web

En ting som kan være en utfordring for en PHP utvikler er sikkerhet. PHP er av natur et ganske usikkert miljø og krever mye av utvikleren når det gjelder sikkerhet.
phpSec er et bibliotek under utvikling (av meg) som inneholder en rekke funksjoner som kan gjøre din applikasjon sikrere.

Du finner mer informasjon på prosjektets side.

Et fristed

Så lenge jeg kan huske har Internett vært et fristed for meg. Ikke for det at jeg har hatt et ekstra stort behov for et fristed, men på grunn av at det har alltid vært en viss mystikk knyttet til kallenavn på Internett. Før, og nå også i de fleste sammenhenger går jeg under kallenavnet «xqus» og for eksempel noen av de jeg husker best fra IRC tiden er farkas, mfufu og kanskje spydx. Og hva så? Akkurat, dette er bare kallenavn. Det sier ingenting om hva disse personene heter, hvor gamle de er eller hvor de kommer fra. Men spiller det noen rolle da? Nå heter alle sammen
Det var det som var så fint med Internett «før». Før Facebook.

------------------------------------------------------------------------
Cross-Site Scripting (XSS) at nettby.no edit_link.php
------------------------------------------------------------------------

Author: Audun Larsen (larsen at xqus dot com)
Date: Jan 10, 2010

--AFFECTED SOFTWARE--------------------------

Name: nettby.no
nettby.no is a norwegian social network run by
Nettby Community AS.

--DISCUSSION---------------------------------

nettby.no is vulnerable to a Non-Persistent (or reflected)
Cross-Site Scripting attack. The problem exists because of the lack

Yubikey fra det svenske selskapet Yubico er en løsning som gjør at alle kan implementere tofaktors autentisering i sine web applikasjoner.

Yubikey er rett og slett en kodegenerator omtrent som den du får av nettbanken din. Forskjellen er at hvem som helst kan implementere støtte for Yubikey i sine tjenester uten at det koster de en krone. For deg som bruker betyr det at dersom du kjøper en Yubikey (til ca 140 kroner) kan du benytte den på alle nettsteder som støtter dette.

RSnake skrev for noen dager siden en artikkel om DNS rebinding i Firefox på ha.ckers.org. Dette vekket interessen min for et emne som er veldig vanskelig å forstå seg på, nemmelig DNS pinning.

Cross-Site Request Forgery, eller Session Riding som det også kalles er ikke noe nytt. Det ble først diskutert i en melding til Bugtraq i 2001, og er et velkjent problem blant hackere. Løsningen er også enkel, nemmelig bruk av engangs "tokens".

Forskere har kommet frem til tre grunnleggende ting i twitter plattformen som er et problem for brukernes sikkerhet.

Micro URLer
På grunn av at twitter ikke tillater mer enn 141 tegn i en melding er micro URL tjenester som tinyurl.com blitt veldig vanlig. Disse tjenestene gir deg ikke mulighet til å se hvor denne adressen fører, noe som strider i mot alt vi har prøvd å lære databrukere de siste årene.

Det nye store på phishing fronten er altså in-session-phishing, noe som utnytter en bug i javascript motoren til alle de store nettleserene. Metoden krever at du allerede er logget inn på en nettside, og deretter åpner en ny fane og går inn på en annen side som er infisert med ondsinnet kode.

Grunnen til at jeg ikke har noe tro på at dette kommer til å bli en stor trussel er for at det er for mange tilfeldigheter som skal til for at angrep skal bli vellykket. Det er også lite å tjene på å benytte seg av denne metoden, i forhold til tradisjonell phishing.