Jak zapewne niektórzy czytelnicy pamiętają, "Diabeł tkwi w szczegółach" to m.in. tytuł mojej serii artykułów z pogranicza programowania i bezpieczeństwa publikowanych w magazynie Programista. Dwie pierwsze części (poświęcone C/C++) udostępniłem do pobrania już wcześniej (C/C++, cz.1, C/C++, cz.2), czas więc i na część trzecią. Jest ona dla odmiany poświęcona problemowi przechowywania i udostępniania plików otrzymanych od użytkownika (atakującego) przez aplikacje webowe. A tak na marginesie, jeśli myślicie o wykupieniu prenumeraty Programisty, to do jutrzejszego wieczoru do prenumeraty redakcja dorzuca ebook jednej z dwóch książek ("Android w praktyce. Projektowanie aplikacji" lub "SCRUM i nie tylko. Teoria i praktyka w metodach Agile.").

PDF: Programista_Bezpieczny_Hosting_Plikow.pdf (340 KB)

Wstęp do artykułu:
Projektując serwis internetowy, zdarza się, że chcemy zaoferować użytkownikom możliwość przesłania i udostępnienia plików, w szczególności zdjęć czy innych form graficznych (mogą to być np. fotografie przedmiotów w serwisach aukcyjnych, awatary na forach, zdjęcia profilowe itp.). Wydawać by się mogło, że jest to bardzo proste do zrobienia – wystarczy odebrać plik, zapisać na dysku serwera i udostęp- niać przez HTTP. Niestety, poprawne zaprojektowanie tego typu systemu od strony bezpieczeństwa serwisu i użytkowników jest trudniejsze niż mogłoby się wydawać – a diabeł, jak zwykle, tkwi w szczegółach.

Jak zwykle wszelkie uwagi mile widziane.

I jeszcze na koniec copy-paste info o wspomnianej wyżej akcji promocyjnej Programisty (to tak dla tych, którzy nie lubią klikać w facebookowe linki ;>):

Mamy dla Was ciekawą propozycję.
Osoby, które zamówią do 29.07.2014 prenumeratę magazynu (roczną lub dwuletnią papierową lub dwuletnią elektroniczną) dostaną od nas w prezencie elektroniczne wersje książek:

 Android w praktyce. Projektowanie aplikacji

lub

 SCRUM i nie tylko. Teoria i praktyka w metodach Agile.

Przy zamówieniu prosimy w oknie Uwagi o wpisanie tytułu książki.
Zamówień można dokonywać pod tym linkiem: http://programistamag.pl/typy-prenumeraty/
lub pisząc na adres: prenumerata@programistamag.pl

Cheers,

Comments:

2014-07-28 23:55:31 = Programistamag/Ania
{
Czytająć jednen z Twoich ostatnich wpisów (komentarze pod nim), doszłam do wniosku, że muszę poprsić grafika by dał nam ten artykuł w .epub :)
}
2014-07-30 00:40:32 = Programistamag/Ania
{
Jak napisałam, tak zrobiłam i mamy od naszego grafika DTP - Krzyśka artykuł "Diabeł tkwi w szczegółach: hosting plików" w formacie epub. Proszę się częstować: https://s3.amazonaws.com/programista/diabel_tkwi_gyn.epub
}
2014-07-30 00:59:33 = Programistamag/Ania
{
Tylko zauważyłam, że grafik zapomniał dać info w powyższym epubie, że to jest fragment z magazynu Programista, trudno. Pamiętajcie o tym! ;)
}
2014-08-06 10:10:13 = czytnik
{
Kiedy kolejna część artykułu o OSdevie?:)
}
2014-08-08 17:34:22 = Szymon Gruszecki
{
Mam sugegstię odnośnie fragmentu:
"Po stronie klienta (czyli przeglądarki internetowej) problemem jest w zasadzie tylko potencjalna możliwość wykonania kodu JavaScript należącego do atakującego w kontekście naszego serwisu"

Dodałbym, że drugim bardzo realnym zagrożeniem jest wykorzystanie odpowiednio przygotowanych aplikacji RIA (w szczególności Flash, ale także Silverlight) do ominięcia SOP i kradzieży danych z domeny w kontekście użytkownika (żądania mogą być wysyłane z automatycznie dołączonymi przez przeglądarkę ciasteczkami). Ofiara będzie musiała odwiedzić stronę atakującego, gdzie osadził on taki aplet.
}
2014-08-13 10:07:42 = Gynvael Coldwind
{
@czytnik
Jak tylko znajdziemy troszkę więcej czasu (z którym obecnie jest krucho, więc nie mogę podać żadnej konkretnej daty) :(

@Szymon
Uh, racja, my bad. No idea czemu spłaszczyłem to tylko do "JavaScript".
}

Add a comment:

Nick:
URL (optional):
Math captcha: 9 ∗ 3 + 3 =