Метка «безопасность веб-приложений»

Наверняка каждый программист, работающий с OAuth 2.0, задумывался – зачем же нужны Refresh токены, неужели Access токенов недостаточно? 64 KB — Их должно хватать каждому!

Эта тема довольно активно дискутируется – вот и на Stackoverflow вопрос есть и на Хабре тоже обсуждается. Собственно, именно обсуждение на Хабре и заставило меня высказаться.

Все предложенные комментаторами и авторами мнения касаются безопасности двухтокенного подхода. Безусловно, так и должно быть, ведь безопасность – это главное для фреймворка авторизации/аутентификации! Но будем откровенны – во многих случаях использования подход с двумя токенами не дает никакого выигрыша в защищенности по сравнению с простым и тупым подходом с одним токеном. Или этого сразу не видно…

«Refresh токен можно хранить более защищенно!» — можно и нужно, хотя почти никто так не делает.
«Access token передается по сети чаще – и вероятность его утечки больше» — полноте, мы ведь всегда используем TLS, правда?
«Утечка Ассеss токена на так страшна как утечка Refresh токена» — да, и это тоже правда, именно поэтому в браузер Refresh токен и не выдается…

Есть много нюансов, есть много сценариев использования, при которых использование разных токенов становится полезным, просто видно их не сразу!

Но есть и еще один аргумент, который я почему-то ни разу не встречал – хотя он, на мой взгляд, полностью объясняет, зачем же нужен Refresh токен и почему нельзя, абсолютно, категорически нельзя обойтись только Access токеном.

Производительность.
Читать полностью »

MIT опубликовал исходники проекта Mylar — платформы для создания безопасных приложений, с шифрованием и
поиском по зашифрованным данным.
Читать полностью »

How do I authenticate?
You don't!

это цитата из FAQ memcached.

Да, в memcached по умолчанию не предусмотрено системы аутентификации, и администратор сам должен сделать маленький шажок, чтобы закрыть свой сервер от свободного доступа. Например, запустить его на 127.0.0.1, или воспользоваться фаерволом. Сколько же сайтов рунета это сделали?
Читать полностью »

Ясные печенькиПривет! В свете информации, посвященной безопасности аккаунтов крупных порталов, появившейся в последнее время, я решила немного пересмотреть cookie авторизацию в своих проектах. В первую очередь был допрошен с пристрастием гугл на тему готовых решений. Ничего толкового не нашлось, хотя может статься и так, что я не умею пользоваться поиском. После этого я решила посмотреть, что же вообще пишут про то, как правильно жевать печенье. Моему удивлению не было границ, когда в основной массе оказались статьи из разряда «вредные советы», и то что я читала более 5-и лет назад.
Эта статья — попытка исправить сложившуюся ситуацию.
Читать полностью »

В мире информационной безопасности пока еще не всё так гладко, как хотелось бы. Примеров этому много, стоит посмотреть последние новости на тематических сайтах, как в голову приходит мысль о том, что, порой даже крупнейшие компании уделяют ИБ недостаточно внимания. В этот раз под прицел попал EBay.
image
Читать полностью »

Что такое наша с вами информационная безопасность? Как часто вы задаетесь этим вопросом? Что вы делайте для того, чтобы повысить свою защищенность в сети? Попробую ответить — редко и мало. Однако, как показывает практика — пора начинать.

Итак, приступим. Для начала предлагаю читающим захватить чашку кофе, печенек и половину часа свободного времени в наше путешествие по миру ИБ.

Очень много школ в нашей стране уже переведены на электронные системы контроля успеваемости учащихся, а остальные подтягиваются к этой планке, но насколько это хорошо? И стоит ли?
На эти и другие вопросы, на примере одной из таких систем, я попытаюсь вам ответить.
Читать полностью »

Итак, я случайно наткнулся на сообщение о новой уязвимости знаменитого сервиса Mega. Поначалу, она показалась мне неинтересной, но, памятуя о том что первой моей публикацией на Хабре был сборник скандалоинтриг и расследований, посвященных этому сервису, я все же решил оперативно подготовить краткий пересказ новостей на эту тему.
Тем более, что ситуация оказалась ощутимо интереснее, чем представлялось на первый взгляд.

Но, обо всем по порядку…
Читать полностью »

Ким Дотком, вероятно, окончательно разочаровался в мире: он решил поиграть в патентного тролля, и намекнул Google, Twitter, Citibank на то, что они нарушают его патент 16-летней давности, касающийся двухфакторной авторизации в аккаунте.

Google, Facebook, Twitter, Citibank, etc. offer Two-Step-Authentication.
Massive IP infringement by U.S. companies. My innovation. My patent

(оригинальный пост)

Действительно, патент, на который ссылается Дотком, заявка на который была подана в 1997-м году, и который был выдан в 1998-м, предусматривает в числе прочего последовательность автоматической авторизации в системе посредством ввода в форму дополнительных данных, полученных по дополнительному каналу связи — что, в целом, и составляет суть двухфакторки. Подробнее можно почитать здесь.

Самое забавное — это то, что последовало после изначального заявления: Дотком сначала заявил, что никогда и ни с кем не судился, но поскольку «нарушители» — американские компании, он готов сделать для них исключение, поскольку с ним судятся американские же власти; после этого он внезапно попросил у этих же компаний помощи — мол, «мы все в одной лодке, DMCA мешает нам всем, а меня ещё и посадить пытаются».Читать полностью »

Доброе время суток, хаброжители.
Хочу поделиться реализацией мониторинга виртуального сервера, который я поддерживаю.
Операционная система: CentOS 6.3 x64, однако описываемая ситуация подойдет и для других платформ, как *Win так и *nix.
Постановка задачи.
На сервере установлены сервисы: apache2, MySQL, postfix и реализована защита apache на базе mod_security.
Хозяина сервера не устраивает подключение по ssh консолью и чтение логов в текстовом редакторе, кроме того не было наглядности нагрузок на сервер, количества запросов, сложности запросов к серверу. Я предложил Zabbix сервер, но клиент сказал категорический «нет». Ну что-ж, на то он и клиент, чтобы быть всегда правым.
Необходимо максимально быстро отыскивать сложившуюся ситуацию, связанную с безопасностью сервера, и исходя из события принимать меры к устранению проблемы.

Сразу приведу скриншот того, что получилось:
Мониторинг mod security и MySQL с помощью Splunk

Читать полностью »

simple science

— Дай мне справку, что моя программа безопасна.

— Нет проблем! А что ты для этого делал?

— Э… Ну… Это… Ничего…

— А почему ты тогда думаешь, что она безопасна?

— Ну, ты проверь!

— Нет проблем! Все удовольствие будет стоить X0000 долларов.

— ?!

О статье

В этой статье я рассказываю о некоторых практиках создания безопасного программного обеспечения.

Первая ее часть посвящена безопасному программированию.

С одной стороны, методы безопасного программирования известны. Накоплен опыт их использования, написано много литературы.

С другой стороны, применяют их не очень часто. Для многих программистов и менеджеров проекта они остаются не очень понятной экзотикой.

Статья, конечно, не претендует на полное освещение этого вопроса. Но пусть это будет маленький шажок в нужном направлении. И, надеюсь, вы убедитесь, что в безопасном программировании нет ничего такого уж необычного.

Во второй части я рассказываю о менее известных аспектах безопасности приложений. Но, в некотором смысле, эти аспекты даже более важны, чем использование методик безопасного программирования.

Внимание! Статья большая и подразумевает внимательное прочтение.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js