יומן אבטחה

Xslf שלחה לי קישור להרצאה על אבטחת יישומי web בגוגל וידאו. אז דבר ראשון תודה לך, אני תמיד שמח לקבל הפניות לדברים שאני לא מכיר.

ההרצאה (באנגלית) לא רעה, לא מחדשת המון מבחינתי (ראיתי בינתיים רק חצי), אך עושה סדר טוב בדברים ובהחלט מבוא טוב למי שרוצה ללמוד קצת יותר.

שני דברים כן לקחתי איתי מהחלק שראיתי עד כה:

1. המרצה מתייחס לרשימות בדיקה וטוען שהבעיה של כל בודק היא בעיית הפטיש (או בשפה שלי תסמונת הכירורג). אם יש לך פטיש ביד, כל מה שתראה זה רק מסמרים. זו בעיה רצינית והיא חורגת מעבר לתחום של אבטחת אפליקציות או רשימות בדיקה. אנשים נוטים לחשוב על אבטחה במונחים שהם מכירים וכל עוד הם מגבילים את עצמם לתחומי הידע שלהם זה בסדר. אלא שמי בארץ הזו מגביל עצמו לתחומי הידע שלו? כולנו הרי מומחים להכל. או אם לנסח זאת בשפתה של יועצת עמה עבדתי בעבר "אני לא מבינה מה הבעיה לפתור את הנושא האפליקטיבי. להוסיף עוד שרת זה חתיכת פרויקט, צריך לקנפג, לשנות חוקים בפיירוול וכו', אבל בשביל לפתור את הבעיה האפליקטיבית פשוט אומרים למפתח לכתוב שורת קוד" (ציטוט לא מדויק). ובאמת, בשביל מי שבאה מהסיסטם, כדי לפתור בעיית אפליקציה פשוט צריך לכתוב בתחתית התוכנית את השורה SecurityHole.Fix(encryption) והכל תוקן. הבעיה עליה מצביע המרצה היא איך לחשוב מחוץ לתבנית הבדיקה, אבל לא מחוץ לקופסא (כי באבטחת מידע לחשוב מחוץ לקופסא זה בדרך כלל להמציא משהו שמישהו כבר הוכיח שיש בו פרצה). הדרך היא כמובן להצמד למתודות מוכרות ולחזור ליסודות ולנסות לבצע התאמות של הכללים המוכרים לסביבה המשתנה. easier said than done 
2. מישהו שמע על webscarab? לא? גם אני לא. עד שראיתי את ההרצאה. זה כלי מעניין (טרם התקנתי) לבחינת יישומי web. אדווח עליו יותר אחרי שאתנסה בו קצת.