יום ראשון, 14 בפברואר 2010

058 אבטחת מידע בתכנה software security

הפעם אירחנו את ארז מטולה, מומחה לאבטחת מידע ופיתוח קוד מאובטח.

הקובץ נמצא כאן

2 comments:

  1. בחצי השני של הפודקאסט דובר על input validation כפתרון הראשון לכל בעיית קלט (XSS, SQL injection, אולי עוד?).

    בעיניי input validation צריכה להיות הפתרון האחרון לבעיות, אם בכלל. זה בגלל שמאוד מאוד קשה לעשות את זה נכון, זה בדרך כלל גורם לבעיות, וגם אחרי זה, אי אפשר להיות בטוח.

    נכון שblacklisting זה יותר גרוע, כיוון שהוא יכול להשאיר פרצות. אבל whitelisting הוא בדרך כלל פתרון שמשאיר הרבה קלטים שהיו צריכים להיות קבילים לגמרי בחוץ, רק בגלל עצלנות של המפתח. זה לא הוגן להגיד ל Tim O'Reilly שהשם שלו לא חוקי.

    הצורה הנכונה, לפענ"ד, לטיפול בקלט, צריכה להיות קידוד נכון ו-escaping לפי ההקשר. ב-SQL להשתמש ב-parameterized queries (שמטפלים בקידוד עבורנו), בפלט HTML תמיד לעשות HTML-escaping לטקסת חופשי, וכן הלאה.

    השבמחק