Комментарии 18
Неплохо показать еще примеры, для каждого пункта ;)
Валидация на стороне клиента но не на стороне сервера не является ошибкой в том случае, если параллельно присутствует валидация на сервере :)
А какая тема… Ведь можно было столько написать по этому поводу… Собственно опытные люди об этом прекрасно знают, а неопытные ничего не поймут.
Опытными людьми не рождаются, а становятся из неопытных.
А такие статьи помогают в данном метаморфозе :)
А такие статьи помогают в данном метаморфозе :)
Это не статья — это список уязвимостей без объяснений, что они означают, примеров таких уязвимостей и методов, которые помогают их избежать. Поэтому она и вряд ли чем-нибуть сможет помочь.
Что не статья, согласен. А что не поможет — не согласен
Ну, вот там по ссылке оригинал статьи на английском (Top25). В этой статье каждая ошибка снабжается подробным описанием и советами — как действовать, чтобы избежать появления этих ошибок в своих разработках.
Огромная она, перевести целиком — большой труд. Хотя, если в этой ветке найдутся желающие, можно выполнить коллективный перевод (сами-знаете-где :)).
Огромная она, перевести целиком — большой труд. Хотя, если в этой ветке найдутся желающие, можно выполнить коллективный перевод (сами-знаете-где :)).
А мне картинки понравились: Чтоб у программы гарантированно не было проблем с безопасностью, нужно на самом начальном этапе отказаться от её создания.
19 ну любые случайные числа генерируемы компом «недостаточно случайны»)) Правда недавно был пост о случайных числах типа курса доллара или счета матча)
зы картинки действительно забавные
зы картинки действительно забавные
Ну энтропию можно откуда-то набрать.
Классические варианты — временные промежутки между нажатиями клавиш, кликами мышки, активность в локальной сети, шум на микрофонном входе и т.д.
Вполне себе случайные вещи (что конечно не освобождает от проверки набранных данных на случайность). Накопив таким образом случайную информацию — можно начинать генерировать действительно случайные числа.
В некоторых системах есть специальные аппаратные датчики случайных чисел. Так что не всё так плохо :)
Классические варианты — временные промежутки между нажатиями клавиш, кликами мышки, активность в локальной сети, шум на микрофонном входе и т.д.
Вполне себе случайные вещи (что конечно не освобождает от проверки набранных данных на случайность). Накопив таким образом случайную информацию — можно начинать генерировать действительно случайные числа.
В некоторых системах есть специальные аппаратные датчики случайных чисел. Так что не всё так плохо :)
Маловато будет, но уже очень хорошо и полезно. Про ресурсы можно добавить, чтоб подчищали.
Вообще когда пишешь в стиле extreme coding(без проектирования и прочего) такая памятка пригодится, чтоб совсем не краснеть за свой говнокод :)
PS Давайте каждый, кто знает, где ещё нужно уделять внимание, поделится знаниями.
PPS Имхо новичкам тоже очень полезно ;)
Вообще когда пишешь в стиле extreme coding(без проектирования и прочего) такая памятка пригодится, чтоб совсем не краснеть за свой говнокод :)
PS Давайте каждый, кто знает, где ещё нужно уделять внимание, поделится знаниями.
PPS Имхо новичкам тоже очень полезно ;)
закрытие места куда загружаю картинки пользователи от выполнения скриптов
хоть бы ссылку на оригинал…
не очень структурировано — вот тут гораздо лучше ИМХО
capec.mitre.org/data/index.html
capec.mitre.org/data/index.html
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
20 критических уязвимостей в программе