Ename Hosting Blog » Securitate

Kaspersky lanseaza suita 2010

dt — Mon, 29 Jun 2009 15:15:03 +0000

Deocamdata oficial doar in SUA, dar toti clientii de Kaspersky Anti-Virus 2009 sau Kaspersky Internet Security 2009 pot face upgrade gratuit la versiunea 2010 folosind cheia de activare existenta. Am adaugat deja cele doua produse pe site-ul nostru, spre vanzare. Livrarea fiind electronica, practic, ceea ce se vinde este cheia de activare a produsului si un certificat (pdf) care atesta ca sunteti posesorii licentei.

Kaspersky Internet Security (KIS) 2010 contine, in plus fata de varianta anti-virus, un firewall pentru filtrarea conexiunilor internet, un modul anti-phishing si un sandbox, pentru testarea aplicatiilor suspecte. Kaspersky Anti-Virus (KAV) 2010 este ideal utilizatorilor avansati care deja au un firewall performant (de exemplu, pe gateway-ul sau router-ul de acces internet), stiu sa nu dea click pe link-uri suspecte primite pe mail si nu doresc decat strict un antivirus performant. Ca bonus, KAV 2010 vine cu o tastatura virtuala.

HttpOnly – in sfarsit, un plus de securitate

dt — Wed, 28 Jan 2009 00:31:55 +0000

Una din metodele folosite de “baietii rai” pentru a sparge conturi se bazeaza pe injectarea de cod JavaScript in paginile atacate (XSS) si culegerea unor date private (cum ar fi identificatorul de sesiune stocat in cookie).

In 2006 Microsoft a inventat httpOnly, un cuvant trimis in header care specifica faptul ca un cookie setat de server nu poate fi accesat din JavaScript sau alte scripturi care ruleaza in browser. Ideea, foarte buna de altfel, a fost implementata in IE6 SP1 si ulterior in FireFox 2.

Totusi a aparut repede o problema: Ajax, la moda in ultima vreme, mai exact XmlHttpRequest, permitea trimiterea unei cereri catre server si prelucrarea headerelor returnate, inclusiv a cookie-urilor, in cazul in care erau setate in mod repetat de server (si se pare ca in PHP ar fi comportamentul implicit). In felul acesta, toata protectia introdusa de httpOnly era compromisa. Rezolvarea a venit in decembrie 2008 pentru Internet Explorer si luna asta pentru Firefox (testat pe versiunea 3.1 beta) Ambele browsere au eliminat posibilitatea de a citi cookie-urile setate cu httpOnly din XmlHttpRequest. Probabil, in cateva luni, multi vor face upgrade la browsere si internetul va deveni un loc mai sigur Doar pana cand se vor inmulti atacurile bazate pe Flash (care ofera tot timpul posibilitati nebanuite).

O simpla linie de cod PHP poate proteja aplicatia de atacuri XSS:

ini_set("session.cookie_httponly", 1);

Referinte:

Magazinele virtuale din .ro stau prost la capitolul securitate

dt — Tue, 07 Oct 2008 21:40:42 +0000

La o analiza sumara, cel putin 11 din cele 41 (?) de site-uri inscrise la Gala Premiilor eCommerce 2008 au probleme de securitate care le-ar putea afecta activitatea. Asta inseamna peste 25% .. destul de mult.

Tehnic, e vorba despre XSS, aka Cross-Site-Scripting, care inseamna injectarea de cod (de obicei javascript) intr-un site prin intermediul unor variabile nesecurizate (sau in cazul unora din site-uri, insuficient securizate). Din fericire, o astfel de vulnerabilitate e destul de usor de depistat si reparat, dar ar fi mult mai bine daca autorii site-urilor ar evita din start astfel de probleme.

Prin XSS se poate de exemplu manipula sesiunea (asta inseamna ca, in anumite conditii, cineva sari peste autentificare). Sau, daca datele sunt salvate in site si accesibile si altor vizitaori (de ex: “ultimele cautari”), li se pot fura datele de acces ale acestora din urma, ii pot infecta cu diversi virusi/etc. Nu-i nevoie decat de putina atentie pentru a evita astfel de probleme.

Conexiune FTP securizata “FTP over SSL”

dt — Wed, 27 Aug 2008 13:07:47 +0000

FTP, unul din cele mai vechi protocoale pentru transferul de fisiere intre client si server, sufera pe partea de securitate. Mai exact, parola este trimisa in clar intre client si server si poate fi interceptata de rauvoitori. Din fericire, solutii sunt mai multe. Toate conturile de FTP din cPanel permit conectarea la server printr-un protocol securizat numit FTP over SSL explicit (care foloseste o conexiune SSL). Avantajul unei conexiuni SSL este dublu: pe de-o parte se stabileste o conexiune criptata intre computer si server iar pe de alta parte se autentifica serverul (pentru a evita atacurile de tip man-in-the-middle).

Am testat aceasta conexiune in doua programe (clienti) FTP: FileZilla, disponibil gratuit (poate fi descarcat de aici) si SmartFTP (comercial + licenta de evaluare). Filezilla are un sitemanager care permite setarea FTP over SSL explicit:

Dupa conectare va apare o fereastra de notificare in care se prezinta datele din certificat. Este nevoie sa acceptati certificatul SSL ca fiind de incredere (chiar daca certificatul SSL folosit de server este emis de o autoritate de certificare recunoscuta, numele de domeniu difera de cele mai multe ori de cel de pe certificat).

In SmartFTP exista o iconita in bara de adresa, langa numele hostului, de unde se poate selecta protocolul (implicit este FTP):

Odata problema conexiunii pana la server rezolvata mai ramane doar sa va protejati propiul calculator impotriva virusilor (in special a troienelor sau a keylogg-erelor care va pot fura parola stocata respectiv introdusa).

Scanner XSS

dt — Thu, 21 Aug 2008 11:10:20 +0000

Acunetix ofera gratuit un program pentru detectarea problemelor de securitate ale unui site web. Se scaneaza doar posibilele vulnerabilitati XSS (cross-site-scripting) - cauzate de programarea defectuoasa a site-urilor.

L-am testa pe un site care stiu sigur ca are astfel de probleme dar fara niciun rezultat. De aceea e recomandata o verificare a site-ului inainte de lansarea in productie – macar minimala, prin inlocuirea unor valori din URL cu un javascrip alert(1); pus frumos intre taguri.