Új hozzászólás Aktív témák
-
sztanozs
veterán
Aki szerint az input validáció a biztonság (informatikai kockázatok kezelésének) alfája és omegája, az szerintem nem igazán foglalkozott még behatóan a témával.
Session/Credential lopásnak (session hijack) semmi köze nincs az input validációhoz. Azért működik, mert:
- nem megbízható a csatorna vagy komprommittálódott a kliens
- nincs megfelelő kliens azonosítás
- nincs replay attack elleni védelem
- visszafejthető vagy kitalálható a session/user azonosító
- nincs jogosultság szegregáció a rendszerben
- csak a rendszer legfelső rétege van megerősítve (csak a nem jogosult "felhasználóktól" félünk)DOS is simán előállhat valid inputokból - ott race condition
Jelszavakat, érzékeny adatokat is lehet plaintextben tárolni, amik később ellophatók (rendszerből, mentésről, hálózati forgalomból).
Rosszul implementált titkosítás is biztonsági probléma, mégsincs köze az input validációhoz.
és még sorolhatnám...
Ja és ma van az infóbiztonság napja
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
Új hozzászólás Aktív témák
- gban: Ingyen kellene, de tegnapra
- Külpolitika
- HTPC (házimozi PC) topik
- Már elérhető a Resident Evil 4 Remake magyar szinkronja (PC)
- Rövid előzetesen a S.T.A.L.K.E.R. 2: Heart of Chornobyl
- Debrecen és környéke adok-veszek-beszélgetek
- Milyen TV-t vegyek?
- Milyen okostelefont vegyek?
- Házimozi belépő szinten
- Epson nyomtatók
- További aktív témák...