Forum » Informacijska varnost » Dva klobuka informacjiske varnosti
Dva klobuka informacjiske varnosti
MgpVa ::
Kaj menite o tem podcastu?
http://www.fahrenheit77.net/drzavljan-d...
Dobil sem občutek, da poba malo bluzi ali?
http://www.fahrenheit77.net/drzavljan-d...
Dobil sem občutek, da poba malo bluzi ali?
c3p0 ::
Kak povzetek? Ker kar sem slišal na kratko, so le neke osnove, nekaj script kiddie-izmov in nič zanimivega.
SeMiNeSanja ::
Težko reči, kdo je ciljna avdienca za ta podcast.
Za 'profesionalce' je zadeva far2low-lewel oz. bi priporočil vsakomur, ki se ima za 'profesionalca' in bo trdil, da je zadeva 'zanimiva' zanj, da zamenja poklic in to čim hitreje.
Za laike pa ne vem... preveč enih stvari, o katerih si laik ne zna nič predstavljati. WTF je XSS napad?
Mogoče je zanimivo za tiste, ki so nekje 'vmes' med popolnimi laiki in ljubiteljskimi oblikovalci web strani. Takim, ki se srečujejo s prvimi vrsticami php kode in oblikujejo svojo prvo MySQL bazo. Takšnim lahko zadeva koristi kot opomnik, da je še ene par poglavij, ki jih bodo morali tudi še pogledati.
Ampak žal je realnost takšna, da je naokoli en kup 'kvazi profesionalcev', ki še nikoli niso slišali za XSS napade, kaj šele za kakšen OWASP, kjer bi se lahko kaj podučili o teh zadevah.
Web strani lahko 'programira' vsak srednješolec. Naročnik pri tem nima ne znanja, niti možnosti nadzorovati kakovost izvedbe - vidi zgolj 'všečnost' (dokler se mu na njegovi strani ne pojavi napis "Owned by .....").
Žal se mi zdi, da ta podcast ne bo ravno pretirano poslušan s strani 'naročnikov', saj dokaj težko razumejo za kaj se gre.
V podcastu omenjena ideja o tem, da bi morali strukturo baze objaviti IP-RS, pa je za moje pojme totalni kiks. Kdo za boga pa se bo tam na uradu ukvarjal s tem, da bo gledal, ali so gesla kriptirana ali ne? In to za vsako spletno stran? Utopija!
Jaz sem bolj zagovornik nekega 'vprašalnika', ki bi ga vsak implementator lahko izpolnik in si na koncu sam sebi podelil nekakšen 'certifikat' za izpolnjevanje minimalnih standardov, za katere bi se v stroki dogovorili. Pri tem bi s svojim imenom jamčil, da so izpolnjene vse minimalne zahteve standarda. Na spletni strani pa bi to označil z neko značko, ki bi imela serijsko številko tistega, ki s svojim imenom jamči za izpolnjevanje pogojev. S to značko bi smeli razpolagati izključno takšni overitelji, ki se še niso prekršili ob pravila.
To pa bi potem tudi odprlo pot za preverbe spletišča na višjem nivoju. Če naročniku ne zadošča lastna ocena izvajalca, bi lahko pooblastil nekega neodvisnega strokovnjaka, ki bi po enakih (ali celo višjih?) kriterijih preveril spletišče na 'vodotesnost'.
Ampak najprej bi se bilo treba dogovoriti za neke 'dobre prakse' ki so skupne vsem tovrstnim projektom. Sem tudi spada kontrola, če je web framework posodobljen, če ni uporabljenih default passwordov in podobne 'banalne' zadeve, katere se žal še vedno prepogosto pozablja urediti.
Drugače pa je pozitivna stran podcasta še to, da se o tem govori. Zdi se mi, kot da so implementatorji pri tem zelo 'sramežljivi'. Raje nakladajo, kako vse obvladajo, v resnici pa.... (Tako kot Janez v gostilni, ko naklada, kako on vse popedena.... )
Za 'profesionalce' je zadeva far2low-lewel oz. bi priporočil vsakomur, ki se ima za 'profesionalca' in bo trdil, da je zadeva 'zanimiva' zanj, da zamenja poklic in to čim hitreje.
Za laike pa ne vem... preveč enih stvari, o katerih si laik ne zna nič predstavljati. WTF je XSS napad?
Mogoče je zanimivo za tiste, ki so nekje 'vmes' med popolnimi laiki in ljubiteljskimi oblikovalci web strani. Takim, ki se srečujejo s prvimi vrsticami php kode in oblikujejo svojo prvo MySQL bazo. Takšnim lahko zadeva koristi kot opomnik, da je še ene par poglavij, ki jih bodo morali tudi še pogledati.
Ampak žal je realnost takšna, da je naokoli en kup 'kvazi profesionalcev', ki še nikoli niso slišali za XSS napade, kaj šele za kakšen OWASP, kjer bi se lahko kaj podučili o teh zadevah.
Web strani lahko 'programira' vsak srednješolec. Naročnik pri tem nima ne znanja, niti možnosti nadzorovati kakovost izvedbe - vidi zgolj 'všečnost' (dokler se mu na njegovi strani ne pojavi napis "Owned by .....").
Žal se mi zdi, da ta podcast ne bo ravno pretirano poslušan s strani 'naročnikov', saj dokaj težko razumejo za kaj se gre.
V podcastu omenjena ideja o tem, da bi morali strukturo baze objaviti IP-RS, pa je za moje pojme totalni kiks. Kdo za boga pa se bo tam na uradu ukvarjal s tem, da bo gledal, ali so gesla kriptirana ali ne? In to za vsako spletno stran? Utopija!
Jaz sem bolj zagovornik nekega 'vprašalnika', ki bi ga vsak implementator lahko izpolnik in si na koncu sam sebi podelil nekakšen 'certifikat' za izpolnjevanje minimalnih standardov, za katere bi se v stroki dogovorili. Pri tem bi s svojim imenom jamčil, da so izpolnjene vse minimalne zahteve standarda. Na spletni strani pa bi to označil z neko značko, ki bi imela serijsko številko tistega, ki s svojim imenom jamči za izpolnjevanje pogojev. S to značko bi smeli razpolagati izključno takšni overitelji, ki se še niso prekršili ob pravila.
To pa bi potem tudi odprlo pot za preverbe spletišča na višjem nivoju. Če naročniku ne zadošča lastna ocena izvajalca, bi lahko pooblastil nekega neodvisnega strokovnjaka, ki bi po enakih (ali celo višjih?) kriterijih preveril spletišče na 'vodotesnost'.
Ampak najprej bi se bilo treba dogovoriti za neke 'dobre prakse' ki so skupne vsem tovrstnim projektom. Sem tudi spada kontrola, če je web framework posodobljen, če ni uporabljenih default passwordov in podobne 'banalne' zadeve, katere se žal še vedno prepogosto pozablja urediti.
Drugače pa je pozitivna stran podcasta še to, da se o tem govori. Zdi se mi, kot da so implementatorji pri tem zelo 'sramežljivi'. Raje nakladajo, kako vse obvladajo, v resnici pa.... (Tako kot Janez v gostilni, ko naklada, kako on vse popedena.... )
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Podcasti (strani: 1 2 )Oddelek: Loža | 9053 (515) | 3man |
» | Twitter je telefonske številke za dvostopenjsko avtentikacijo uporabljal za oglaševanOddelek: Novice / Zasebnost | 9286 (7753) | SeMiNeSanja |
» | Inovativen napad: Geolokacija, tudi brez vaše privolitveOddelek: Novice / Varnost | 14667 (12773) | MrStein |
» | (Ne)nevarni XSS napadiOddelek: Novice / Varnost | 5799 (4317) | lambda |
» | Kdo so "Hekerji" in kaj delajoOddelek: Loža | 4221 (3846) | Matri[X] |