14. nädal

Valitud sai turvarisk "Broken Access Control", OWASP'i kuulsast top 10 riskide nimekirjast. OWASP leidis, et see turvarisk leidub mingil moel 3.8% projektidest. Probleemi kirjeldus on ilmselge: tegu on turvaauguga, mille puhul saab võõrkasutaja ligipääsu näiteks admin dashboard-ile või API-le, mis muidu peaks vajama autentimist.
 
Tihti on selle rünnaku läbiviimine võimalik läbi tuntud programmide nagu Metasploit, mis otsivad populaarseid URL-e mis on vahepeal kogemata saidiadministraatorite tõttu lahti jäänud (Wordpress tuleb kohe silma).
 
Tehnoloogia: Tee kasutajale võimalikult lihtsaks õigete seadete sättimise. Implementeeri deny-by-default filosoofiat seadistusfailides. Heaks näiteks oleks raamistik Django, mis tuleb kaasa juba turvastatud admin-paneeliga ja ka muude turvatööriistadega, mis kaitsevad näiteks CSRF-i eest. Väga halb näide sellest, mida mitte teha: PHP.

Koolitus: Konsulteeri oma raamistiku või tehnoloogia dokumentatsiooni ja ametlikke turvanõudeid.
 
Reeglid: Enne projekti publikeerimist, kontrolli et sa ei jätnud avalikuks mõned oma rakenduse sensiitvsed alad.

Comments

Post a Comment

Popular posts from this blog

6. nädal

Enne kui alustan postitust, tooks välja essee Software patents — Obstacles to software development by Richard Stallman , mis on aluseks GNU filosoofiale ning ka sihimärgiks paljudele kritisismidele selle naiivsuse tõttu.  A Constructive Proposal For Copyright Reform Esiteks mainiks ära, et autoriõigused ja patendid on väga erinevad olendid, ning nende kokku segamine läbi "think about the author, what if you were in that position" tüüpi piltide maalimise on tihti puhtalt ahnusest motiveeritud retoorika. Üks on seotud kopeerimisega, teine ideede kaitsmisega.  We propose no changes at all to the moral right of the author to be recognized as the author.
Read more

13. nädal

Image
Pilgujälgija Pilgujälgijad on tehnoloogiline lahendus mis laseb arvutil läbi kaamera aru saada, kuhu kasutaja hetkel näiteks ekraanil vaatab. See võimaldab peaaegu täielikult paraliseeritud (mis juhtub ka vahepeal ajutiselt pärast õnnetusi) inimestel kasutada arvuteid palju efektiivsemalt kui muidu. Läbi pilgu kontrollitav hiir laseb kasutajal sirvida veebi või isegi kasutada klaveatuuri, kuigi selle jaoks võib kaasata ka muud tugilahendused nagu speech-to-text . Mõned pilgujälgijad ei kasuta mitte arvuti peal olevaid kaameraid, vaid on seadmed mis lähevad hoopis pea peale. Uuemad pilgujälgijad tihti võimaldavad jälgida pilku koos pealiigutustega, teised samas aga vajavad peatuge. Pilgujälgijad on kasutusel ka mõnedes autodes, näiteks võib see aidata pikamaalistel rekkajuhtidel rooli ees mitte uniseks jääda: sellised pilgujälgimislahendused tihti isegi kasutavad tehisintellekti unisuse mõõtmiseks. Odavad silmajälgijad (mis tihti pole ametlikult mõeldud tugikasutuseks) võivad maksta va
Read more

15. nädal

Image
Microsofti eetikakood Microsofti eetikakood järgib ühte tsentraalset reeglit: usaldus. Firmale on tähtis, et usaldus esineks igas firma aspektis, nii töötajate kui ka klientidega. Microsofti eetikakood on lihtasti loetav kõigile, mis teeb selle järgimist eriti lihtsaks. See palub inimestel vältida igasugust korruptsiooni, privaatsusetõrkeid ja kohtle teisi ausalt ja võrdselt. Liidritelt palutakse, et nad kommunikeeriks oma alluvatega, kuulaks, ning näitaks õiget eeskuju. Ta palub inimestel üles astuda, kui nad märkavad kuskil eetikakoodirikkust või muud valet käitumist. Sooviks muidugi mainida, et tegu on amoraalsete korporatsiooniga, keda tihti ei huvita PR'ist väljaspool mingisugused eetikakoodeksid, nagu on selgelt näha paljudes äriotsustes, mida nad tegelikult teevad. Küll aga usun, et need kes firma sees tegelikult töötavad võivad siiski neid printsiipe väärtustada, mis lõppude lõpuks ei tee neid täielikult mõttetuks. Raske on valida "lemmikut" eetikakoodeksit, kuig
Read more