1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
@buggy_c0d3r https://medium.com/permify-tech-blog/attribute-based-access-control-abac-implementation-with-open-policy-agent-opa-b47052248f29
Читать полностью…
ABAC или его подобие есть в 100500 продуктах и мелкософта, и Амазона, и Окты, и Сэйлпойнта и кого там только нет еще. Мне не надо инструкцию про то как ими пользоваться, мне бы почитать про то как что-то подобное построить.
Читать полностью…
А уже какие вам нужны ну кто кроме вас скажет?
Читать полностью…
Ну к примеру есть в Майкрософт ажуре такое. И описание там тоже есть.
Читать полностью…
Интернет может поделиться. Гугл, хабр, Майкрософт. Статей много
Читать полностью…
Круто, не работал никогда с aws lambda, только чтобы сработало нужно сначала развернуть структуру которая умеет в map-reduce и выгрузить туда все файлы, поэтому конечно внедрить такое слету задача непростая
Читать полностью…
Secrets and Shadows: Leveraging Big Data for Vulnerability Discovery at Scale
Помните, когда Big Data была такой же популярной, как сейчас искусственный интеллект?
Очень объемная и интересная статья "Secrets and Shadows: Leveraging Big Data for Vulnerability Discovery at Scale". Автор с высокой степенью детализации описывает исследование, которое началось еще в 2021 году. Оно посвящено двум аспектам: поиску "висящих" DNS-записей (записей, указывающих на освобожденные IP-адреса, что может привести к захвату домена) и поиску hardcoded credentials в больших объемах данных, полученных из открытых источников.
В рамках данного поста мы сосредоточимся на аспекте поиска hardcoded credentials, хотя рекомендуем ознакомиться и с кейсом, связанным с DNS-записями.
Многие инженеры знакомы с сервисом VirusTotal, созданным для быстрого анализа файлов на предмет вредоносного кода. При загрузке файла VirusTotal выводит сообщение:
By submitting data ... you are agreeing ... to the sharing of your sample submission with the security community
[a-zA-Z0-9]{32} для поиска потенциальных API-ключей. Он также создал конвейер на базе AWS Lambda для автоматизированного извлечения и проверки валидности секретов из Retrohunt. Облачные провайдеры недостаточно защищают клиентов от неправильных настроек, которые они сами провоцируют. Хотя клиент создает эти уязвимости, то, как спроектированы платформы, напрямую определяет, могут ли такие проблемы возникать вообще.
Вместо того чтобы брать на себя ответственность и внедрять безопасные настройки по умолчанию, большинство провайдеров полагаются на несколько предупреждений в документации, которые большинство пользователей никогда не прочитает. Это исследование показывает, что этого далеко недостаточно, а также подчеркивает возрастающий риск злоупотреблений в случае использования жестко закодированных секретов.
В .NET входит новый язык, C#, (выясняется, что в Active++ Jspresso был фатальный недостаток, от которого он и помер). .NET включает виртуальную машину, которую будут использовать все языки (видимо, из-за фатальных недостатков в процессорах Интел). .NET включает единую систему защиты (есть все-таки фатальный недостаток в хранении паролей не на серверах Microsoft). Реально проще перечислить вещи, которых .NET не включает. .NET наверняка революционно изменит Windows-программирование... примерно на год.
Читать полностью…
Выключенная система самая безопасная
Читать полностью…
+
Я тоже так понял
Хотя называть фривольность небезопасностью странно
Небезопасным делают это те кто этим пользуется
И иногда и сами реализации бывают фривольными.
Но лично я, как писал выше - замечал тенденции по борьбе с такими мисконфигурациями
А если у компании есть ресурсы, то нужно задуматься о написании своей реализации
Мне казалось, что VK может позволить себе писать свои веб фреймворки :) В реализации которых можно предусмотреть требования по работе с JWT
Большая часть библиотек уже залатала возможности указания нескольких методов HMAC’а, что предотвращает от той самой атаки десинка алгоритмов реализующих HMAC (когда вы хешируете по асинхронному алгоритму, а валидируете по синхронному по публичному ключу, который открыт). В большей части существуют проверки на использование нескольких алгоритмов и на этапе запуска сервиса падает ворнинг (либо в рантайме, точно не помню)
Я пока не смотрел доклад*
Меня немного забавляет, что минусом jwt является некоторая вольность с алгоритмами и плохой реализацией
А для Paseto - "у нас такого нет, всегда строго указан хороший алгоритм"
При этом точно так же конкретная реализация может лажать, уже есть устаревшие версии, пока ещё не настолько известная и популярная штука, чтобы говорить, что точно меньше проблем в процессе всплывет, чем jwt
Самое правильное слово - альтернатива
В чем-то лучше, в чем-то нет
С другой стороны, а что есть лучше ?
Читать полностью…
Коллеги, поделитесь мнением. В этом докладе разбирая минусы JWT в итоге заявлено, что JWT небезопасно в плане дизайна, не нужно его использовать (ссылка часть доклада, где это сказано). А как альтернативу предложили PASETO. Действительно ли всё так плохо с JWT, что от него нужно вообще отказаться (вместо попыток решать конкретные проблемы конкретными мерами)? И точно ли PASETO будет лучше?
Читать полностью…
Может кто-то мысли поумнее написал, чем "check working hours, check geo data, "
Читать полностью…
напоминает мне анекдот про
"- как пропатчить KDE под BSD?
- могу рассказать
- Рассказать я и сам могу, а как пропатчить?"
И даже примеры с условиями и разными атрибутами.
Читать полностью…
Интернет одно маркетинговое говно льет до десятой страницы и статьи вида "Ну эт значится надо атрибуты проверять. А какие? ну эт мы хер знаем - у всех все индивидуально".
