Új hozzászólás Aktív témák
-
sztanozs
veterán
Aki szerint az input validáció a biztonság (informatikai kockázatok kezelésének) alfája és omegája, az szerintem nem igazán foglalkozott még behatóan a témával.
Session/Credential lopásnak (session hijack) semmi köze nincs az input validációhoz. Azért működik, mert:
- nem megbízható a csatorna vagy komprommittálódott a kliens
- nincs megfelelő kliens azonosítás
- nincs replay attack elleni védelem
- visszafejthető vagy kitalálható a session/user azonosító
- nincs jogosultság szegregáció a rendszerben
- csak a rendszer legfelső rétege van megerősítve (csak a nem jogosult "felhasználóktól" félünk)DOS is simán előállhat valid inputokból - ott race condition
Jelszavakat, érzékeny adatokat is lehet plaintextben tárolni, amik később ellophatók (rendszerből, mentésről, hálózati forgalomból).
Rosszul implementált titkosítás is biztonsági probléma, mégsincs köze az input validációhoz.
és még sorolhatnám...
Ja és ma van az infóbiztonság napja
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
Új hozzászólás Aktív témák
it Az első rendezvény szlogenje szerint határvédelem helyett biztonságos fejlesztés: a biztonsági réseket a programozók maguk hozzák létre.
- ÚJ Dell Inspiron 7430 2-in-1 - 14" FHD+ IPS TOUCH 360 / i5-1335U / 16Gb DDR5 / 512Gb PCIe 4.0 / 3 ÉV
- Dell 5820: Intel Xeon W-2135, 64GB DDR4, 256GB NVMe SSD, Nvidia Quadro P600, USB 3.1 C/A, ÁFÁs
- Eladó alig használt benq Zowie xl 2411P kihasználatlanság miatt karcmentes, tökéletes állapotban
- Honor X6a 128GB, Kártyafüggetlen, 1 Év Garanciával
- Samsung Galaxy S23 Ultra 5G 256GB, Kártyafüggetlen, 1 Év Garanciával