Alkampfer's Place

Il blog di Gian Maria Ricci
posts - 659, comments - 871, trackbacks - 80

My Links

News

Gian Maria Ricci Mvp Logo CCSVI in Multiple Sclerosis

English Blog

Tag Cloud

Article Categories

Archives

Post Categories

Image Galleries

I miei siti

Siti utili

Security

Limitare le info che si danno all'utente in caso di errore

Ho trovato un link: http://www.stupidcubicle.com/ dovrebbe contenere materiale per geek :), il problema è che quando ci vado trovo questo   Ok, è vero che da queste informazioni non si ricava nulla, ma fare vedere gli spezzoni di codice a tutti è un bug di sicurezza. L'utente non sviluppatore dovrebbe vedere una semplice pagina di scuse tipo "Sorry, the application has encountered an error", loggare l'errore tipo con elmah, e non far vedere a nessuno il codice che c'è dietro. A livello di security dare un messaggio di errore cosi dettagliato è una cattiva pratica....

posted @ Monday, August 25, 2008 2:57 PM | Feedback (5) | Filed Under [ Security ]

Mamma mia quanto odio queste cose

Debbo usare un programma che gestisce un hardware, il fornitore da un tool ma peccato che dica questo We are happy to inform that ***** works normally under Windows Vista, however, the UAC (User Access Control) will need to be disabled. A new version will be released later on, which will work under Windows Vista with UAC enabled. Perchè debbono essere felici??? Debbo disabilitare la UAC per poter lavorare con il loro prodotto??? Ma la sicurezza cosa è un opzione?? Sono felici di dirmi che ora posso lavorare con il loro prodotto al costo di un sistema più insicuro..mamma mia..... Alk.

posted @ Tuesday, November 27, 2007 12:48 PM | Feedback (2) | Filed Under [ Security ]

Login sicura

In un precedente post ho parlato di come cifrare una stringa in javascript con RSA ora è arrivato il momento di mostrare un utilizzo pratico di questa tecnica. Il controllo login standard di asp.net 2.0 è infatti poco sicuro perché spedisce la password dell'utente in chiaro e quindi dovrebbe essere sempre utilizzato in contesto https. Purtroppo per hosting a "poco prezzo" ma in generale se non si ha a disposizione https, sarebbe comunque doveroso non far girare per la rete le credenziali dell'utente in chiaro. Per fare questo si procede in questo modo, ecco come si presenta la pagina di...

posted @ Saturday, October 27, 2007 8:43 AM | Feedback (0) | Filed Under [ Security ]

Controllare prima di fare :D

Se vi interessa cifrare stringhe da Javascript in RSA da passare al codice lato server questo posto potrà esservi utile. (Clicca per leggere)

Alk.

posted @ Wednesday, October 24, 2007 8:13 AM | Feedback (3) | Filed Under [ Security ]

L’avvento

Il mondo è veramente cambiato, egli verrà su un debugger di fuoco e brucerà i bug con i suoi infiniti poteri, nessun buco di sicurezza potrà tollerare il suo sguardo. Egli ha creato il mondo dall'assembly e nel momento del giudizio i giusti cammineranno assieme a lui verso il Codice promesso. Alk.

posted @ Thursday, October 18, 2007 7:53 AM | Feedback (2) | Filed Under [ Security ]

Validare gli input dell’utente seconda parte

Seconda parte del post su come validare gli input dell'utente. In questa parte si mostra come utilizzare Castle.Winsor per gestire il file di configurazione dove memorizzare le regole di validazione. Alk.

posted @ Wednesday, October 10, 2007 2:03 PM | Feedback (2) | Filed Under [ Security ]

Validare sempre gli input dell’utente

In questi giorni mi sto dilettando un po di sicurezza, ieri ho postato un tip su come cifrare la querystring, oggi volevo postare una semplice tecnica per fare validazione custom dei parametri in querystring e post. La tecnica non è nulla di eccezionale, ma può essere interessante. (clicca per leggere) Alk.

posted @ Tuesday, October 9, 2007 8:55 AM | Feedback (0) | Filed Under [ Security ]

Powered by:
Powered By Subtext Powered By ASP.NET