» »

Dva klobuka informacjiske varnosti

Dva klobuka informacjiske varnosti

MgpVa ::

Kaj menite o tem podcastu?
http://www.fahrenheit77.net/drzavljan-d...
Dobil sem občutek, da poba malo bluzi ali?

c3p0 ::

Kak povzetek? Ker kar sem slišal na kratko, so le neke osnove, nekaj script kiddie-izmov in nič zanimivega.

SeMiNeSanja ::

Težko reči, kdo je ciljna avdienca za ta podcast.

Za 'profesionalce' je zadeva far2low-lewel oz. bi priporočil vsakomur, ki se ima za 'profesionalca' in bo trdil, da je zadeva 'zanimiva' zanj, da zamenja poklic in to čim hitreje.

Za laike pa ne vem... preveč enih stvari, o katerih si laik ne zna nič predstavljati. WTF je XSS napad?

Mogoče je zanimivo za tiste, ki so nekje 'vmes' med popolnimi laiki in ljubiteljskimi oblikovalci web strani. Takim, ki se srečujejo s prvimi vrsticami php kode in oblikujejo svojo prvo MySQL bazo. Takšnim lahko zadeva koristi kot opomnik, da je še ene par poglavij, ki jih bodo morali tudi še pogledati.

Ampak žal je realnost takšna, da je naokoli en kup 'kvazi profesionalcev', ki še nikoli niso slišali za XSS napade, kaj šele za kakšen OWASP, kjer bi se lahko kaj podučili o teh zadevah.
Web strani lahko 'programira' vsak srednješolec. Naročnik pri tem nima ne znanja, niti možnosti nadzorovati kakovost izvedbe - vidi zgolj 'všečnost' (dokler se mu na njegovi strani ne pojavi napis "Owned by .....").

Žal se mi zdi, da ta podcast ne bo ravno pretirano poslušan s strani 'naročnikov', saj dokaj težko razumejo za kaj se gre.

V podcastu omenjena ideja o tem, da bi morali strukturo baze objaviti IP-RS, pa je za moje pojme totalni kiks. Kdo za boga pa se bo tam na uradu ukvarjal s tem, da bo gledal, ali so gesla kriptirana ali ne? In to za vsako spletno stran? Utopija!

Jaz sem bolj zagovornik nekega 'vprašalnika', ki bi ga vsak implementator lahko izpolnik in si na koncu sam sebi podelil nekakšen 'certifikat' za izpolnjevanje minimalnih standardov, za katere bi se v stroki dogovorili. Pri tem bi s svojim imenom jamčil, da so izpolnjene vse minimalne zahteve standarda. Na spletni strani pa bi to označil z neko značko, ki bi imela serijsko številko tistega, ki s svojim imenom jamči za izpolnjevanje pogojev. S to značko bi smeli razpolagati izključno takšni overitelji, ki se še niso prekršili ob pravila.

To pa bi potem tudi odprlo pot za preverbe spletišča na višjem nivoju. Če naročniku ne zadošča lastna ocena izvajalca, bi lahko pooblastil nekega neodvisnega strokovnjaka, ki bi po enakih (ali celo višjih?) kriterijih preveril spletišče na 'vodotesnost'.

Ampak najprej bi se bilo treba dogovoriti za neke 'dobre prakse' ki so skupne vsem tovrstnim projektom. Sem tudi spada kontrola, če je web framework posodobljen, če ni uporabljenih default passwordov in podobne 'banalne' zadeve, katere se žal še vedno prepogosto pozablja urediti.

Drugače pa je pozitivna stran podcasta še to, da se o tem govori. Zdi se mi, kot da so implementatorji pri tem zelo 'sramežljivi'. Raje nakladajo, kako vse obvladajo, v resnici pa.... (Tako kot Janez v gostilni, ko naklada, kako on vse popedena.... )


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Podcasti (strani: 1 2 )

Oddelek: Loža
569053 (515) 3man
»

Twitter je telefonske številke za dvostopenjsko avtentikacijo uporabljal za oglaševan

Oddelek: Novice / Zasebnost
379286 (7753) SeMiNeSanja
»

Inovativen napad: Geolokacija, tudi brez vaše privolitve

Oddelek: Novice / Varnost
3414667 (12773) MrStein
»

(Ne)nevarni XSS napadi

Oddelek: Novice / Varnost
245799 (4317) lambda
»

Kdo so "Hekerji" in kaj delajo

Oddelek: Loža
144221 (3846) Matri[X]

Več podobnih tem