Епизод 87 – част 2 – Сигурни приложения

Разговор с Мариян Маринов на тема писане на сигурни приложения

Директен линк към част 2 (mp3)

Ресурси
https://www.securecoding.cert.org/confluence/display/seccode/Top+10+Secure+Coding+Practices
https://www.securecoding.cert.org/confluence/display/seccode/SEI+CERT+Coding+Standards
https://msdn.microsoft.com/en-us/library/d55zzx87(v=vs.90).aspx
https://www.owasp.org/index.php/OWASP_Secure_Coding_Practices_-_Quick_Reference_Guide
http://www.oracle.com/technetwork/java/seccodeguide-139067.html

Tags:
| март 13th, 2017 | Posted in Uncategorized |

14 Responses to “Епизод 87 – част 2 – Сигурни приложения”

  1. deyan Says:

    Ей ,браво поканили сте Хакман.Един от хората ,които с удоволствие слушам.

  2. Йордан Иванов Says:

    editorconfig е бая стар стандарт. Ние го ползваме от доста години. Вим, съблайм, Джет Брейнс и всичко за което се сещам го поддържа. Изненадан съм, че Вижъул студио не го поддъжа.

  3. Stilgar Says:

    Някой каза, че VS го поддържало отдавна, но явно нещата които са се поддържали са били неща като tabs vs spaces. Сега са добавили C# специфична функционалност и другите редактори могат също да си я добавят.

  4. qtakabg Says:

    Браво, много интересна втора част, която вероятно е полезна за почти всички, независимо от стака, който ползват, което си е рядкост.

  5. nikssa23 Says:

    Здравейте и от мен,
    Може ли да препоръчате software за криптиране на харддиска (Win/Linux).
    Също така ако имам dual boot с Windows и Linux ще има ли проблем с използването на която и да е OS от двете.
    Имам и още един бонус въпрос 😀
    На някой места четох, че е рисковано да се криптира целия хард диск.. Това вярно ли е?

  6. лумпен Says:

    За онова безумно подобие на ОС, не мога да кажа. В ГНУ/Линукс си е вградено. Kазва се LUKS. Не си търсил!

    Не може да е абсолютно целия диск, защото все от някъде трябва да заредиш GRUB. Е сигурно става от влашка, ама по принцип се прави малък дял, където да е каталога /boot.

  7. deyan Says:

    Лек офтопик за сигурността

    http://hackaday.com/2016/11/28/neutralizing-intels-management-engine/

    Само да ми остане време ще се поровя за още информация.Даже мисля да поръчам въпросния бигълборд ,за да го тествам на хасуел процесор ,понеже има написан готов питонски скрипт за него в гитхъб.

  8. ウォーロック Says:

    Пък по-лесното (и за бекъп също) криптиране е encfs криптирана директория която монтираш като виртуален драйв .

  9. hackman Says:

    За Linux има няколко опции:

    1. LUKS, добре позната на всички. Криптира се целият дял. Проблемът е, че при счупване на диска, не можете да използвате стандартните tools за recovery на FS-а.
    2. eCryptfs, удобното тук е, че можете да криптирате само отделни директории, което е в плюс, когато ви се счупи диска, защото можете да използвате стандартните tools за recovery на FS-а.
    3. Някой файлови ситеми, като Ext4 & Btrfs имат вградено криптиране, но лично аз го смятам за експериментално и не го препоръчвам освен за тестове.

  10. лумпен Says:

    И при eCryptfs ще можеш да ползваш „стандартните средства“ за шифрованите каталози? Позволи ми да не се съглася до доказване на противното.

  11. hackman Says:

    лумпен, използвам ecryptfs от поне 6-7 години.
    чупил съм си файловата система и съм я възстановявал с fsck.

    Причината това да работи е, че при ecryptfs файловете си остават файлове, както и директориите. Разликата е, че когато директорията не е декриптирана, имената на файловете са странни(нечетими) и съдържанието им е очевидно криптирано.

    Може ли да ми обясниш, защо смяташ, че не може да се използва fsck?

    Ето това е едно хубаво място да се прочете за eCryptfs – https://wiki.archlinux.org/index.php/ECryptfs

  12. лумпен Says:

    Е сега няма шанс да се сравнявам с теб. Щом казваш, че нещо е така, значи е така.

  13. лумпен Says:

    Я така и така си тук, кажи нещо за сваляне от Slideshare. Защото LUG-а сте го качили там, а от там се сваля единствено със spybook. Последния при мен в hosts е срещу едни прекрасни четири нули.

    Изръшках Гитхъб. Има десетки предложения. Ама 99% от тях свалят като картинки. Другите са някакви питони дето искат някакви пипове, които в Дебиан са счупени и не работят. Не мога да разбера, защо езиците взеха да вкарват пакетни управители, като всяка дистрибуция си има. Ега ти, от две версии насам и текстовия ми редактор има пакетен управител. Категорично отказвам да го ползвам.

    А не съм сигурен дали и те не свалят така.

    Ако ще го свалям като картинки, които да обръщам към pdf не ми трябват програми за целта. Това може и ръчно да се направи.

    Има и някакво нещо на js. Ега ти стигнахме до там да пускаме и js от конзола. Аз го спирам навсякъде, те ме карат от конзола да го пускам. Ще се побъркам.

    В крайна сметка, ако не открия, с какво да ги сваля, ще гледам двете видеа така. Ясно е колко ми е спешно, след като от един месец чака. Малко съм разочарован, че има само две. Най-старото събитие заслужаваше повече.

  14. hackman Says:

    Амм, тук ме хвана неподготвен 🙂
    Реално аз от slideshare си click-ам на download бутона, когато uploader-а е разрешил.
    Никога не съм се опитвал с нещо различно.

Leave a Reply