- Windows 11
- Musk szerint már jövőre itt vannak a Tesla Optimus humanoid robotok
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- PHP programozás
- Aliexpress tapasztalatok
- Ubuntu Linux
- Mozilla Firefox
- A személyre szabott reklám lehet a streaming következő slágere
- Facebook és Messenger
- Lopják az LG akkutitkait
Új hozzászólás Aktív témák
-
sztanozs
veterán
Aki szerint az input validáció a biztonság (informatikai kockázatok kezelésének) alfája és omegája, az szerintem nem igazán foglalkozott még behatóan a témával.
Session/Credential lopásnak (session hijack) semmi köze nincs az input validációhoz. Azért működik, mert:
- nem megbízható a csatorna vagy komprommittálódott a kliens
- nincs megfelelő kliens azonosítás
- nincs replay attack elleni védelem
- visszafejthető vagy kitalálható a session/user azonosító
- nincs jogosultság szegregáció a rendszerben
- csak a rendszer legfelső rétege van megerősítve (csak a nem jogosult "felhasználóktól" félünk)DOS is simán előállhat valid inputokból - ott race condition
Jelszavakat, érzékeny adatokat is lehet plaintextben tárolni, amik később ellophatók (rendszerből, mentésről, hálózati forgalomból).
Rosszul implementált titkosítás is biztonsági probléma, mégsincs köze az input validációhoz.
és még sorolhatnám...
Ja és ma van az infóbiztonság napja
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
sztanozs
veterán
Végül is mindegy...[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
sztanozs
veterán
A biztonsági rés gyakorlatilag a hiányos/téves input validálásokból fakad. - végeredményben ezzel vitkoztam.
Egy csomó más oka is lehet egy biztonsági résnek, mint az input-validáció hiánya. A biztonsági réseknek ráadásul csak egy része jön a rossz kódolásból. Nagyon sok biztonsági rés a hibás tervezésból (vagy a tervezés hiányából), vagy a nem megfelelő konfigurációból és - nem programozói - implementációból adódik.- persze én is write only vagyokAmúgy amibe egyáltalán belekötöttél az csak egy gyakran emlegetett poén... Még valakinek az aláírásában is láttam itt egy darabig.
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
sztanozs
veterán
Lovaglás - látod pont ezt teszed - és még igazad sincs.
A nem megfelelő konfiguráció, vagyis bármiféle konfiguráció az ugyanúgy input a programnak, mint amit képernyőn beírsz.
Attól még, hogy nem megfelelő a konfiguráció, még lehet szintaktikailag és szemantikailag helyes... Ha egy elavult titkosítási módszert adsz meg, egy rossz jelszót, egy rossz könyvtárat, rosszul állítod be a fájlrendszeri jogosultságokat, debug módban hagyod a programot, nem megfelelő jogokkal futtatod, ez mind lehet helyes adat, de rossz konfiguráció - ezek nagyrésze kódból sem szűrhető (és legtöbbször nincs is értelme).A tervezési hibáknak pedig kb. annyiban van közük a programozáshoz, mint ahogy a mákos bableves készül... Ha szar a recept, akkor szar lesz a kaja is, akármilyen ügyes a szakács.
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
Új hozzászólás Aktív témák
- 1.250.000 FT helyett 940.000 FT !! MacBook Pro 16" M3 Pro 12CPU / 18GPU / 18GB / 512 SSD
- RTX 2080TI ROG STRIX GAMER PC
- AKCIÓ !! M3 Chip - MacBook Pro 14" 8C CPU / 10C GPU / 8 GB/ 1 TB / Bontatlan / Magyar
- Tidradio td-h3 akkumulátor
- HP ZBook Studio x360:i7 9850H,32GB,512GB,P2000,15.6" UHD 3840x2160 TOUCH 600nit 100%AdobeRGB,HP gari