Результаты опроса популярности PHP фреймворков от Sitepoint

в какой ситуации X-CSRF-TOKEN не нужен?

Анонимности нет

facetz.net что такое вообще? Они с ума посходили отдавать мою историю всем подряд? Кто вообще их скрипт себе ставит, давайте блеклистить этих говнюков

Анонимности нет

evercookie уже устарел, недавно писали про куку через HSTS флаги даже для анонимного режима и ее НЕ будут исправлять. Вот где мяготка

Вот еще детектор профиля на линкедине, фейсбуке и других сайтах sakurity.com/blog/2015/03/10/Profilejacking.html

Как легко расшифровать TLS-трафик от браузера в Wireshark

В браузере вроде в вебинспекторе все запросы видно. Мне вот интересно как расшифровать iTunes запросы, и имулировать их потом. В какую сторону копать?

Как обойти двух факторную аутенфикацию Authy с ../sms

Вообще то да, я называю это format injection — когда есть формат с определенными правилами/делимитерами и он ломается через вставку. Только SQL это другой класс injection я бы выделил. xss-да

Как обойти двух факторную аутенфикацию Authy с ../sms

Какой сессии? Первый вызов говорит «пошли этому юзеру токен на телефон» второй его проверяет.

Как обойти двух факторную аутенфикацию Authy с ../sms

Все исправили еще 8 февраля. Просто ждал пока их успешно поглотит twilio. Моя шляпа чище колумбийского кокаина.

Супер-куки на основе HSTS отследят вас даже в приватном режиме

Ну для себя лично могли бы реализовать приватное апи работающее только для доменов гугла. А так не пойдет.

Reconnect — уязвимость в Facebook Login

А https спасет? А мыть руки перед едой спасет? )

Супер-куки на основе HSTS отследят вас даже в приватном режиме

Не понятна позиция хрома. Приватность важнее HSTS.

Reconnect — уязвимость в Facebook Login

Не совсем готовая, допилить UI надо немного. Но не поможешь блекхатам сам, никто не поможет.

Reconnect — уязвимость в Facebook Login

обычный хероку. А в чем моралфаги то Оо. ФБ отказался исправлять, я сделал инструмент, все довольны.

Опасности использования open-uri

> это может позволить вашим пользователям проксить трафик через ваш сервис, хачить и DoS'ить чужие серверы от вашего имени и много чего ещё

более конкретно, как можно досить и чтобы это было реально полезно? SSRF еще можно понять

в open кстати file:/// не проходит а в питонский urllib проходит.

То что большинство НЕ знает я вам гарантирую. Аудировать безопасность рельсов это моя работа, и я знаю о чем говорю.

Опасности использования open-uri

Не правильно выразился. Вероятность того что юзер инпут МОЖЕТ быть использован крайне высока. ПОэтому надо было максимально harden-ить ее

Опасности использования open-uri

>Я бы хорошо подумал перед тем, как позволять пользователю вводить URL, который я должен дернуть со своего сервера. Тут даже при валидном URL’е можно огрести проблем.

Если такая задача поставлена, то ее надо реализовывать.

Опасности использования open-uri

Verify your URL/domain например функция на мерчантах должна принимать любой валидный URL а это не только a-z0-9.

Опасности использования open-uri

У правила должна быть мотивация. Большинство разработчиков не знают об опасности open-uri. Как бы вы валидировали?

За поимку автора Zeus назначена максимальная награда

детали out of band? каждый месадж шифруется ключем юзера и его можно прочесть только на другом девайсе смартфоне. Подписывать транзакции например

За поимку автора Zeus назначена максимальная награда

2FA совершенно беспомощна против man in the browser, давно известный факт. Только 2фа провайдеры продолжают говорить что это спасет людей. А то что вирусы это основная угроза для онлайн банкинга люди походу не могут понять.

Между прочим защиту то сделать можно, нужно сделать правильный out of band канал с отдельным приватным ключем. Этим я и занимаюсь кстати.

XSS-уязвимость нулевого дня в Internet Explorer позволяет атаковать любые сайты

Работает только через iframe? А почему бы просто окно не открыть