Legfrissebb anyagok

IT café témák

PROHARDVER! témák

Mobilarena témák

GAMEPOD.hu témák

LOGOUT.hu témák

Keresés

Új hozzászólás Aktív témák

#6 sztanozs veterán FTeR #5

Új Válasz 2012-11-30 15:42:47 #6
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

sztanozs

veterán

válasz FTeR #5 üzenetére

Aki szerint az input validáció a biztonság (informatikai kockázatok kezelésének) alfája és omegája, az szerintem nem igazán foglalkozott még behatóan a témával.
Session/Credential lopásnak (session hijack) semmi köze nincs az input validációhoz. Azért működik, mert:
- nem megbízható a csatorna vagy komprommittálódott a kliens
- nincs megfelelő kliens azonosítás
- nincs replay attack elleni védelem
- visszafejthető vagy kitalálható a session/user azonosító
- nincs jogosultság szegregáció a rendszerben
- csak a rendszer legfelső rétege van megerősítve (csak a nem jogosult "felhasználóktól" félünk)
DOS is simán előállhat valid inputokból - ott race condition
Jelszavakat, érzékeny adatokat is lehet plaintextben tárolni, amik később ellophatók (rendszerből, mentésről, hálózati forgalomból).
Rosszul implementált titkosítás is biztonsági probléma, mégsincs köze az input validációhoz.
és még sorolhatnám...
Ja és ma van az infóbiztonság napja

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
#7 sztanozs veterán

Új Válasz 2012-11-30 15:54:46 #7
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

sztanozs

veterán

~~Végül is mindegy...~~

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
#9 sztanozs veterán FTeR #8

Új Válasz 2012-11-30 16:29:54 #9
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

sztanozs

veterán

válasz FTeR #8 üzenetére

A biztonsági rés gyakorlatilag a hiányos/téves input validálásokból fakad. - végeredményben ezzel vitkoztam.
Egy csomó más oka is lehet egy biztonsági résnek, mint az input-validáció hiánya. A biztonsági réseknek ráadásul csak egy része jön a rossz kódolásból. Nagyon sok biztonsági rés a hibás tervezésból (vagy a tervezés hiányából), vagy a nem megfelelő konfigurációból és - nem programozói - implementációból adódik. - persze én is write only vagyok
Amúgy amibe egyáltalán belekötöttél az csak egy gyakran emlegetett poén... Még valakinek az aláírásában is láttam itt egy darabig.

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
#11 sztanozs veterán bambano #10

Új Válasz 2012-11-30 20:52:54 #11
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

sztanozs

veterán

válasz bambano #10 üzenetére

Lovaglás - látod pont ezt teszed - és még igazad sincs.
A nem megfelelő konfiguráció, vagyis bármiféle konfiguráció az ugyanúgy input a programnak, mint amit képernyőn beírsz.
Attól még, hogy nem megfelelő a konfiguráció, még lehet szintaktikailag és szemantikailag helyes... Ha egy elavult titkosítási módszert adsz meg, egy rossz jelszót, egy rossz könyvtárat, rosszul állítod be a fájlrendszeri jogosultságokat, debug módban hagyod a programot, nem megfelelő jogokkal futtatod, ez mind lehet helyes adat, de rossz konfiguráció - ezek nagyrésze kódból sem szűrhető (és legtöbbször nincs is értelme).
A tervezési hibáknak pedig kb. annyiban van közük a programozáshoz, mint ahogy a mákos bableves készül... Ha szar a recept, akkor szar lesz a kaja is, akármilyen ügyes a szakács.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...