- Microsoft Excel topic
- Windows 11
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Van, amit nehéz lett megtalálni a Google keresőjével
- VPN topic
- Facebook és Messenger
- Mozilla Firefox
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Mesterséges Intelligencia topik
- Proxmox VE
Új hozzászólás Aktív témák
-
makayk
csendes tag
"A biztonsági rés gyakorlatilag a hiányos/téves input validálásokból fakad."
Szerintem ehhez a véleményedhez azért ne ragaszkodj
Pl. a buffer overflow-nak a DoS-nak, vagy éppen a root exploitnak mi köze az input alapú validáláshoz?
A cookie session lopá határeset, de ott sem a kódsor hibájáról beszélünk, hanem gyökerekben rejlő technológiai hiányosságról a kényelmes webhasználathoz."A biztonsági rések az idő és az ismeret hiányából maradnka a kódban. "
Akkor egy kódot örök időkig lehetne tökéletesíteni míg megjelenhet. Sőt mégjobb ha a technológiákat is befagyasztjuk, így sose derül ki újabb dolog. -
sztanozs
veterán
Aki szerint az input validáció a biztonság (informatikai kockázatok kezelésének) alfája és omegája, az szerintem nem igazán foglalkozott még behatóan a témával.
Session/Credential lopásnak (session hijack) semmi köze nincs az input validációhoz. Azért működik, mert:
- nem megbízható a csatorna vagy komprommittálódott a kliens
- nincs megfelelő kliens azonosítás
- nincs replay attack elleni védelem
- visszafejthető vagy kitalálható a session/user azonosító
- nincs jogosultság szegregáció a rendszerben
- csak a rendszer legfelső rétege van megerősítve (csak a nem jogosult "felhasználóktól" félünk)DOS is simán előállhat valid inputokból - ott race condition
Jelszavakat, érzékeny adatokat is lehet plaintextben tárolni, amik később ellophatók (rendszerből, mentésről, hálózati forgalomból).
Rosszul implementált titkosítás is biztonsági probléma, mégsincs köze az input validációhoz.
és még sorolhatnám...
Ja és ma van az infóbiztonság napja
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
sztanozs
veterán
A biztonsági rés gyakorlatilag a hiányos/téves input validálásokból fakad. - végeredményben ezzel vitkoztam.
Egy csomó más oka is lehet egy biztonsági résnek, mint az input-validáció hiánya. A biztonsági réseknek ráadásul csak egy része jön a rossz kódolásból. Nagyon sok biztonsági rés a hibás tervezésból (vagy a tervezés hiányából), vagy a nem megfelelő konfigurációból és - nem programozói - implementációból adódik.- persze én is write only vagyokAmúgy amibe egyáltalán belekötöttél az csak egy gyakran emlegetett poén... Még valakinek az aláírásában is láttam itt egy darabig.
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
Új hozzászólás Aktív témák
- Tyű-ha! HP EliteBook 850 G7 Fémházas Szuper Laptop 15,6" -70% i7-10610U 4Mag 32GB 512GB SSD FHD HUN
- Bomba ár! HP EliteBook 840 G5 - i5-8G I 8GB I 128GB SSD I 14" FHD I HDMI I Cam I W10 I Gari!
- The Last of Us Part I Ps5
- Bomba ár! HP EliteBook 830 G6 - i7-8G I 8GB I 256GB SSD I 13,3" FHD I HDMI I Cam I W11 I Gari!
- Bomba ár! Dell Latitude 5580 - i5-G6 I 8-16GB I 256 SSD I 15,6" FHD I HDMI I CAM I W10 I Garancia