Рубрика «безопасность» - 157

в 14:27, , рубрики: php, security pledge, безопасность, информационная безопасность

Каждый день я вижу потенциально уязвимый код. Иногда код настолько уязвим, что любой школьник может поломать его. Я также много общался с программистами, которым стоило бы больше знать об уязвимостях. Это очень, как бы это сказать, удручающе. Это грустно, что средний девелопер знает так мало об обычных практиках безопасности. Так что я собрал здесь маленький манифест.

Я пишу защищенный код, если соблюдаю все эти пункты:

  1. Я не буду хранить чувствительные данные в plain text, я буду защищать их как следует.
  2. Я всегда буду защищать пользовательские данные, как защищал бы свои.
  3. Я всегда буду использовать проверенные и известные алгоритмы, не буду изобретать колесо.
  4. Я буду использовать существующие библиотеки, пока возможно, и буду писать свои только когда нет подходящих альтернатив.
  5. Я всегда буду использовать параметризованные запросы (читай бинды) SQL, я не буду доверять экранированию.
  6. Я буду воспринимать уязвимости серьезно, не буду игнорировать их.
  7. Я должен понимать OWASP топ 10 уязвимостей, и всегда буду защищать свои приложения от них.
  8. Я не буду всегда предполагать, что знаю лучше, но буду постоянно развиваться.
  9. Я не буду доверять безопасность системам, которые самостоятельно не исследовал.
  10. Я всегда буду стараться обучать других.

Читать полностью »

в 14:27, , рубрики: php, security pledge, безопасность, Веб-разработка, информационная безопасность

Каждый день я вижу потенциально уязвимый код. Иногда настолько, что любой 10-летний может поломать его. Я также много общался с программистами, которым стоило бы больше знать о хороших практиках защиты от уязвимостей. Это очень удручающе. Это грустно, что средний девелопер знает так мало об обычных практиках безопасности. Так что я собрал здесь маленький манифест.

Я пишу защищенный код, если соблюдаю все эти пункты:

  1. Я не буду хранить чувствительные данные в plain text, я буду защищать их как следует.
  2. Я всегда буду защищать пользовательские данные, как защищал бы свои.
  3. Я всегда буду использовать проверенные и известные алгоритмы, не буду изобретать колесо.
  4. Я буду использовать существующие библиотеки, пока возможно, и буду писать свои только когда нет подходящих альтернатив.
  5. Я всегда буду использовать параметризованные запросы (читай бинды) SQL, я не буду доверять экранированию.
  6. Я буду воспринимать уязвимости серьезно, не буду игнорировать их.
  7. Я должен понимать OWASP топ 10 уязвимостей, и всегда буду защищать свои приложения от них.
  8. Я не буду всегда предполагать, что знаю лучше, но буду постоянно развиваться.
  9. Я не буду доверять безопасность системам, которые самостоятельно не исследовал.
  10. Я всегда буду стараться обучать других.

Читать полностью »

в 7:14, , рубрики: 3D-печать, безопасность, Гаджеты. Устройства для гиков, хакеры, метки: , ,

Хакер открывает наручники усиленной безопасности ключами из 3D принтера
Наручники, копии 3D-печатью и лазерной резкой

Как показал отчет немецкого энтузиаста на конференции «Хакеры на планете Земля» (Hackers On Planet Earth, сокр. HOPE) в Нью-Йорке, технология 3D-печати может найти применения не только в нескольких отдаленных от обычной жизни средах, как то копии окаменевших остатков вымерших животных или создание подробных моделей кровеносной системы. Отныне полагаться на форму какого-то объекта как на ключ будет ошибочным решением: консультант компьютерной безопасности из Германии Рэй, как он сам себя назвал, продемонстрировал дешевые копии пластиковых ключей, способные открыть наручники компаний Bonowi и Chubb.

Как известно, обе фирмы делают всё возможное, чтобы ограничить попадание своих ключей только в руки собственных клиентов, как правило, правоохранительных служб. Рэй рассказал о проблеме некоторых производителей наручников, чьи устройства имеют одну форму ключа, что позволяет одному человеку заковать подозреваемого, а другому освободить его, не задумываясь над уникальностью своих комплектов ключей. До того, как у каждого комплекта наручников не будет собственный ключ, безопасность такой системы можно поставить под сомнение.Читать полностью »

в 7:14, , рубрики: 3D-печать, безопасность, Гаджеты. Устройства для гиков, хакеры, метки: , ,

Умелец открывает наручники усиленной безопасности ключами из 3D принтера
Наручники, копии 3D-печатью и лазерной резкой

Как показал отчет немецкого энтузиаста на конференции «Хакеры на планете Земля» (Hackers On Planet Earth, сокр. HOPE) в Нью-Йорке, технология 3D-печати может найти применения не только в нескольких отдаленных от обычной жизни средах, как то копии окаменевших остатков вымерших животных или создание подробных моделей кровеносной системы. Отныне полагаться на форму какого-то объекта как на ключ будет ошибочным решением: консультант компьютерной безопасности из Германии Рэй, как он сам себя назвал, продемонстрировал дешевые копии пластиковых ключей, способные открыть наручники компаний Bonowi и Chubb.

