Tag Archive

You are currently browsing the tag archive for the ‘Web Security’ tag.

Segmented Web Browser DMZ.

ianuarie 26, 2010 in Razboiul Ideilor, Web Security | Tags: , | Lasă un comentariu

Saptamana aceasta, citind blogul lui Daniel Missler, am dat peste un post foarte interesant, care propune o noua arhitectura de folosirea a browserelor in organizatii. Ceea ce propune el si Steve Crapo este o infrastructura de masini virtuale, localizata in DMZ, care sa fie folosita pentru browsing. Userilor nu li se va mai permite accesul din interiorul organizatiei direct la Internet, ci numai prin conectare la niste masini/desktop-uri virtuale, localizata in DMZ, care vor fi usor de mentinut, patch-uit si restabilit in cazulin care una din masini este compromisa. Solutia pare interesanta si datorita protectiei oferita la posibilul upload in internet a informatiilor existente in organizatie.

Ce prere aveti? O astfel de solutie ar avea succes in organizatia voastra? Ar fi acceptata de utilizatori?

Intreg articolul aici.

Have fun

Microsoft QSR

ianuarie 25, 2010 in Security News, Websecurity | Tags: , , | Lasă un comentariu

Foarte multe persoane, pornind de la manageri pina la arhitecti de sisteme si dezvoltatori IT, cind vine vorba despre probleme de securitate si vectori de atac, ridica din umeri. Multi au auzit de ele, dar nu au o intelegere a fenomenului si a ceea ce inseamna . Articolele disponibile online sint ori prea tehnice, ori prea generale. Microsoft s-a hotarat sa dezvolte in cadrul SDL-ului, asa numitele QSR-uri, Quick Security Reference, care prezinta diferite atacuri din diferite puncte de vedere: al managerilor, al arhitectilor, al dezvoltatorilor de aplicatii si a tester-ilor/oameni de QA. Pentru fiecare este prezentata informatia in asa fel incat sa poata intelege si sa ia decizii avind informatiile sintetizate conform nevoilor personale. Primele doua documente descriu atacul „Cross Site Scripting” si „SQL Code Injection”. Merita citite!

Have Fun.

CWE-20 primul in top.

februarie 8, 2009 in Back to security basic, Web Security, Websecurity | Tags: | Lasă un comentariu

In primul rind ce este CWE. CWE vine de la Common Weakness Enumeration, si este o colectie a greselilor de programare ce se pot transforma in erori de securitate.

Ce este CWE-20? „Improper Input Validation” este prima intr-un top-ul 25 al organizatiei SANS referitoar la erorile facute in programarea aplicatiilor web. CWE ar trebui sa devina o referinta pentru toti programatorii mai ales ca organizatia MITRE ofera si exemple de programare, cit si considerente de implementare si arhitectura.

mai 2024
L M M J V S D
 12345
6789101112
13141516171819
20212223242526
2728293031