sikkerhet

PHP er et veldig enkelt og kraftig språk som lar uerfarne utviklere lage kraftfulle applikasjoner. Men selv om det virker, betyr ikke det at det er sikkert.
For å kryptere data trenger man en nøkkel. Denne genereres ofte ut fra en hemmelighet, eller et passord. Dette gjøres for å få riktig lengde på nøkkelen, uansett lengden på passordet. I dokumentasjonen til mcrypt_module_open() er følgende kode brukt for å genere en nøkkel:

/* Create key */
$key = substr(md5('very secret key'), 0, $ks);


Kryptografi er kanskje et av de mest kompliserte fagene en webutvikler må forholde seg til. Og faktum er at man ikke slipper unna. Problemet med kryptografi er nettopp kompleksiteten. Mange gjør mye riktig, men de vet ikke selv hvorfor det er riktig, eller hvilke fallgruver som finnes.
I denne artikkelen skal vi se på grunnleggende kryptografi. Vi skal gå gjennom de ulike måter å sikre data på og hvordan vi kan gjøre det i praksis med sikkerhetsbiblioteket phpSec.

Her er to nyttige tips for den litt paranoide Facebook bruker.
Hvis du går til Account -> Account settings finner du følgende under Account Security.

Her kan du aktivere sikker tilkobling, men ikke minst. Her kan du se hvilke enheter som nylig har logget på din Facebook konto. Dukker det opp noe ukjent her er det et tydelig tegn på at det er på tide å bytte passord. Jeg har også aktivert varsling dersom noen nye ukjente enheter skulle logge seg på.

En ting som kan være en utfordring for en PHP utvikler er sikkerhet. PHP er av natur et ganske usikkert miljø og krever mye av utvikleren når det gjelder sikkerhet.
phpSec er et bibliotek under utvikling (av meg) som inneholder en rekke funksjoner som kan gjøre din applikasjon sikrere.

Du finner mer informasjon på prosjektets side.

Alle har gang på gang blitt fortalt hvor viktig det er å velge et sikkert passord. Det er veldig veldig viktig. Men det er et mareritt.
Så her kommer mitt tips til hvordan du enkelt kan lage dine egne sikre passord. Uten at du må huske så alt for mye selv.

Dette bildet dukket opp da jeg besøkte vg.no i kveld.
Det står:

Dette er en undersøkelse som kartlegger Internett-brukere meninger og vaner.
Denne undersøkelsen er konfidensiell og varer i ca. 5-10 minutter.

I utgangspunktet ikke noe gale med det. Det jeg stusser på er hvorfor de kaller undersøkelsen konfidensiell. Sikkerhetsloven § 11 sier følgende om graderingen konfidensielt:

KONFIDENSIELT nyttes dersom det kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende.

Ordet de er ute etter er nok fortrolig, som er definert i beskyttelsesinstruksen § 2.

For å beskytte innholdet av et dokument, skal en av følgende beskyttelsesgrader nyttes:
STRENGT FORTROLIG
FORTROLIG
De sikkerhetsgrader som er nyttet i sikkerhetsloven med forskrifter må ikke anvendes.

------------------------------------------------------------------------
Cross-Site Scripting (XSS) at nettby.no edit_link.php
------------------------------------------------------------------------

Author: Audun Larsen (larsen at xqus dot com)
Date: Jan 10, 2010

--AFFECTED SOFTWARE--------------------------

Name: nettby.no
nettby.no is a norwegian social network run by
Nettby Community AS.

--DISCUSSION---------------------------------

nettby.no is vulnerable to a Non-Persistent (or reflected)
Cross-Site Scripting attack. The problem exists because of the lack

For ikke lengesiden gjorde Microsoft noe som gjøres svært sjelden i vår digitale verden: De fjernet en funksjon i sin programvare, nemlig den berømte autorun funksjonen. Autorun gjør at når man setter inn en CD, USB disk eller lignende, så gir windows deg et valg om hva man vil gjøre. Enten kjøre programvaren på media, åpne filene eller bare ignorere hele saken.
Denne funksjonen er tatt vekk i Windows 7, og nå også i Vista og XP.

RSnake skrev for noen dager siden en artikkel om DNS rebinding i Firefox på ha.ckers.org. Dette vekket interessen min for et emne som er veldig vanskelig å forstå seg på, nemmelig DNS pinning.

Her følger en del motivasjonsplakater fra andre verdenskrig.