הפעם אירחנו את ארז מטולה, מומחה לאבטחת מידע ופיתוח קוד מאובטח.
- ארז הציג את עצמו ואת בעיית ההגנה של מערכות פתוחות
- שיטת מעגלי האבטחה - כל הגנה היא ההגנה האחרונה
- ביצוע בדיקות חדירה (בדיקות חוסן), בעיות טכניות ובעיות לוגיות
- איך עובדים מוצרי סריקה לגילוי בעיות אבטחה
- עלילות Samy ב- MySpace, סיפור פריצת Cross-site scripting
- כיצד נמנעים ופותרים בעיות אבטחת מידע נפוצות: אימות קלט, Whitelist, קידוד HTML
- ביצוע התקפת SQL injection ושיטות הגנה שאינן מומלצות
הקובץ נמצא כאן
מעניין מאוד...
השבמחקבחצי השני של הפודקאסט דובר על input validation כפתרון הראשון לכל בעיית קלט (XSS, SQL injection, אולי עוד?).
השבמחקבעיניי input validation צריכה להיות הפתרון האחרון לבעיות, אם בכלל. זה בגלל שמאוד מאוד קשה לעשות את זה נכון, זה בדרך כלל גורם לבעיות, וגם אחרי זה, אי אפשר להיות בטוח.
נכון שblacklisting זה יותר גרוע, כיוון שהוא יכול להשאיר פרצות. אבל whitelisting הוא בדרך כלל פתרון שמשאיר הרבה קלטים שהיו צריכים להיות קבילים לגמרי בחוץ, רק בגלל עצלנות של המפתח. זה לא הוגן להגיד ל Tim O'Reilly שהשם שלו לא חוקי.
הצורה הנכונה, לפענ"ד, לטיפול בקלט, צריכה להיות קידוד נכון ו-escaping לפי ההקשר. ב-SQL להשתמש ב-parameterized queries (שמטפלים בקידוד עבורנו), בפלט HTML תמיד לעשות HTML-escaping לטקסת חופשי, וכן הלאה.