Συνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή, προτελευταία του χορού των αδυναμιών παρουσιάζεται η χρήση έτοιμων αρθρωμάτων (modules) που έχουν ήδη γνωστά σφάλματα (using components with known vulnerabilities). Πάρα πολλές διαδικτυακές εφαρμογές χρησιμοποιούν έτοιμα αρθρώματα και βιβλιοθήκες για την ταχεία ανάπτυξή τους εκμεταλλευόμενες τα ιδιαίτερα βολικά API των βιβλιοθηκών για την εμφώλευση έτοιμων λειτουργιών. Continue Reading…
OWASP Νο10 – Μη επικυρωμένες μεταπηδήσεις ή προωθήσεις (Unvalidated Redirects and Forwards)
Συνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή, τελευταία στον χορό των αδυναμιών παρουσιάζεται η χρήση μη επικυρωμένων μεταπηδήσεων ή προωθήσεων από την εφαρμογή (Unvalidated Redirects and Forwards). Πολλές διαδικτυακές εφαρμογές χρησιμοποιούν για την μεταπήδηση ή προώθηση από σελίδα σε σελίδα εξειδικευμένες σελίδες που, πολύ συχνά, δέχονται Continue Reading…
Τα 10 συνηθεστέρα κενά ασφαλείας διαδικτυακών εφαρμογών
Καλωσορίσατε στον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα. Η CWA σε συνεργασία με τον Παναγιώτη Καλαντζή (Υπεύθυνος Ασφάλειας Πληροφοριών, Επικεφαλής Τμήματος Διαχείρισης Επιχειρησιακού Κινδύνου / Εσωτερικού Ελέγχου στην MΤΝ Κύπρου) σας προσφέρουν εύπεπτα και λεπτομερή θέματα σχετικά με την ασφάλεια δεδομένων και χρηστών σε περιβάλλοντα κυρίως διαδικτυακά αλλά και δικτυακά. Continue Reading…
Τα CAPTCHA των γιγάντων
Στο τρίτο και τελευταίο μέρος της σειρά μας (1ο και 2ο άρθρο) για τα CAPTCHA, θα ρίξουμε μια ματιά στην αντιμετώπιση μερικών μεγάαααλων παικτών της πληροφορικής όσο αφορά την επιβεβαίωση της ανθρώπινης υπόστασης των χρηστών εν αντιθέσει με αυτοματοποιημένα συστήματα συμπλήρωσης. Continue Reading…
Η ασφάλεια δεν είναι ποτέ αρκετή
Είναι μεσημέρι, αράζεις στο Λιστόν, πίνεις καφεδάκι και ξάφνου κοιτάς το κινητό σου. Κάνεις το συνειρμό ότι υπάρχει ανοιχτό δίκτυο wi-fi. Πώς να αντισταθείς σε ένα γρήγορο σερφάρισμα στο διαδίκτυο; Πώς να αφήσεις την ευκαιρία να τσεκάρεις τα emails σου καθώς απολαμβάνεις το καφεδάκι σου; Συνέχισε την ανάγνωση του κειμένου και θα καταλάβεις πόσο ευάλωτος είσαι απέναντι σε οποιοδήποτε κακόβουλο χρήστη του ίδιου ανοιχτού δικτύου. Continue Reading…
Φτιάχνοντας το δικό μας CAPTCHA
Σε προηγούμενη ανάρτησή μας, είδαμε μερικούς λόγους που οδηγούν στη χρήση captcha.
Στην παρούσα θα δούμε πώς φτιάχνεται ένα απλό captcha με τη χρήση PHP και ολίγη JavaScript.
Ξεκινώντας να σχεδιάσουμε τη διαδικασία, είναι απλό και υψηλού επιπέδου Διάγραμμα Μεταβολής Καταστάσεων είναι ιδιαίτερα βοηθητικό. Continue Reading…
Άνθρωπος ή μηχανή; To CAPTCHA or not to CAPTCHA?
Η αλληλεπιδραστικότητα του παγκόσμιου ιστού, ιδιαιτέρως μετά την παγίωση των χαρακτηριστικών του Web 2.0, αυξήθηκε κατακόρυφα. Οι χρήστες των ιστοσελίδων από καταναλωτές πληροφορίας έγιναν, μονομιάς, δημιουργοί. Η ευρεία απήχηση των προαναφερθέντων τεχνικών Web 2.0 έκαναν την προϋπάρχουσα τεχνολογία αλληλεπίδρασης από σπάνιο φαινόμενο σε μέρος της καθημερινότητας με τη χρήση αυτεπεξηγούμενων και διαισθητικά αυτονόητων μεταφορών/μοντέλων διεπαφής. Continue Reading…
Κάνε και ‘συ backup, μπορείς!
Στο πρώτο μάθημα της πληροφορικής (εδώ και πολλααααααά χρόνια – τότε που ακόμα ο κόσμος δεν είχε προλάβει «να δέσει» 🙂 μας ενημέρωσαν, σε άπταιστα αγγλικά, πως δεν υπάρχει καμία δικαιολογία για να μην διατηρούμε αντίγραφο ασφάλειας (backup) των δεδομένων που θεωρούμε σημαντικά. Continue Reading…
Τα password και τα μάτια σας
Δεεεε πιστεύω να μην πήρε τ’ αυτί σας για την τελευταία των hacker-ιών σε αξιοσέβαστη υπηρεσία πολλών πολλών χρηστών, με ~250.000 κωδικούς να ‘χουν κάνει φτερά;
Ααααα όλα κι όλα, εμείς ονόματα δε λέμε και υπολήψεις δε θίγουμε (http://www.tanea.gr/ellada/article/?aid=4788084, http://www.pcpro.co.uk/news/379663/hack-forces-twitter-to-reset-250-000-user-passwords).
Το προφανές ερώτημα που μένει μετά τη σκέψη πως η κυβερνοασφάλειά μας είναι, Continue Reading…