards.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=586 nospam@example.com (lpt) Btw, ta CAPTCHA jest IE-only? Fri, 01 May 2009 08:49:36 +0200 https://archive.mroczna-zaloga.org/archives/586-guid.html#c1032 https://archive.mroczna-zaloga.org/archives/586-do-zapisania-w-umowie-application-security-verification-standards.html#c1031 https://archive.mroczna-zaloga.org/archives/586-do-zapisania-w-umowie-application-security-verification-standards.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=586 nospam@example.com (lpt) Mówiąc szczerze nie jestem do końca przekonany do ASVS w takim zastosowaniu. Ten dokument definiuje poziomy weryfikacji, a nie wymagane poziomy bezpieczeństwa - a wydaje mi się że to raczej w tym kierunku powinny iść zapisy w umowie. Zawsze jednak lepsze coś niż nic :) Fri, 01 May 2009 08:46:13 +0200 https://archive.mroczna-zaloga.org/archives/586-guid.html#c1031