Šifrování samo o sobě vám nepomůže proti "kryptoanalýze gumovou hadicí", tedy situaci, kdy vás útočník fyzickým nebo psychickým nátlakem donutí heslo vyzradit. TrueCrypt nabízí koncept "hidden volumes", tedy kontajnerů, které mohou mít dvojí obsah podle toho, jaké heslo se do nich zadá.
Rubrika Bezpečnost
V předchozích dílech seriálu o vytvoření "zlé maliny" jsme si ukázali, jak na Raspberry Pi nainstalovat operační systém Raspbian, ASP.NET 5 a jak aplikaci pomocí nginxu vypublikovat do Internetu. Dnes z Raspberry vytvoříme Wi-Fi honeypot, tedy Wi-Fi access point, který každému dovolí, aby se připojil, a všechny HTTP požadavky bude směřovat sám na sebe.
Vytvořit funkční a bezpečný kryptosystém z kryptografických primitiv je dosti komplikované. Proto ASP.NET obsahuje možnost jak zašifrovat a digitálně podepsat data pomocí dvou jednoduchých metod, na kterých v podstatě není co zkazit.
Původně úložiště Windows Azure Storage neumožňovalo příliš jemné nastavení přístupových práv: data mohla být buďto veřejná, takže k nim mohl kdokoliv, nebo soukromá, takže k nim nemohl nikdo, kdo neznal klíč k úložišti. A zase pokud ho znal, mohl s ním dělat cokoliv. Již zhruba rok nicméně Azure umí takzvané Shared Access Signatures, tedy technologii, která umí přístup omezit operacemi nebo časově.
Microsoft zhruba před hodinou uveřejnil mimořádnou bezpečnostní aktualizaci pro ASP.NET, která zabraňuje možnému DoS útoku.
V řadě případů potřebujeme rychle vytvořit nějaké testovací certifikáty či přímo jejich logickou sestavu. Dlouhá léta jsem pro tento účel používal OpenSSL, ale nyní jsem zjistil, že vhodný nástroj je přímo součástí Windows SDK.
Vydal jsem novou verzi své knihovny Altairis Web Security Toolkit (dříve Simple ASP.NET SQL Providers), kterí se stala vcelku populární. Přináší oproti minulé verzi řadu vylepšení a nově také nezávislost na databází a ověřenou kompatibilitu s novým SQL Serverem Compact Edition.
Ačkoliv existují i lepší varianty autentizace uživatelů, hesla stále bezpečně převažují. A uživatelé hesla rádi zapomínají a dobré systémy by s tím měly počítat a měly by tudíž umožnit se ztrátou hesla se nějakým způsobem vypořádat. A to pokud možno bezpečně a automatizovaně. Tento článek se zabývá způsoby, jak to lze udělat a vyhnout se přitom obvyklým problémům.
Některé konfigurační sekce, typicky například connectionStrings, obsahují citlivé údaje, které by se neměly dostat do rukou cizím. V případě, že se útočníkovi podaří získat obsah souboru web.config – třeba pomocí chyby podobné nedávnému "padding oracle" problému – šifrování konfiguračních sekcí dokáže minimalizovat následky chyby. Obecně se jedná o formu "obrany do hloubky". Problémem je, že za normálních okolností musíte mít k zašifrování možnost spouštět na serveru programy z příkazového řádku, a to pod tou identitou, pod níž běží webová aplikace. Napsal jsem nástroj, který vám umožní konfiguraci šifrovat přímo z webové aplikace.
Myšlenky těch zodpovědnějších ASP.NET programátorů a správců serverů v uplynulých dnech okupovala první pořádná bezpečnostní díra v ASP.NET. Upozorňoval jsem na ni i na tomto webu a nabízel i workaround. Microsoft již vydal i oficiální záplatu, nově dostupnou přes Windows Update. Myslím si, že je přesně ten správý okamžik podívat se, o co vlastně šlo, v čem útok spočívá. Nejedná se totiž ve své podstatě o chybu v ASP.NET, ale o obecný mechanismus kryptografického útoku, který může zasáhnout i vaše vlastní aplikace.