Re[5]: Проверьте свой IQ по безопасности кода
От: . Великобритания  
Дата: 29.11.08 15:26
Оценка:
kochetkov.vladimir wrote:

> .>Скажем, в сервлетах сделано всё правильно
> И где сейчас сервлеты?
Живут и здравствуют. Немного фичи добавляют и только.
Просто их напрямую уже редко используют, а фреймворки всё равно основываются
старых добрых сервлетах.

> .>А уж если вспомнить весь этот ужас с установкой/настройкой, скажем
> того же IIS и
> .>если сравнить с jetty...
> Чего там ужасного-то?
да хотя бы в случае embedded...
Posted via RSDN NNTP Server 2.1 beta
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Re[2]: Проверьте свой IQ по безопасности кода
От: G2 Ниоткуда  
Дата: 03.12.08 13:59
Оценка:
Здравствуйте, VladD2, Вы писали:

VD>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>В ноябрьском выпуске журнала MSDN опубликована статья Говарда и Салливана в которой представлены 10 фрагментов уязвимого кода.

VD>За такой перевод нужно увольнять без выходного пособия .


Оригинал здесь
Улыбаемся и машем :-)
Re: Проверьте свой IQ по безопасности кода
От: avpavlov  
Дата: 08.12.08 19:07
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>В ноябрьском выпуске журнала MSDN опубликована статья Говарда и Салливана в которой представлены 10 фрагментов уязвимого кода. Читателям предлагается найти все допущенные в них уязвимости, посчитать свои баллы и, тем самым, осуществить сабж. После каждого из фрагментов идет весьма познавательный "разбор полетов" на тему "почему так нельзя делать".

KV>Набрал 12 баллов , зато есть куда развиваться

KV>P.S: На радость "Нео и Морфеусов", 6 фрагментов написаны на C#

смешно, что советуют ГУИДы в качестве идентификаторов сессий хотя здесь
Автор: Crackozabl
Дата: 06.12.08
 приведена ссылка на статью, где описывается уязвимость такого подхода
Re[2]: Проверьте свой IQ по безопасности кода
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 09.12.08 14:35
Оценка:
Здравствуйте, avpavlov, Вы писали:

A>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>В ноябрьском выпуске журнала MSDN опубликована статья Говарда и Салливана в которой представлены 10 фрагментов уязвимого кода. Читателям предлагается найти все допущенные в них уязвимости, посчитать свои баллы и, тем самым, осуществить сабж. После каждого из фрагментов идет весьма познавательный "разбор полетов" на тему "почему так нельзя делать".

KV>>Набрал 12 баллов , зато есть куда развиваться

KV>>P.S: На радость "Нео и Морфеусов", 6 фрагментов написаны на C#

A>смешно, что советуют ГУИДы в качестве идентификаторов сессий хотя здесь
Автор: Crackozabl
Дата: 06.12.08
 приведена ссылка на статью, где описывается уязвимость такого подхода

Мог бы поспорить, что атаки на перехват пользовательской сессии редко обуславливаются только лишь нестойкостью sessionID (зависит от используемой платформы, реализации аутентификации и т.п.), но не буду. Т.к. GUID'ы действительно лучше вообще не применять в таких задачах от греха подальше. По-моему, и в стандарте на них так и сказано

Хотя в статье авторы нисколько не слукавили. GUID в том конкретном случае действительно был бы "гораздо лучшим вариантом" по сравнению с инкрементом целых чисел
[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[3]: Проверьте свой IQ по безопасности кода
От: avpavlov  
Дата: 09.12.08 14:51
Оценка:
KV>Хотя в статье авторы нисколько не слукавили.

Они вообще слишком много лукавили на мой взгляд — например задним числом упоминают кластер, или что код выполняется на клиенте — этот последний пример меня особенно разозлил Совершенно не очевидно что это исполняется на клиенте
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.