<rmcreative>

RSS

Все заметки с тегом «Безопасность»

  1. Запрет на перевыпуск SIM по доверенности

    3 октября

    Летом 2017-го я писал про общую ненадёжность аутентификации по телефону (правда по-английски). С тех пор, конечно, произошли некоторые улучшения в плане вариантов двухфакторной аутентификации у популярных сервисов, но SMS всё ешё остаётся одним из часто используемых каналов. И не только каналов. Через SMS часто есть возможность получить доступ к аккаунту.

    Хабр в прошлом месяце напомнил про то, почему важно защитить свой телефон и, в частности, SIM-карту.

    Чтобы предотвратить описанное в статье, конечно, лучшим способом будет не использовать SMS в качестве канала для сброса пароля или двухфакторной аутентификации и переключиться на TOTP. Но если такой возможности нет, можно сделать процедуру перевыпуска SIM чуть более сложной явно запретив делать что-либо по доверенности. Такая возможность есть у всех распространённых операторов и называется "Запрет действий по доверенности" или "запрет обслуживания по доверенности". Но, конечно, надеяться что запрет действительно сработает, не стоит. Компетентность сотрудников салонов связи часто хромает...

    7 комментариев
  2. Безопасность: видео с Involta Meetup

    28 августа

    Involta приготовили видео доклада по безопасности образца 2019 в Иваново .

    2 комментария
  3. markdown не обязан быть безопасным

    8 июля

    В прошлом году в пакете cebe/markdown, занимающимся переводом markdown в HTML, завели тикет о том, что обработка пропускает XSS. Я думал, случай непонимания единичный, но нет. Оказалось что ещё и CVE завели, так что на всякий случай:

    Markdown не обязан быть безопасным. По задумке в нём допускается использование HTML, что автоматически означает что и XSS туда тоже можно засунуть.

    Если используете markdown для пользовательского ввода, не забудьте прогнать вывод санитайзером вроде HTML Purifier. Конфиг для него в случае cebe/markdown может быть таким.

    2 комментария
  4. Неделя backendsecret, часть 2

    5 апреля

    Продолжаю публиковать интересное из недели backendsecret.

    Читаем

    Комментировать
  5. Порог вхождения в Symfony или закрыть URL на basic auth

    12 марта 2018

    Мне не очень нравятся инструменты с очень высоким порогом вхождения. Не потому, что я сам не могу с ними работать (могу), а потому как на какие-то мелочи команда тратит непомерно много времени.

    Я был наслышан про security bundle и то, как его не осиливают разработчики, но это было давно. За последние пару лет вышел Symfony 4, который представлялся как мега-простой и супер-быстрый, да и в самом security вроде изменений было много на тему упрощения. Но нет, оказывается, сильно лучше не стало.

    Читаем

    16 комментариев
  6. RoboPHP в Кемерово, отчёт

    30 января 2018

    27 января я побывал в Кемерово. Рассказал про безопасность на первом митапе RoboPHP. В общем всё прошло отлично. Совершенно без накладок добрался туда и обратно. Организаторы поселили в прекрасном отеле Томь, перемещали докладчиков в нужные места (что очень кстати, потому как зимой в Кемерово чрезвычайно холодно) и накормили вкусным ужином.

    Доклад Дениса Колесникова из Avito про Elm оказался неплохим обзором того, что вас ждёт при использовании функционального программирования. Так как ФП на практике применяется редко, очень хорошо, что Денис не вдавался в тонкости. Вопросов было не очень много, но, думаю, кругозор слушателей расширился.

    Денис Юрьев из Робофинанс рассказал про рефакторинг. Вышло довольно скомкано, но, в принципе, тоже полезно. По крайней мере, дискуссии доклад породил.

    Мой доклад про безопасность приняли хорошо. Тема близка многим. Вопросов было много как про безопасность, так и про Yii и работу в Skyeng.

    В техническом плане были небольшие проблемы (умер кликер, надо было дублировать), но это практически не мешало. Место выбрано отличное, тайминг соблюдён, приятный перекус и ужин организованы. Организаторы — огромные молодцы. Желаю им собрать ещё ни одни митап с лучшими представителями IT.

    Слушателям огромное спасибо что пришли, задавали вопросы и делились своим опытом.

    Слайды, как обычно, в открытом доступе. Листайте, спрашивайте в комментариях.

    5 комментариев
  7. Про этику хакерства

    29 января 2018

    Из комментариев к свежему посту на хабре:

    А на мой взгляд, пора уже этику хакерства дополнить требованием к владельцам сайтов: если на сайте не выложен контакт для связи по вопросам обнаруженных уязвимостей и гарантия отсутствия преследования при условии сообщения об уязвимости данному контакту за X дней до публичной публикации — значит владелец предпочитает об уязвимостях узнавать из СМИ.

    https://habrahabr.ru/post/347760/#comment_10641022

    «Владелец предпочитает об уязвимостях узнавать из СМИ» — это, скорее надо читать как «не знать» потому как нашедший уязвимость просто не станет подставляться, но считаю, что завести такую страницу — хорошая идея.

    Да, проблема актуальна не только для РФ. Практически во всех странах исследование безопасности очень тонко граничит с уголовным преступлением.

    2 комментария
  8. Yii 2 Conference 2016, Отчёт и материалы

    12 октября 2016

    24 сентября в Киеве, как и планировалось, прошла мини-конференция, докладчиками которой выступили члены команды Yii и Codeception. Всего было четыре доклада и довольно продолжительная сессия вопросов и ответов. Вышло отлично. И организаторы и докладчики большие молодцы. Аудитория тоже очень порадовала.

    Доклады получились интересными и писались на видео. Всем рекомендую.

    Читаем

    9 комментариев
  9. Видео моего доклада по безопасности с Deep Refactoring

    18 июля 2016

    В Воронеже несколько раз в месяц мы собираемся небольшой компанией, которую окрестили клубом «Deep Refactoring», рассказываем интересное из мира IT в виде доклада и горячо обсуждаем после. В начале месяца я рассказывал «Безопасность: от базовых принципов до особенностей PHP». Доклад я первый раз прочитал на английском в Стамбуле, затем на DevConf и последний раз в клубе.

    Слайды всё те же с DevConf, а вот рассказ отличается. Во-первых, рассказывал в небольшой компании, так что задавали вопросы по ходу и меняли ход рассказа. Во-вторых, дело было в пабе :)

    Слушайте на YouTube. Посмотреть особо не удастся. Темно.

    Кстати, докладов было прочитано за время существования клуба уже не мало, все их можно посмотреть там же на YouTube.

    Комментировать
  10. mysql_real_escape_string() не защитит от SQL-инъекций

    7 марта 2016

    Вопреки древнему поверию, гласящему, что mysql_real_escape_string() защищает от SQL инъекций, функция этого не делает.

    Единственный, более-менее надёжный способ избежать SQL инъекций — использовать подготовленные запросы (prepared statements) с параметрами.

    19 комментариев