PHP er et veldig enkelt og kraftig språk som lar uerfarne utviklere lage kraftfulle applikasjoner. Men selv om det virker, betyr ikke det at det er sikkert.
For å kryptere data trenger man en nøkkel. Denne genereres ofte ut fra en hemmelighet, eller et passord. Dette gjøres for å få riktig lengde på nøkkelen, uansett lengden på passordet. I dokumentasjonen til mcrypt_module_open() er følgende kode brukt for å genere en nøkkel:
/* Create key */
$key = substr(md5('very secret key'), 0, $ks);
Yubikey fra det svenske selskapet Yubico er en løsning som gjør at alle kan implementere tofaktors autentisering i sine web applikasjoner.
Yubikey er rett og slett en kodegenerator omtrent som den du får av nettbanken din. Forskjellen er at hvem som helst kan implementere støtte for Yubikey i sine tjenester uten at det koster de en krone. For deg som bruker betyr det at dersom du kjøper en Yubikey (til ca 140 kroner) kan du benytte den på alle nettsteder som støtter dette.
Sikre USB minnepinner fra Kingston, SanDisk og Verbatim er til tross for sitt FIPS 140-2 Level 2 sertifikat utstedet av "US National Institute of Standards and Technology" (NIST) ikke så veldig sikre.
Et tysk firma har funnet svakheter i måten softwaren på maskinen "låser opp" krypteringen, noe som gjør at hvem som helst enkelt kan få tilgang til data uten å kjenne passordet.
Diskusjonen om security through obscurity har vart så lenge jeg kan huske, og garantert veldig mye lengre enn som så. Dette er ikke et bidrag til denne diskusjonen, selv om det på en måte er det. Jeg er verken for eller imot dette konseptet.
I sommer publiserte NRK et kart som viser plasseringen av alle Telenor sine basestasjoner. Telenor nektet først å frigi denne informasjonen men ble rundt årsskiftet 2008-2009 pålagt av Post- og teletilsynet å dele denne informasjonen med NRK. I mine (og Telenor sine) øyne er dette informasjon som ikke burde blitt frigitt til hvem som helst, siden man kan risikere at de man deler denne informasjonen med ikke klarer å ta tilstrekkelig vare på den. Om dette hadde vært Forsvarets installasjoner hadde denne vært gradert KONFIDENSIELT om ikke enda høyere.
Svenskene sin overvåkningslov er ikke noe nytt for oss med interesse for faget, jeg vil faktisk påstå at den er ganske kjent for de fleste.
Jeg vil jo også påstå at det er på grensen til pinlig at sidene mine har lagt på en server i utlandet. Faktisk så har de lagt på en server i løvens hule, Sverige. Men når du nå leser dette kan jeg betrygge deg med at jeg nå har flyttet de til et langt tryggere sted, innenlands og laangt fra svenskegrensen.
Hurra hurra! Så lenge våre ISPer gjør leksen sin nå kan du surfe mine sider uten å beskymre deg for hvem som lytter på trafikken!
Cross-Site Request Forgery, eller Session Riding som det også kalles er ikke noe nytt. Det ble først diskutert i en melding til Bugtraq i 2001, og er et velkjent problem blant hackere. Løsningen er også enkel, nemmelig bruk av engangs "tokens".
Det mye omtalte spionnettet (GhostNet) er i mine øyne en katastrofe når det gjelder informasjonssikkerhet. Så det får jo så klart litt spalteplass her i min blogg.
Først ut er rapporten fra de kanadiske forskerene som avslørte "spionnettet".
