Рубрика «безопасность» - 165

в 8:55, , рубрики: apple, iOS, безопасность, информационная безопасность, разработка под iOS, метки: , ,

Защита против взломов in app покупок. Часть 2
Недавно я рассказывал о том, как защитить своё приложение с помощью валидации покупок на своём сервере. Через пару дней после публикации поста этот вид защиты научились обходить. Да, в чистом виде валидация через сервер разработчика не работает. Её надо улучшать, и ниже я расскажу вам как.
Читать полностью »

в 13:00, , рубрики: безопасность, информационная безопасность, ОС, метки: ,

В большинстве сегодняшних операционных систем модель безопасности своими корнями уходит в Unix, наследуя предположение о том, что пользователь может доверять программам, которые он запускает. Однако, как показывает практика – это утверждение в корне неверно.

Marc Stiegler сравнивает это с ситуацией, когда вы нанимая уборщика даете ему Главный И Единственный Ключ, которые не только открывает комнату, в которой необходимо сделать уборку, а открывает все двери, в т.ч. и дверь сейфа с золотом. Т.е. у вас всего две альтернативы – либо не давать уборщику этот ключ – и тогда он не сможет выполнить свою работу, либо дать и надеяться на его порядочность.

Модель безопасности на основе мандатных ссылок (англ. capability-based security) предлагает решение этой проблемы.
Читать полностью »

в 14:27, , рубрики: php, security pledge, безопасность, информационная безопасность

Каждый день я вижу потенциально уязвимый код. Иногда код настолько уязвим, что любой школьник может поломать его. Я также много общался с программистами, которым стоило бы больше знать об уязвимостях. Это очень, как бы это сказать, удручающе. Это грустно, что средний девелопер знает так мало об обычных практиках безопасности. Так что я собрал здесь маленький манифест.

Я пишу защищенный код, если соблюдаю все эти пункты:

  1. Я не буду хранить чувствительные данные в plain text, я буду защищать их как следует.
  2. Я всегда буду защищать пользовательские данные, как защищал бы свои.
  3. Я всегда буду использовать проверенные и известные алгоритмы, не буду изобретать колесо.
  4. Я буду использовать существующие библиотеки, пока возможно, и буду писать свои только когда нет подходящих альтернатив.
  5. Я всегда буду использовать параметризованные запросы (читай бинды) SQL, я не буду доверять экранированию.
  6. Я буду воспринимать уязвимости серьезно, не буду игнорировать их.
  7. Я должен понимать OWASP топ 10 уязвимостей, и всегда буду защищать свои приложения от них.
  8. Я не буду всегда предполагать, что знаю лучше, но буду постоянно развиваться.
  9. Я не буду доверять безопасность системам, которые самостоятельно не исследовал.
  10. Я всегда буду стараться обучать других.

Читать полностью »

в 14:27, , рубрики: php, security pledge, безопасность, Веб-разработка, информационная безопасность

Каждый день я вижу потенциально уязвимый код. Иногда настолько, что любой 10-летний может поломать его. Я также много общался с программистами, которым стоило бы больше знать о хороших практиках защиты от уязвимостей. Это очень удручающе. Это грустно, что средний девелопер знает так мало об обычных практиках безопасности. Так что я собрал здесь маленький манифест.

Я пишу защищенный код, если соблюдаю все эти пункты:

  1. Я не буду хранить чувствительные данные в plain text, я буду защищать их как следует.
  2. Я всегда буду защищать пользовательские данные, как защищал бы свои.
  3. Я всегда буду использовать проверенные и известные алгоритмы, не буду изобретать колесо.
  4. Я буду использовать существующие библиотеки, пока возможно, и буду писать свои только когда нет подходящих альтернатив.
  5. Я всегда буду использовать параметризованные запросы (читай бинды) SQL, я не буду доверять экранированию.
  6. Я буду воспринимать уязвимости серьезно, не буду игнорировать их.
  7. Я должен понимать OWASP топ 10 уязвимостей, и всегда буду защищать свои приложения от них.
  8. Я не буду всегда предполагать, что знаю лучше, но буду постоянно развиваться.
  9. Я не буду доверять безопасность системам, которые самостоятельно не исследовал.
  10. Я всегда буду стараться обучать других.

Читать полностью »

в 7:14, , рубрики: 3D-печать, безопасность, Гаджеты. Устройства для гиков, хакеры, метки: , ,

Хакер открывает наручники усиленной безопасности ключами из 3D принтера
Наручники, копии 3D-печатью и лазерной резкой

Как показал отчет немецкого энтузиаста на конференции «Хакеры на планете Земля» (Hackers On Planet Earth, сокр. HOPE) в Нью-Йорке, технология 3D-печати может найти применения не только в нескольких отдаленных от обычной жизни средах, как то копии окаменевших остатков вымерших животных или создание подробных моделей кровеносной системы. Отныне полагаться на форму какого-то объекта как на ключ будет ошибочным решением: консультант компьютерной безопасности из Германии Рэй, как он сам себя назвал, продемонстрировал дешевые копии пластиковых ключей, способные открыть наручники компаний Bonowi и Chubb.

