Teksty

W czasie, kiedy obserwujemy postępującą webizację aplikacji oraz wzrost wielkości stron w Internecie, ważne jest, aby wydajnie i bezpiecznie dostarczać dane do użytkownika. Protokół HTTP w wersji 1.1 nie robi tego zbyt dobrze… Czy oznacza to, że jesteśmy skazani na coraz wolniejsze działanie aplikacji w sieci?

Jest wiele przykładów na to, jak zaniedbanie podstawowych kwestii związanych z websecurity może nadszarpnąć reputację firmy i narazić ją na wielomilionowe straty. Opierając swój biznes na aplikacjach sieciowych, pamiętajmy o bezpieczeństwie – serwis internetowy to produkt czysto wirtualny, ale straty wynikające z zakończonego powodzeniem ataku – są jak najbardziej realne.

Czy dedykowana, napisana od podstaw aplikacja internetowa to wymyślanie na nowo czegoś co już jest dostępne, często darmowe, a dodatkowo dobrze supportowane? Jak stworzyć naprawdę bezpieczną stronę firmy, nie obawiając się przy tym o koszt jej utrzymania i rozwijania?

W dobie powszechnego dostępu do Internetu posiadanie własnego serwisu WWW stało się standardem. Dziś trudno znaleźć firmę, która nie opublikowałaby choćby prostej wizytówki w postaci np. statycznej strony internetowej w HTML. W przeważającej większości są to jednak rozbudowane serwisy oferujące m.in. korzystanie z oferowanych usług bądź dokonywanie zakupów bezpośrednio z poziomu przeglądarki internetowej.

Pierwszym krokiem na drodze do bezpiecznego, firmowego serwisu WWW jest wybór pomiędzy już istniejącym na rynku, sprawdzonym rozwiązaniem, a zleceniem zbudowania go od podstaw. W sieci roi się od darmowych systemów CMS, gotowych systemów CRM czy sklepów internetowych. Często są to też rozwiązania typu opensource. Czy są tak samo bezpieczne, jak dostępne?

Co zrobić, jeśli Apache, MySQL i PHP postawione na jednej maszynie przestały się wyrabiać? A jeśli rozdzielenie serwerów aplikacyjnych od bazodanowych, wymiana mod_php na mod_fastcgi, wymiana serwera Apache na coś szybszego też nie pomogła…? Jak przygotować się na kolejne zwiększenie ruchu w przyszłości?

Amerykańska Agencja Bezpieczeństwa Narodowego prowadziła kilka lat temu pilotażowy program zbierania informacji o lokalizacji abonentów usług komórkowych. Jak się okazuje, tego typu informacje mogą w niezwykle prosty sposób pomagać w skutecznym identyfikowaniu oraz śledzeniu poszczególnych użytkowników.

Druga część cyklu o bezpieczeństwie sieci WiFi. Tym razem przedstawiamy dwa narzędzia – kismet oraz aircrack-ng, w kontekście nasłuchiwania ruchu bezprzewodowego.

Główną motywacją wszystkich działań dzisiejszych twórców złośliwego oprogramowania jest chęć zysku. Kiedyś było jednak zupełnie inaczej. Zapraszam w retrospektywną podróż do świata nieco zapomnianych już, prawdziwych wirusów komputerowych.

To pierwszy tekst, z dłuższego cyklu artykułów o bezpieczeństwie WiFi, który stopniowo będzie pojawiał się na sekuraku. Zapraszamy do czytania i komentowania.

Nmap to bez wątpienia najbardziej popularny skaner portów, ale od kiedy wprowadzono do niego NSE (Nmap Scripting Engine), powoli staje się wręcz prawdziwym kombajnem, umożliwiającym nie tylko jeszcze dokładniejsze rozpoznanie skanowanego celu.

W kolejnym odcinku opisującym nagłówki HTTP związane z bezpieczeństwem webowym skupimy się na HSTS czyli HTTP Strict Transport Security. Protokół HTTP nigdy nie był projektowany z myślą o bezpieczeństwie. W czasie, kiedy powstawały jego pierwsze wersje, z sieci komputerowych korzystały naukowe ośrodki obliczeniowe i paru naukowców.

Zapraszamy do śledzenia cyklu tekstów w Web Application Firewallach. Pierwsza część stanowi wstęp oraz opis systemu naxsi (moduł Nginx-a).

Dzisiaj kilka słów o dość mało znanej, ale interesującej tematyce mierzenia bezpieczeństwa.

Zobaczcie świetną animację tego, co dzieje się podczas otwierania zamka bębenkowego – jednego z popularniejszych w Polsce.