Security
Ho trovato un link: http://www.stupidcubicle.com/ dovrebbe contenere materiale per geek :), il problema è che quando ci vado trovo questo Ok, è vero che da queste informazioni non si ricava nulla, ma fare vedere gli spezzoni di codice a tutti è un bug di sicurezza. L'utente non sviluppatore dovrebbe vedere una semplice pagina di scuse tipo "Sorry, the application has encountered an error", loggare l'errore tipo con elmah, e non far vedere a nessuno il codice che c'è dietro. A livello di security dare un messaggio di errore cosi dettagliato è una cattiva pratica....
Debbo usare un programma che gestisce un hardware, il fornitore da un tool ma peccato che dica questo
We are happy to inform that ***** works normally under Windows Vista, however, the UAC (User Access Control) will need to be disabled. A new version will be released later on, which will work under Windows Vista with UAC enabled.
Perchè debbono essere felici??? Debbo disabilitare la UAC per poter lavorare con il loro prodotto??? Ma la sicurezza cosa è un opzione?? Sono felici di dirmi che ora posso lavorare con il loro prodotto al costo di un sistema più insicuro..mamma mia.....
Alk.
In un precedente post ho parlato di come cifrare una stringa in javascript con RSA ora è arrivato il momento di mostrare un utilizzo pratico di questa tecnica. Il controllo login standard di asp.net 2.0 è infatti poco sicuro perché spedisce la password dell'utente in chiaro e quindi dovrebbe essere sempre utilizzato in contesto https. Purtroppo per hosting a "poco prezzo" ma in generale se non si ha a disposizione https, sarebbe comunque doveroso non far girare per la rete le credenziali dell'utente in chiaro. Per fare questo si procede in questo modo, ecco come si presenta la pagina di...
Se vi interessa cifrare stringhe da Javascript in RSA da passare al codice lato server questo posto potrà esservi utile. (Clicca per leggere)
Alk.
Il mondo è veramente cambiato, egli verrà su un debugger di fuoco e brucerà i bug con i suoi infiniti poteri, nessun buco di sicurezza potrà tollerare il suo sguardo. Egli ha creato il mondo dall'assembly e nel momento del giudizio i giusti cammineranno assieme a lui verso il Codice promesso.
Alk.
Seconda parte del post su come validare gli input dell'utente. In questa parte si mostra come utilizzare Castle.Winsor per gestire il file di configurazione dove memorizzare le regole di validazione.
Alk.
In questi giorni mi sto dilettando un po di sicurezza, ieri ho postato un tip su come cifrare la querystring, oggi volevo postare una semplice tecnica per fare validazione custom dei parametri in querystring e post. La tecnica non è nulla di eccezionale, ma può essere interessante.
(clicca per leggere)
Alk.