Блин, специалисты по безопасности не должны делать сайты. Сейчас смотрел несколько курсов на сайте veracode.com и меня бесит в сайте абсолютно все. Блин, я же всего лишь был в разделе eLearning где предоставляются интерактивные курсы.
Ну да, они платные (у нас компания проплатила и всем программистам нужно пойти эти курсы онлайн) и защита интеллектуальной собственности тут необходима, но на сайте сделано всё так, как будто это банк или система управления пусками американских ядерных ракет.
Безопасность конечно же нужна, но удобство пользователя так же является очень важной составляющей любого Web сайта. Забивать на удобство и думать только о безопасности там, мне кажется очень большая ошибка.
То, что ждали уже долгие годы м о чем предупреждали уже давно - хакерам удалось получить достаточно серьезный контроль над компьютерной системой Jeep Cherokee. Как я понял, серьезных успехов удалось добиться двум инженерам - Charlie Miller и Chris Valasek. Они связались с одним из авторов Wired и продемонстрировали ему, как можно управлять удаленно автомобилями Jeep через их систему Uconnect.
Хакеру достаточно знать IP адрес, и он сможет удаленно остановить двигатель, переключить скорость на найтралку или даже включить задний. И это н говоря уже о более мелких проказах типа управления дворниками, лампочками и приборной панелью.
Интересно, а ребята сообщили сначала производителю - крайслеру? Если нет, то ребята показушники и гоняться за славой. Это как раз большая разница между белыми хакерами и чернушниками. Белый хакер сообщает сначала производителю. На мой взгляд, идти к журналистам - это самое последнее дело.
Что-то я не видел в новостях, а оказывается Anonymous разозлились на Канаду и особенно полицию за то, что на прошлой неделе в Британской Колумбии полицией был убит мужчина в белой маске хакерской группы. Я слышал коротко по радио, что Anonymous утверждала, что взломала сайт полиции и кто-то там опровергнул это в интервью, но как-то так коротко сообщили .
А ведь если хакеры этой группы действительно взялись за Канаду, я бы ожидал серьезных последствий. Возможно скоро что-нибудь взломают, ведь у государства здесь очень много различных сервисов и если заняться и начать тестировать все их, возможно что-то и найдут.
В Торонто очень сильно распространены проездные на общественный транспорт. Проезд здесь достаточно дорогой, поэтому тем, у кого нет машины действительно выгодно купить проездной за $130 (если я правильно помню цену) и ездить без ограничения на автобусах, трамваях и метро города.
Цена достаточно высокая. Хотя проездной и выглядит как пластик и его внешний вид меняется каждый месяц, при такой стоимости, подделывать проездной все же выгодно и уже были случаи мошенничества.
В этом месяце транспортная компания пошла дальше - они заказали у стартапа в Нью Йорке приложение для телефона, которое позволит покупать проездные. У самой компании пока электронных считывателей в городе почти нет (в автобусах только планируют начать устанавливать), поэтому приложение просто должно показывать на экране картинку, которая будет говорить контролёру, что это проездной.
Сейчас читаю книгу по Web безопасности одного из специалистов в этой сфере и если честно, то она не очень пока мне нравится. Я даже не читаю, а просматриваю. Но вот один абзац меня натолкнул на размышления:
In any security-critical application, the most effective way to implement realtime alerting is to integrate this tightly with the application’s input validation mechanisms and other controls. For example, if a cookie is expected to have one of a specifi c set of values, any violation of this indicates that its value has been modified in a way that is not possible for ordinary users of the application.
Переведу смысл на всякий случай - для приложений, которым безопасность очень важна, наиболее эффективным методом будет реализовать оповещения в реальном времени и привязать его к механизму проверки входных данных. Например, если плюшка должна быть определенного значения и она модифицирована так, что пользователь не мог этого сделать, нужно сообщить.
Сегодня прочитал в интернете не совсем верное утверждение в отношении CVV2 и CVC2 кодов, которые расположены на обратной стороне кредитной карты. Это всего лишь три цифры, которые предназначены для повышения безопасности и не гарантируют, что этот код никто не уведет.
Основное правило в отношении кодов безопасности кредитных карт заключается в том, что интернет магазины (да и вообще это касается всех) не имеют права хранить этот код в своих базах данных. Смысл в том, что если кто-то спиониздит базу данных, то код безопасности не окажется в руках хакера.
Теоретически код нужен продавцу только для авторизации транзакции и после этого его можно удалять, а точнее, его даже сохранять не нужно. Но где гарантия, что магазин не сохранил CVV код? Абсолютно никакой гарантии.
Жена сообщила из Питера, что у нее проблемы с получением пин кода для карты Яндекса. То, что безопасность для них важнее - это хорошо, но как же удобство?
Мне тоже пин код не прислали, когда я открывал свою карту, поэтому пришлось звонить срочно в службу поддержку устанавливать код. А для меня это не дешевый международный звонок.
В общем, я описал свои мысли в курилке, и чтобы не повторяться здесь, просто оставлю линк для тех, кому интересно: http://www.funniestworld.com/Blog.aspx?id=2143.
Все любят умничать, что резервное копирование очень важно, но мне кажется, что мало кто реально следуют хотя бы базовым правилам создания резервных копий.
После каких-либо проблем я заставляю себя делать копии, и у меня для этого есть все необходимое - достаточно большой внешний жесткий диск WD. Только мне всё равно постоянно лень скопировать все файлы.
Резервные копии фотографий я делаю регулярно. Память у меня хорошая, но на старости лет в канадской избушке на пенсии возможно захочу полистать некоторые фотографии.
Сейчас прочитал, что группа экспертов при участии Microsoft нашли уязвимость в технологии шифрования траффика, которая существовала 10 лет в iOS, Android и MacOS.
Apple уже отреагировала на это сообщение и пообещала выпустить патч и тут у меня н так уж и много вопросов, потому что нужно будет обновить последний билд для iOS 7 и последний для iOS 8. Если кто-то не обновился до последней версии в своей ветке, то это уже их проблемы, ведь все обновления бесплатные и компания посто н может выпускать патчи для каждой существующей сборки, но должна выпускать для каждой существующей на рынке версии. Сейчас практически 100 процентов рынка занимает всего две версии 7 и 8.
Вот интересно, кто смотрит на значок https соединения в наши дни? Я помню, когда появился этот протокол, то первое время я достаточно часто смотрел на наличие https, но ни разу н смотрел на сам сертификат. Сейчас я заглядываю на это значок только тогда, когда ввожу номер кредитной карты на каком-либо сайте.
Если кто-то зарегистрируют доменное имя со схожим с жертвой названием и еще и сможет получить сертификат безопасности, то мне кажется, что большинство не заметит подставы. Быстрый взгляд на строку адреса, и достаточно увидеть только, что там есть сертификат, как никто уже не будет открывать его.
Наличие сертификатов - достаточно сильно усложняет некоторые атаки, но мне кажется, что всё же не решает проблему даже на 90%. Если профессионалы еще смотрят на подобные вещи, то новички и домохозяйки даже не хотят задумываться о том, что у сайтов должен быть https протокол везде, где передаются пароли или номера кредитных карт.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2025 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
На сайте используются Cookie. Если вы из ЕС или Калифорнии США, то вы должны согласиться с их использованием - Согласен. Если вы из нормальной страны, то вам пох.
