altair.blog

Rubrika Bezpečnost

Kritická bezpečnostní chyba v ASP.NET
V pátek byla zveřejněna kritická bezpečnostní chyba ve všech verzích ASP.NET, od 1.0 po 4.0 včetně. Dosud na ni neexistuje patch, jenom workaround, a ten je bohužel dosti pracný.
Řešení problémů s identitou webu u Personal Information Cards
Téměř přesně před rokem jsem si v článku Jak se zjišťuje identita webu u Personal Information Cards? stěžoval na to, že algoritmus pro výpočet identity relying party (tedy typicky webu) je špatný. Specifikace ISIP verze 1.5 tento problém řeší. Problém u Windows CardSpace řeší .NET Framework 3.5 SP1.
Jak funguje forms authentication a autentizační tickety
Otázky na forms autentizaci patří na mých kurzech k velmi častým. I místní článek "Forms authentication a session state - proč nejsou synchronní?" vzbudil jistý zájem. Pojďme se tedy podrobněji podívat na to, jak forms authentication funguje, a rozeberme si onen magický autentizační ticket.
Jak se zjišťuje identita webu u Personal Information Cards?
Zajištění soukromí uživatelů je jedním z hlavích cílů technologie Information Cards (CardSpace). V případě osobních (unmanaged) karet jsou různým webům zaslány různé údaje, takže provozovatelé těchto webů je nemohou spojit nebo zneužít. Proces zjišťování identity webů je ale dosti komplikovaný. Pojďme se na něj podívat podrobně a zabývejme se důsledky, které z něj plynou.
HMAC - Hash Message Authentication Code
Technologie HMAC (Hash Message Authentication Code) je základem elektronického podpisu. Pomocí jednosměrné funkce pro výpočet kontrolního součtu (hashování) můžete ověřovat, zda data nebyla modifikována. S trochou chytrého využití můžete s hashem dělat lecjaká kouzla a zjednodušit vývoj aplikací a zároveň zvýšit jejich bezpečnost.
Příliš spořádaný svět
Získat náhodná čísla je mnohem složitější, než jak to na první pohled vypadá. Zejména pokud jich potřebujeme hodně. A to v kryptografii většinou potřebujeme. Tento článek se zabývá tím, jak v .NET získat dostatek čísel, která jsou skutečně náhodná.
Uchovávání hesel ve webových aplikacích
Ve většině případů jest povinností tvůrce aplikace, aby se ve vlastní režii postaral o bezpečné uložení přístupových hesel svých uživatelů. Tento článek se zabývá metodami jejich bezpečného ukládání a práce s nimi.