Как известно, обе фирмы делают всё возможное, чтобы ограничить попадание своих ключей только в руки собственных клиентов, как правило, правоохранительных служб. Рэй рассказал о проблеме некоторых производителей наручников, чьи устройства имеют одну форму ключа, что позволяет одному человеку заковать подозреваемого, а другому освободить его, не задумываясь над уникальностью своих комплектов ключей. До того, как у каждого комплекта наручников не будет собственный ключ, безопасность такой системы можно поставить под сомнение.Читать полностью »

в 14:23, , рубрики: Dura Lex, англия, безопасность, законы в it, информационная безопасность, личная жизнь, от тюрьмы да сумы

(прим. переводчика)
Последние дни все обсуждают пресловутый законопроект №89417-6, при этом ругая нашу страну за столь непродуманный закон. Данным переводом (полный заголовок которого чуть ниже) я хочу показать, что не только у нас принимают законы, позволяющие привлечь кого угодно к статье практически на ровном месте. В некоторых странах всё ещё хуже. Гораздо хуже. И будем надеяться, что до нас этот бред не дойдёт.

В Англии ты можешь попасть за решётку не только за шифрование данных, но и за астрономический шум.

В Англии ты можешь попасть за решётку за хранение шума
В комментариях ко вчерашнему посту все удивились тому факту, что в Англии шифрование объявлено вне закона: граждане страны будут отправлены за решётку на срок до пяти лет, если они не смогут предъявить ключ к своим зашифрованным данным.
Читать полностью »

в 13:37, , рубрики: безопасность, информационная безопасность, мошенничество, метки: ,

В продолжение моего топика о Google-репутации я пишу этот пост, поскольку на примере маразматичности одного человека можно построить отличный case-study для всех кто не дай бог столкнется с такой-же проблемой.

Копии моих документов (1,2 страницы и прописка из пасспорта, копия ИНН) были выложены в интернет.

Читать полностью »

в 11:55, , рубрики: безопасность, информационная безопасность, Телекомы, метки:

Один из крупнейших голландских провайдеров KPN обнаружил, что у многих пользователей до сих пор действует дефолтный пароль welkom01, который им выдали при регистрации. Провайдер насчитал около 120 тысяч юзеров с паролем welkom01 и ещё 20 тысяч, у которых пароль совпадает с именем пользователя. Это выглядит ещё печальнее, если учесть, что у KPN всего 180 тыс. пользователей.

Теоретически, любой желающий мог войти в Customer Self Center под чужим логином, посмотреть персональные данные клиента, номер банковского счёта, и изменить эту информацию.

Читать полностью »

в 9:00, , рубрики: Google Maps, безопасность, Блог компании Luxoft, информационная безопасность, картографические сервисы, цензура в интернете, метки: , , ,

Многие места на спутниковых снимках подвергаются цензуре. Основная цель этого — препятствовать возможным террористам осуществлять свои атаки, детально изучив местность и инфраструктуру объекта, а также скрыть секретные и многие стратегические объекты.
Не секрет, что с момента запуска карт Google главные правительственные здания США (такие, как Белый Дом и Капитолий) были искусственно замазаны — на оригинальных снимках можно было обнаружить позиции снайперов на крышах и многие другие вещи, которые не были предназначены для лишних глаз.

Читать полностью »

в 10:49, , рубрики: wi-fi, безопасность, беспроводные сети, Беспроводные технологии, информационная безопасность, Сетевые технологии, уязвимости, метки: , , ,

В одном из смежных топиков зашел разговор о безопасности беспроводного шифрования, и, в частности, дурацкой «уязвимости» Hole196. Когда-то я писал по этому поводу здесь. Рекомендую к прочтению, кому интересно.
Читать полностью »

в 13:41, , рубрики: wi-fi, безопасность, Беспроводные технологии, Инфографика, информационная безопасность, кража данных, метки: , , ,

Под катом — инфографика, которая едва ли открывает что-то новое для специалистов. Её основное достоинство — наглядное изображение типичных схем работы с беспроводными сетями, которые могут грозить кражей данных и другими проблемами безопасности. Там же даны и довольно очевидные правила поведения, обеспечивающие сравнительно безопасную работу с Wi-Fi.

Хорошо подходит для распечатки и вывешивания в каком-нибудь офисе.
Читать полностью »

1...1020...156157158...160...163
Рейтинг@Mail.ru
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js