Как известно, обе фирмы делают всё возможное, чтобы ограничить попадание своих ключей только в руки собственных клиентов, как правило, правоохранительных служб. Рэй рассказал о проблеме некоторых производителей наручников, чьи устройства имеют одну форму ключа, что позволяет одному человеку заковать подозреваемого, а другому освободить его, не задумываясь над уникальностью своих комплектов ключей. До того, как у каждого комплекта наручников не будет собственный ключ, безопасность такой системы можно поставить под сомнение.Читать полностью »

в 7:14, , рубрики: 3D-печать, безопасность, Гаджеты. Устройства для гиков, хакеры, метки: , ,

Умелец открывает наручники усиленной безопасности ключами из 3D принтера
Наручники, копии 3D-печатью и лазерной резкой

Как показал отчет немецкого энтузиаста на конференции «Хакеры на планете Земля» (Hackers On Planet Earth, сокр. HOPE) в Нью-Йорке, технология 3D-печати может найти применения не только в нескольких отдаленных от обычной жизни средах, как то копии окаменевших остатков вымерших животных или создание подробных моделей кровеносной системы. Отныне полагаться на форму какого-то объекта как на ключ будет ошибочным решением: консультант компьютерной безопасности из Германии Рэй, как он сам себя назвал, продемонстрировал дешевые копии пластиковых ключей, способные открыть наручники компаний Bonowi и Chubb.

Как известно, обе фирмы делают всё возможное, чтобы ограничить попадание своих ключей только в руки собственных клиентов, как правило, правоохранительных служб. Рэй рассказал о проблеме некоторых производителей наручников, чьи устройства имеют одну форму ключа, что позволяет одному человеку заковать подозреваемого, а другому освободить его, не задумываясь над уникальностью своих комплектов ключей. До того, как у каждого комплекта наручников не будет собственный ключ, безопасность такой системы можно поставить под сомнение.Читать полностью »

в 14:23, , рубрики: Dura Lex, англия, безопасность, законы в it, информационная безопасность, личная жизнь, от тюрьмы да сумы

(прим. переводчика)
Последние дни все обсуждают пресловутый законопроект №89417-6, при этом ругая нашу страну за столь непродуманный закон. Данным переводом (полный заголовок которого чуть ниже) я хочу показать, что не только у нас принимают законы, позволяющие привлечь кого угодно к статье практически на ровном месте. В некоторых странах всё ещё хуже. Гораздо хуже. И будем надеяться, что до нас этот бред не дойдёт.

В Англии ты можешь попасть за решётку не только за шифрование данных, но и за астрономический шум.

В Англии ты можешь попасть за решётку за хранение шума
В комментариях ко вчерашнему посту все удивились тому факту, что в Англии шифрование объявлено вне закона: граждане страны будут отправлены за решётку на срок до пяти лет, если они не смогут предъявить ключ к своим зашифрованным данным.
Читать полностью »

в 13:37, , рубрики: безопасность, информационная безопасность, мошенничество, метки: ,

В продолжение моего топика о Google-репутации я пишу этот пост, поскольку на примере маразматичности одного человека можно построить отличный case-study для всех кто не дай бог столкнется с такой-же проблемой.

Копии моих документов (1,2 страницы и прописка из пасспорта, копия ИНН) были выложены в интернет.

Читать полностью »

в 11:55, , рубрики: безопасность, информационная безопасность, Телекомы, метки:

Один из крупнейших голландских провайдеров KPN обнаружил, что у многих пользователей до сих пор действует дефолтный пароль welkom01, который им выдали при регистрации. Провайдер насчитал около 120 тысяч юзеров с паролем welkom01 и ещё 20 тысяч, у которых пароль совпадает с именем пользователя. Это выглядит ещё печальнее, если учесть, что у KPN всего 180 тыс. пользователей.

Теоретически, любой желающий мог войти в Customer Self Center под чужим логином, посмотреть персональные данные клиента, номер банковского счёта, и изменить эту информацию.

Читать полностью »

в 9:00, , рубрики: Google Maps, безопасность, Блог компании Luxoft, информационная безопасность, картографические сервисы, цензура в интернете, метки: , , ,

Многие места на спутниковых снимках подвергаются цензуре. Основная цель этого — препятствовать возможным террористам осуществлять свои атаки, детально изучив местность и инфраструктуру объекта, а также скрыть секретные и многие стратегические объекты.
Не секрет, что с момента запуска карт Google главные правительственные здания США (такие, как Белый Дом и Капитолий) были искусственно замазаны — на оригинальных снимках можно было обнаружить позиции снайперов на крышах и многие другие вещи, которые не были предназначены для лишних глаз.

Читать полностью »

1...1020...164165166...170...171
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js