Об ИТ из Канады

Блог Михаила Флёнова - программист, блогер, автор нескольких скандальных книг какими-то глазами...

Безопасность 134

Программисты из Индии не знают про SQL Injection

Я уже писал, что я провожу на работе интервью и я уже общался с не менее 6 программистами, по имени и по истории работы они явно из Индии. Только один из них смог правильно ответить, как нужно защищаться от SQL Injection. Большинство из этих супер программистов, архитекторов на вопрос о том, как защититься от инъекции говорят, что для этого нужно искать и убирать любые SQL инструкции типа SELECT, UPDATE или DELETE. В двух случаях вообще я не услышал ничего внятного, ответ был - там я использовал что-то, не помню что. Как так?

На этой неделе впервые выходец из Индии на вопрос про SQL Injection ответил, что нужно использовать параметры или хранимые процедуры. Меня аж шокировал этот ответ, я просто не ожидал его. Просто я начинаю интервью с простых вопросов и одним из первых идет: чем отличается static метод от других. У парня явно плохой английский и сложно было его понимать, но на такой вопрос он ответил, что у класса должен быть только один static метод. Я сразу же поставил минус и минусы летели почти на каждый мой вопрос. 

Дата: 2017-01-04 21:59:15
Прочитать заметку


Самый сложный вопрос безопасности

Я хоть и замазал адрес URL, но кому нужно, без проблем смогут найти этот сайт, он канадский, на котором есть персональная информация людей. Конечно же было бы логично защитить этот сайт с помощью вопроса безопасности. Если пользователь везде выбирает один и тот же пароль, то вопрос безопасности реально может спасти.

Дата: 2016-12-30 21:06:44
Прочитать заметку


Была ли кибер атака на выборную систему США?

Опять же сделаю рекламу подкастов Security Weekly, которые по поводу атаки на выборную систему США сказали - плевать кто вмешивался США или Канада. Если вмешательство было и атака была, то правительство признает, что выборная система американцев откровенное дерьмо. 

Я могу добавить, что если атаки не было и все это сопли демократов, то они опять же позорят свою систему выборов. Американцы должны быть счастливы, что любой дядя из гаража по заказу злых Русских или Китайцев может повлиять на их выборы и привести к власти такого, как Трампа. 

Вот сегодня на РБК написали, что могут быть введены санкции за вмешательство в выборы США. Я никогда не считал Путина хорошим президентом, но тут просто невозможно не согласится с ним, демократам нужно научится проигрывать с достоинством. А даже если Барак Обама введет какие-то санкции, они продержаться не долго, сколько там осталось до встувления в должность Трампа? 

Ну а у меня все больше растет гордость за свою родину. Путин на столько богатый, что может все подряд спонcировать и специалисты в России на столько крутые, что могут все подряд ломать. 

Дата: 2016-12-28 06:12:37
Прочитать заметку


Перестали работать сайты

Как ты знаешь, я сейчас нахожусь в Портлэнде, США. Сегодня с утра сидел в интернете, писал заметку для блога и сайт прекрасно работал. И вот тут только публиковать ее, а сайт не грузится. Захожу на другой, тоже не грузится. Все сайты недоступны, хотя пять минут назад я подтвердил везде комментарии и все было отлично.

Попытался зайти на админку хостинга, а там ничего не доступно. Начал писать в поддержку, а они мне говорят, что все работает в нормальном режиме. Я попросил зайти на сайте жену, она подтвердила, что из Канады сайт доступен.

Проверил nslookup - IP адрес нормальный. Полез в traceroute, а запрос умирает на 21-м шаге на адресе 195.219.87.2. На сколько я помню, мой хостинг находится в Канаде 21 шаг из Портлэнда в Канаду - многовато. (сейчас сайт уже снова доступен и сейчас я вижу 14 шагов). Начал смотреть на этот IP, А судя по интернету он в Швейцарии. Я понял, что проблема не с хостингом и поблагодарил за проверку и отключился.

Сейчас все работает и у меня возник вопрос - это просто глюк такой был или опять виноваты русский, что взломали почту Клинтон?

Дата: 2016-11-03 15:36:30
Прочитать заметку


Проблема безопасности Google Chrome

У Google Chrome есть в настройках очень злая опция - Continue running background jobs when Google Chrome is closed. Я не знаю, когда эта опция появилась, но сегодня пришел баг от клиента, что при перезапуске браузера сессия не убивается. Оказалось, что проблема в этом параметре, который почему-то на некоторых компьютерах магическим образом поменялся на True. За счет того, что в фоне Chrome продолжает работать даже при закрытии окна, сессия не убивается.

Удивлен, что Google пропустила такое в свет и специалисты по безопасности не трубят об этой проблеме. Я смело вхожу в защищенные области сайтов иногда даже на чужих компьютерах, а вместо выхода просто закрываю браузер. Правильно написанные сайты должны убивать сессию, если я специально не указал, что хочу запомнить себя на этом компьютере.

