<rmcreative>

RSS

Все заметки с тегом «Безопасность»

  1. RoboPHP в Кемерово, отчёт

    30 января

    27 января я побывал в Кемерово. Рассказал про безопасность на первом митапе RoboPHP. В общем всё прошло отлично. Совершенно без накладок добрался туда и обратно. Организаторы поселили в прекрасном отеле Томь, перемещали докладчиков в нужные места (что очень кстати, потому как зимой в Кемерово чрезвычайно холодно) и накормили вкусным ужином.

    Доклад Дениса Колесникова из Avito про Elm оказался неплохим обзором того, что вас ждёт при использовании функционального программирования. Так как ФП на практике применяется редко, очень хорошо, что Денис не вдавался в тонкости. Вопросов было не очень много, но, думаю, кругозор слушателей расширился.

    Денис Юрьев из Робофинанс рассказал про рефакторинг. Вышло довольно скомкано, но, в принципе, тоже полезно. По крайней мере, дискуссии доклад породил.

    Мой доклад про безопасность приняли хорошо. Тема близка многим. Вопросов было много как про безопасность, так и про Yii и работу в Skyeng.

    В техническом плане были небольшие проблемы (умер кликер, надо было дублировать), но это практически не мешало. Место выбрано отличное, тайминг соблюдён, приятный перекус и ужин организованы. Организаторы — огромные молодцы. Желаю им собрать ещё ни одни митап с лучшими представителями IT.

    Слушателям огромное спасибо что пришли, задавали вопросы и делились своим опытом.

    Слайды, как обычно, в открытом доступе. Листайте, спрашивайте в комментариях.

    5 комментариев
  2. Про этику хакерства

    29 января

    Из комментариев к свежему посту на хабре:

    А на мой взгляд, пора уже этику хакерства дополнить требованием к владельцам сайтов: если на сайте не выложен контакт для связи по вопросам обнаруженных уязвимостей и гарантия отсутствия преследования при условии сообщения об уязвимости данному контакту за X дней до публичной публикации — значит владелец предпочитает об уязвимостях узнавать из СМИ.

    https://habrahabr.ru/post/347760/#comment_10641022

    «Владелец предпочитает об уязвимостях узнавать из СМИ» — это, скорее надо читать как «не знать» потому как нашедший уязвимость просто не станет подставляться, но считаю, что завести такую страницу — хорошая идея.

    Да, проблема актуальна не только для РФ. Практически во всех странах исследование безопасности очень тонко граничит с уголовным преступлением.

    2 комментария
  3. Yii 2 Conference 2016, Отчёт и материалы

    12 октября 2016

    24 сентября в Киеве, как и планировалось, прошла мини-конференция, докладчиками которой выступили члены команды Yii и Codeception. Всего было четыре доклада и довольно продолжительная сессия вопросов и ответов. Вышло отлично. И организаторы и докладчики большие молодцы. Аудитория тоже очень порадовала.

    Доклады получились интересными и писались на видео. Всем рекомендую.

    Читаем

    9 комментариев
  4. Видео моего доклада по безопасности с Deep Refactoring

    18 июля 2016

    В Воронеже несколько раз в месяц мы собираемся небольшой компанией, которую окрестили клубом «Deep Refactoring», рассказываем интересное из мира IT в виде доклада и горячо обсуждаем после. В начале месяца я рассказывал «Безопасность: от базовых принципов до особенностей PHP». Доклад я первый раз прочитал на английском в Стамбуле, затем на DevConf и последний раз в клубе.

    Слайды всё те же с DevConf, а вот рассказ отличается. Во-первых, рассказывал в небольшой компании, так что задавали вопросы по ходу и меняли ход рассказа. Во-вторых, дело было в пабе :)

    Слушайте на YouTube. Посмотреть особо не удастся. Темно.

    Кстати, докладов было прочитано за время существования клуба уже не мало, все их можно посмотреть там же на YouTube.

    Комментировать
  5. mysql_real_escape_string() не защитит от SQL-инъекций

    7 марта 2016

    Вопреки древнему поверию, гласящему, что mysql_real_escape_string() защищает от SQL инъекций, функция этого не делает.

    Единственный, более-менее надёжный способ избежать SQL инъекций — использовать подготовленные запросы (prepared statements) с параметрами.

    18 комментариев
  6. Случайные байты, числа и UUID в PHP

    31 января 2016

    Tom Worster, специалист по безопасности, помогающий поддерживать её в Yii на отличном уровне, поделился решениями для чистого PHP. Решения отличаются краткостью и отсутствием абстракции, что позволяет легко их проверить и избежать неприятных побочных эффектов.

    Пользуемся

    Комментировать
  7. Составные части хеш-строки bcrypt

    26 ноября 2015

    Хороший способ хранения данных для аутентификации — хеш-строки bcrypt. В PHP это реализуется при помощи crypt с алгоритмом blowfish. В более поздних версиях PHP — при помощи password_hash. В Yii для этого есть Security::generatePaswordHash(). Выглядит строка на выходе вот так:

    $2y$13$YUUgrko03UmNU/fe6gNcO.Hka4lrdRlkq0iJ5d4bv4fK.sKS.6jXu

    Длина в случае пароля всегда 60 символов.

    • 2y - версия алгоритма bcrypt. Мы используем blowfish, так что в новых версиях PHP должна быть всегда 2y.
    • 13 - cost. Стоимость вычислений. 2^13 итераций функции формирования ключа.
    • Оставшееся — конкатенированные соль и хеш, закодированные через base64 с немного нестандартным набором символов. Первые 22 символа — 16 байт соли. Оставшееся — хеш.

    При сравнении пароля bcrypt достаёт версию алгоритма, cost и соль из хеш-строки сохранённого пароля. Далее, используя их, вычисляет хеш нового пароля и сравнивает с сохранённым хешем.

    4 комментария
  8. Уязвимость dev/random и других UNIX-устройств под Windows

    20 октября 2015

    Разрабатывая код для PHP не забывайте про Windows.

    Скриншот подготовил thefsb.

    12 комментариев
  9. Перестаньте использовать mcrypt

    13 мая 2015

    Сегодня в очередной раз всплыла статья об распространённых ошибках при реализации шифрования. Сама по себе она ничего так, но местами учит плохому. А именно, использовать mcrypt.

    Почему его не стоит использовать

    mcrypt не обновлялся более десяти лет и не планирует. Авторы его забросили. В нём есть серьёзные недоработки.

    И что делать?

    Мы в Yii от него ушли в сторону OpenSSL, чего и вам советую. Реализовал переход, в основном, Tom Worster. У него есть серия интересных постов на тему.

    8 комментариев
  10. Проверяем и лечим ShellShock

    1 октября 2014

    Уже больше недели интернет полон сообщениями о всё новых уязвимостях в bash. Уязвимости серьёзные, их уже начинают активно эксплуатировать, надо обновляться.

    Проверить наличие уязвимостей можно специальным скриптом и извне через специальный сервис, обновляться в каждой ОС немного по-разному. Для ubuntu это выглядит так:

    sudo apt-get update && sudo apt-get install --only-upgrade bash
    
    4 комментария