Microsoft zhruba před hodinou uveřejnil mimořádnou bezpečnostní aktualizaci pro ASP.NET, která zabraňuje možnému DoS útoku.
Nevyžádaná elektronická pošta, spam, zahlcuje Internet. Bojovat s ním lze prostředky technickými a právními. Tento článek se zabývá onou právní cestou v prostředí České republiky. Co se vlastně stane, když na stránkách Úřadu pro ochranu osobních údajů podáte stížnost?
V minulém článku jsem předvedl mechanismy dostupné pro autentizaci uživatelů internetových aplikací. Z hlediska ceny a snadnosti implementace vítězí hesla, z hlediska bezpečnosti pak více faktorů současně.
Heslem francouzských revolucionářů bylo „Liberté, Egalité, Fraternité“ – volnost, rovnost, bratrství. Ve věku Internetu potřebujeme volnost uživatelů v sítích a aplikacích spíše omezovat. S rovností to také není tak slavné, uživatelé obvykle mají různé možnosti a úrovně oprávnění. Pokud jde o bratrství, inu to nejspíš nahradilo „přátelství“ na Facebooku.
V řadě případů potřebujeme rychle vytvořit nějaké testovací certifikáty či přímo jejich logickou sestavu. Dlouhá léta jsem pro tento účel používal OpenSSL, ale nyní jsem zjistil, že vhodný nástroj je přímo součástí Windows SDK.
Vydal jsem novou verzi své knihovny Altairis Web Security Toolkit (dříve Simple ASP.NET SQL Providers), kterí se stala vcelku populární. Přináší oproti minulé verzi řadu vylepšení a nově také nezávislost na databází a ověřenou kompatibilitu s novým SQL Serverem Compact Edition.
Ačkoliv existují i lepší varianty autentizace uživatelů, hesla stále bezpečně převažují. A uživatelé hesla rádi zapomínají a dobré systémy by s tím měly počítat a měly by tudíž umožnit se ztrátou hesla se nějakým způsobem vypořádat. A to pokud možno bezpečně a automatizovaně. Tento článek se zabývá způsoby, jak to lze udělat a vyhnout se přitom obvyklým problémům.
Některé konfigurační sekce, typicky například connectionStrings, obsahují citlivé údaje, které by se neměly dostat do rukou cizím. V případě, že se útočníkovi podaří získat obsah souboru web.config – třeba pomocí chyby podobné nedávnému "padding oracle" problému – šifrování konfiguračních sekcí dokáže minimalizovat následky chyby. Obecně se jedná o formu "obrany do hloubky". Problémem je, že za normálních okolností musíte mít k zašifrování možnost spouštět na serveru programy z příkazového řádku, a to pod tou identitou, pod níž běží webová aplikace. Napsal jsem nástroj, který vám umožní konfiguraci šifrovat přímo z webové aplikace.
Myšlenky těch zodpovědnějších ASP.NET programátorů a správců serverů v uplynulých dnech okupovala první pořádná bezpečnostní díra v ASP.NET. Upozorňoval jsem na ni i na tomto webu a nabízel i workaround. Microsoft již vydal i oficiální záplatu, nově dostupnou přes Windows Update. Myslím si, že je přesně ten správý okamžik podívat se, o co vlastně šlo, v čem útok spočívá. Nejedná se totiž ve své podstatě o chybu v ASP.NET, ale o obecný mechanismus kryptografického útoku, který může zasáhnout i vaše vlastní aplikace.
Podařilo se mi napsat a zprovoznit modul, který umožní obejít dříve zmíněnou bezpečnostní chybu v ASP.NET, a to bez zásahu do aplikace samé. Jeho aplikace nevyžaduje žádné specifické znalosti a je velmi jednoduchá.