Дата: 2016-07-22 12:17:51
Прочитать заметку


Взлом секс игрушек

Вчера слушал подкаст и Security Weekly и в нем затронули очень интересную тему - взлом секс игрушек. Я сначала удивился, а что там можно ломать? А потом вспомнил, что мне жена говорила как-то, что нам на день рождение как-то хотели подарить игрушку, которая управляется с iPhone. Я тогда так и не выяснил, что это было. 

Допустим, есть такой фалом, который управляется с телефона по bluetooth или wifi (наверно же есть такие) и что если хакер сможет получить доступ к такому устройству удалённо. Блин, страшно себе представить. 

Вот сидит какой-то студент и сканирует соседей в многоэтажном доме. Нашел какое-то устройство в слабеньком режиме и начал ем управлять. . .

Дата: 2016-03-28 21:31:52
Прочитать заметку


Социальные сети нарушают нашу безопасность

Я вернулся и снова в строю. Неделю провел в Орландо, Disney World. В принципе, ожидал большего, но мне понравилось. Главное, детям понравилось, такое все же раз нужно было увидеть. И эта поездка натолкнула меня на сегодняшнюю мысль. 

Я наверно никогда бы не смог изобрести социальную сеть и когда появился Фейсбук, я долго не мог понять, зачем народ добровольно регистрируется там и публикует так много личных данных и информации о себе. Мы же этим нарушаем свою собственную безопасность. 

Если раньше хакерам, которые с успехом пользуются социальной инженерией, приходилось копаться в мусоре, чтобы найти полезную информацию о жертве, то сейчас достаточно заглянуть в социальную сеть, и можно найти много полезной для взлома информации. 

Дата: 2016-03-20 09:58:27
Прочитать заметку


Apple против FBI моими глазами

Сейчас идет достаточно много разговоров по поводу скандала между Apple и ФБР,  в котором Apple отказывается взломать телефон по запросу ФБР. Я сначала молчал, но потом все же решил высказать свое мнение с точки зрения безопасности.

Те, кто поддерживают ФБР считают, что этот взлом необходим для защиты и обеспечения безопасности США и мира от терроризма. Это всего лишь единичный случай и он не навредит никому. Да, я согласен с такой точкой зрения, но ведь она поверхностная и это только вершина айсберга. 

Если Apple создаст возможность взломать свои же телефоны, то это серьезный прецедент. Любая страна сможет требовать от Apple сделать то же самое, но при этом другие компании смогут сказать - а у нас такой проблемы нет. Apple может потерять рынок, потому что нанесет себе непоправимый вред, показав, что сами могут ломать телефоны. ФБР нанесет вред компании, которая производит телефоны в Китае, но платит огромное количество налогов в США.

Дата: 2016-02-25 06:11:24
Прочитать заметку


Невидимое поле на HTTPS странице

Продолжение недовольства WhiteHat. На одной из страниц, вопрос безопасности был в спрятанном поле в тексте страницы. Страница доступна только по HTTPS. Безопастники из WhiteHat почему-то потребовали убрать это скрытое поле с вопросом безопасности. 

Моё мнение - это опять паранойя. Страница доступна только по HTTPS, а значит трафик просмотреть не смогут. Поле скрыто, а значит, проходящий мимо так же не сможет увидеть. Только троян или другая дрянь сможет посмотреть, но это же нужно знать, где и что искать. А это опять направленная атака, от которой ге защитится. А от трояна без антивируса уже ничего не поможет, если там реализована функция Key Logger. 

Единственное, с чем я согласен - это просто плохой стиль и держать ответ на вопрос безопасности скрытым в тексте страницы - глупость и за это можно программисту по попе надавать. 

Дата: 2016-01-28 08:16:02
Прочитать заметку


Паранойство WhiteHat по поводу вопросов безопасности

Ко мне обратились помочь разобраться с вопросами безопасности и решить замечания, которые выставили для сайта специалисты компании WhiteHat. Некоторые замечания действительно по делу, но вот одно меня сильно удивило - ответ на вопрос безопасности должен быть замаскирован и никогда не передаваться с сервера в браузер. 

На сайте уже реализована двуфакторная система авторизации, и чтобы компьютер стал доверенным, сайт может спросить вопрос безопасности (Security Question). Почему WhitaHat решили так серьёзно защищать это поле - делать больше нечего? Может они волнуются, что кто-то через плечо увидит ответ на вопрос безопасности? 

Допустим, что защита придумана от подглядывания, если какой-то америкос решит регистрироваться на сайте на рабочем месте и коллеги могут посмотреть его ответ. Но только глядя на доступные вопросы, можно понять, что WhiteHat занимается реальной фигней, потому что среди вопросов даже есть - на какую компанию вы работаете. Да коллегам на работе даже не нужно подглядывать через плечо, чтобы узнать ответ бедного америкоса, если он решит регистрироваться на работе и выберет этот вопрос. 

Дата: 2016-01-25 05:57:03
Прочитать заметку


О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Внимание!

А ты уже читал мою последнюю книгу о больших сайтах и приложениях? Узнай, что это такое здесь

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповидания на русском или английском языке.

Пишите мне