Varnostna konferenca DeepSec – utrinki

Konec novembra se je tako kot vsako leto na Dunaju odvijala varnostna konferenca DeepSec. Na letošnjem srečanju je bilo predstavljenih kar nekaj zanimivih varnostnih problemov.

Letos so s svojo udelezbo popestrili med drugim tudi Ivan Ristić s podjetja Qualys, Raffael Marty ustanovitelj podjetja Loggly, Mitja Kolšek z ACROS Security, Max Goncharov s podjetja TREND MICRO, Aaron Kaplan in Christian Wojner s CERT.at, neodvisni raziskovalec Fabian Mihailowitsch in Ron Bowes s SkullSecurity.org, katerih izpostavljeno problematiko varnosti in rešitve bom predstavil v tokratnem Fokusu.

V pozdravnem nagovoru je Ivan Ristić izpostavil problem varovanja povezave na relaciji brskalnik – strežnik. Pri tem je izpostavil po njegovem mnenju nujnost uvedbe SSL zaščite prenosa, ki onemogoča prisluškovanje in spreminjanje vsebine v pretoku. Predlagal je tudi validacijo ne samo vstopnih podatkov, pač pa tudi pregledovanje izstopnih podatkov, ki jih pošilja strežnik odjemalcu. V primeru, da strežnik pregleduje za škodljivo kodo, ki bi se lahko interpretirala na strani odjemalca na škodljiv način, lahko le-to izloči in onemogoči varnostni problem. Prav tako predlaga, da bi dokončno odstranili ročne zahtevke nad SQL podatkovnimi bazami, ter jih nadomestili z vnaprej pripravljenimi, ter se na tak način polotili problema podtikanja škodljivih zahtevkov v dobre SQL stavke. Več o Ivanu Rističu si lahko preberete tudi na njegovemu blogu.

Povezave: