Bitácora de Fernando Tricas en la EINA
Notas sobre actualidad relacionada con mis asignaturas

Mon, 26 Jan 2015

Repaso sobre algunos temas de seguridad web

El vídeo de la charla de Troy Hunt con ejemplos de problemas en aplicaciones web puede servirnos para repasar antes del examen.

"How I hacked my way to Norway" video

Habla de cifrado en los formularios, datos envíados, inyección de SQL... en un tono ameno y simpático y con demostraciones en directo.

Se puede leer también NDC 2014, Vikings, passwords and pineapples (and session videos) y ver la otra conferencia que impartió (un poco más teórica) en el marco de Norwegian Developers Conference 2014.

[18:01] | [Asignaturas/seguridad] | Enlace # | Google |

Thu, 15 Jan 2015

Fundamentos de gestión de cuentas

Defensa

Aunque sólo se trata de una hipotética conversación entre un desarrollador y el experto en seguridad Troy Hunt podemos leer en Introducing the "Secure Account Management Fundamentals" course on Pluralsight un resumen de bastantes de las cuestiones que hay que tener en cuenta a la hora de desarrollar o poner en funcionamiento un sistema de gestión de cuentas para nuestra aplicación web, algunas bastante sutiles.

Avisos, almacenamiento de las contraseñas, recuperación de las mismas, correos de registro, reputación, sesiones, bloqueo ante ataques, cambios,...

En clase solemos decir que parece más fácil de lo que realmente resulta ser al final.
Puede ser un buen recordatorio de las clases que dedicamos en su día a este tema.

Publicado originalmente en Fundamentos de gestión de cuentas.

[17:15] | [Asignaturas/seguridad] | Enlace # | Google |

Tue, 23 Dec 2014

Cuidado con la gestión de nombres

Dar un curso de desarrollo seguro (y de seguridad en general) es bastante 'agradecido' desde el punto de vista de encontrar ejemplos, porque la actualidad siempre nos trae sorpresas.

Estábamos hablando en clase sobre los problemas de los nombres y de tomar decisiones sobre ellos y justo aparece el fallo en git: Vulnerability announced: update your Git clients:
The vulnerability concerns Git and Git-compatible clients that access Git repositories in a case-insensitive or case-normalizing filesystem. An attacker can craft a malicious Git tree that will cause Git to overwrite its own .git/config file when cloning or checking out a repository, leading to arbitrary command execution in the client machine. Git clients running on OS X (HFS+) or any version of Microsoft Windows (NTFS, FAT) are exploitable through this vulnerability. Linux clients are not affected if they run in a case-sensitive filesystem.
La negrita la he puesto yo.

Se puede leer también el anuncio en la lista de desarrollo de git, [ANNOUNCE] Git v2.2.1 (and updates to older maintenance tracks) y Git 1.8.5.6, 1.9.5, 2.0.5, 2.1.4 and 2.2.1 and thanking friends in Mercurial land.

Si nos interesa ver el código, al menos a una parte, podemos echarle un vistazo a path: add is_ntfs_dotgit() helper, donde hablan de:
On NTFS (and FAT32), there exist so-called "short names" for backwards-compatibility: 8.3 compliant names that refer to the same files as their long names. As ".git" is not an 8.3 compliant name, a short name is generated automatically, typically "git~1"
Y también a: read-cache: optionally disallow HFS+ .git variants donde se ven las invocaciones a la función añadida y alguna cosa más.

[23:35] | [Asignaturas/seguridad] | Enlace # | Google |

Wed, 17 Dec 2014

Algunos fallos de inyección de HTML recientes

Los hemos comentado en clase, pero para que los podáis examinar con calma pongo los enlaces aquí:

Como puede verse, las 'víctimas' son empresas de primer nivel.
Y, de regalo, un juego: XSS Game.

[18:10] | [Asignaturas/seguridad] | Enlace # | Google |

Tue, 09 Dec 2014

Algunas lecturas interesantes sobre contraseñas

Primero, un artículo periodístico-'literario' donde se intenta justificar las malas contraseñas y por qué la gente hace eso.
The Secret Life of Passwords.

A continuación, tres artículos que tienen bastantes puntos en común que discuten sobre algunas justificaciones que se dan de vez en cuando para imponer ciertas normas de seguridad sobre las claves.
Finalmente, un informe del SANS Institute, [PDF] Password Security-- Thirty-Five Years Later

Actualización: un par de enlaces más, que hemos podido ver estos días:

[16:48] | [Asignaturas/seguridad] | Enlace # | Google |




Ir a mi página web
Enviarme correo: ftricas@unizar.es


Estadísticas de acceso a este sitio



Para recibir por correo electrónico las actualizaciones de esta página:

Email:
R-mail powered


Calendario
< January 2015
SuMoTuWeThFrSa
     1 2 3
4 5 6 7 8 910
11121314151617
18192021222324
25262728293031



Historias viejas
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004



Categorías



Enlaces:

Esta página se gestiona con pyblosxom.

Made with PyBlosxom