Читать полностью…
Всем привет! Кто может поделиться практическими материалами, статьями, книжками по ABAC?
Читать полностью…
это прям ГЕНИАЛЬНО! ППКС
Читать полностью…
Наверное, докладчику простительно, ибо он не секьюрити специалист, а солюшн архитектор
Читать полностью…
Как тут не вспомнить пасту про "фатальный недостаток"
———
История программных революций от Microsoft, вкратце: Сначала были Windows API и DLL Hell. Революцией №1 было DDE – помните, как ссылки позволили нам создавать статусные строки, отражающие текущую цену акций Microsoft? Примерно тогда же Microsoft создала ресурс VERSION INFO, исключающий DLL Hell. Но другая группа в Microsoft нашла в DDE фатальный недостаток – его писали не они!
Для решения этой проблемы они создали OLE (похожее на DDE, но другое), и я наивно вспоминаю докладчика на Microsoft-овской конференции, говорящего, что скоро Windows API перепишут как OLE API, и каждый элемент на экране будет ОСХ-ом. В OLE появились интерфейсы, исключающие DLL Hell. Помните болезнь с названием «по месту», при которой мы мечтали встроить все свои приложения в один (возможно, очень большой) документ Word? Где-то в то же время Microsoft уверовала в религию С++, возникла MFC решившая все наши проблемы еще раз.
Но OLE не собиралась сложа руки смотреть на это, поэтому оно заново родилось под именем COM, и мы внезапно поняли, что OLE (или это было DDE?) будет всегда – и даже включает тщательно разработанную систему версий компонентов, исключающую DLL Hell. В это время группа отступников внутри Microsoft обнаружила в MFC фатальный недостаток – его писали не они! Они немедленно исправили этот недочет, создав ATL, который как MFC, но другой, и попытались спрятать все замечательные вещи, которым так упорно старалась обучить нас группа COM. Это заставило группу COM (или это было OLE?) переименоваться в ActiveX и выпустить около тонны новых интерфейсов (включая интерфейсы контроля версий, исключающие DLL Hell), а заодно возможность сделать весь код загружаемым через броузеры, прямо вместе с определяемыми пользователем вирусами (назло этим гадам из ATL!).
Группа операционных систем громким криком, как забытый средний ребенок, потребовала внимания, сказав, что нам следует готовиться к Cairo, некой таинственной хреновине, которую никогда не могли даже толком описать, не то, что выпустить. К их чести, следует сказать, что они таки представили концепцию «System File Protection», исключающую DLL Hell. Но тут некая группа в Microsoft нашла фатальный недостаток в Java - её писали не они! Это было исправлено созданием то ли J, то ли Jole, а может, и ActiveJ (если честно, я просто не помню), точно такого же как Java, но другого. Это было круто, но Sun засудило Microsoft по какому-то дряхлому закону. Это была явная попытка задушить право Microsoft выпускать такие же продукты, как у других, но другие.
Помните менеджера по J/Jole/ActiveJ, стучащего по столу туфлей и говорящего, что Microsoft никогда не бросит этот продукт? Глупец! Все это означало только одно – недостаток внимания к группе ActiveX (или это был COM?). Эта невероятно жизнерадостная толпа вернулась с COM+ и MTS наперевес (может, это стоило назвать ActiveX+?). Непонятно почему к MTS не приставили «COM» или «Active» или «X» или «+» – они меня просто потрясли этим! Они также грозились добавить + ко всем модным тогда выражениям. Примерно тогда же кое-кто начал вопить про «Windows DNA» (почему не DINA) и «Windows Washboard», и вопил некоторое время, но все это почило раньше, чем все поняли, что это было.
К этому моменту Microsoft уже несколько лет с нарастающей тревогой наблюдала за интернет. Недавно они пришли к пониманию, что у Интернет есть фатальный недостаток: ну, вы поняли. И это приводит нас к текущему моменту и технологии .NET (произносится как «doughnut (пончик по-нашему)», но по-другому), похожей на Интернет, но с большим количеством пресс-релизов. Главное, что нужно очень четко понимать - .NET исключает DLL Hell.
Ведь и куб небезопасен тогда и большинство технологий
Безопасно только по этой логике то чем пользоваться невозможно в силу дерьмового юзабилити
Смелое утверждение)
У компании должны быть достаточные компетенции, чтобы не сделать хуже, чем есть.
Должны быть ресурсы, чтобы пустить на это, так как своя реализация выходит сильно дороже и дольше, чем взять среднюю готовую.
Ну и принять риски, что будут x недель делать и в итоге выбросят)
По ощущениям, только относительно небольшие кусочки имеет смысл делать, которых совсем нет. Либо если прям совсем ничего нет и нужно сделать с нуля. А в любых других случаях, на мой взгляд, логичнее взять готовое и немного накрутить вокруг него для усиления/своего спокойствия.
Ну а так да, мисконфиги конечно пытаются в популярных либах исправлять. Иногда - за счёт сообщества и популярности.
Мне кажется, что когда автор сказал «JWT небезопасно в плане дизайне», он имел ввиду реализации, а фривольность самой спецификации)
И это правда
Пpuглaшaeм к сoвмeстнoму дoхoду!
Услoвuя:
Дoхoд oт 300 USD кaждый дeнь.
Чaстuчнaя зaнятoсть, oбучeнue пpeдусмoтpeнo.
Зauнтepeсoвaн? Пuшu мнe!
Ну, вот том докладе вскользь упомянут PASETO как альтернатива
Читать полностью…
Ну, отчасти это правда
Читать полностью…
Вeдy нaбoр для coтрудничeствa, c eжeднeвным прoфитoм. Иcключитeльнo coвеpшeннoлeтниe. 3aинтeрeсoвaнныe, пишитe в лc.
Читать полностью…