שליפים של אבטחת מידע לארכיטקט מאוד עסוק

יום שני, מרץ 23, 2009

     שכח מה שלימדו אותך בבצפר! שליפים זה דבר חיובי ביותר. הרי מה הטעם לזכור דברים מכאניים כשאפשר לרשום אותם. במיוחד אם מדובר על נושא כל כך משעמם ודוחה כמו אבטחת מידע. אז אם אתה איש תכנה נורמאלי - אתה אמור לשנוא את אבטחת מידע. אך אין לך מנוס - אתה נתקל בזה פעם אחר פעם. כך שכדאי שיהיה לך שליף ממצא מתאים. הנה, דאגת במיחד בשבילך והכנתי סוכריה, כלמור שליף של אבטחת מידע באפליקציות  Net.   by Incase Designs הנה הלינק: ASP.NET Security Architecture Cheat Sheet For Very Busy Architects והנה...
תגיות: ,
אין תגובות

SOA הלך לעולמו…Cloud Computing הוא הכוכב הבא

יום ראשון, ספטמבר 14, 2008

     היתה לי תחושה הזו כל הזמן בבטן אך לא היה לי מספיק אומץ להגיד את זה. קראתי את הפוסט של William Oellermann וקיבלתי אומץ להגיד את זה - נראה כי אכן SOA מת. אז מה בא במקום? מה ה-TLA הבא? SaaS לא תפס, S+S נראה חם, אבל Cloud Computing נראה הדבר הכי סקסי. אפילו גרטנר אוהבים את זה (מצאתי את זה דרך Steve Clayton)": Cloud computing — As companies seek to consume their IT services in the most cost-effective way, interest is growing in drawing...
2 תגובות

חזון של מיקרוסופט (Job Security שלי)

יום ראשון, אוגוסט 10, 2008

     קראתי את הפוסט של סטיב (לא באלמר) – ומאוד אהבתי את השקף וכמובן התוכן של השקף – החזון שלנו: מיקרוסופט היא גדולה מאוד והיא גורמת להרבה תחושות (לעתים סותרות) להרבה אנשים כולל אנשי מיקרוסופט. אך כשיש חזון פשוט וקליט ניתן ביתר קלות להבין מהי מיקרוסופט, מה היא עושה ומה היא לא עושה. המילה המרכזית לדעתי היא Seamless. בוא נחשוב מה יכול לגרום לחוסר שקיפות בעבודה מכל סוג של מכשיר מעל אינטרנט? לדעתי זה אבטחת מידע שבדרך כלל פוגעת בחוויה ובביצועים. נשמע כמו Job Security בשבילי, כלומר אם מיקרוסופט רוצה לדלבר לפי החזון שלה...
תגיות: ,
אין תגובות

מיקרוסופט מאבדת מקום ראשון ואפל היא האלופה החדשה! (ומי זה Joomla בכלל?)

     יש מצבים שבהם ירידה ממקום ראשון זה דווקא עובדה משמחת. מתוך Apple Gets Bruised in Vulnerability Report: A rise in Web application flaws led to Apple disclosing more vulnerabilities than any other vendor, according to a new security report from IBM. Apple rose from second place in 2007 to take the top spot from Microsoft, which fell to third place או לה לה!! אפילו לא מגיע למיקרוסופט מקום שני… אלא רק שלישי. צריך להתאמץ יותר! ...
תגיות:
אין תגובות

המדריך המלא לשיפור אבטחת מידע ב-Web Services (כולל נקודה ישראלית)

יום רביעי, אוגוסט 6, 2008

     יום גדול בקהילת אבטחת מידע – המדריך המלא לשיפור אבטחת מידע ב-Web Services שוחרר ל-Codeplex ונמצא כאן - http://www.codeplex.com/WCFSecurityGuide. המדריך כולל כל כך הרבה חומר שזה מפחיד בהתחלה אבל המבנה כל כך הגיוני והוא מחולק בצורה שקל מאוד להשתמש בוא ומייד למצוא תשובה לכל שאלה הקשורה לאבטחת מידע ב-Web Services ומימוש ב-WCF. ...
תגיות: ,
2 תגובות

מחשוב בעננים – ראה הוזהרת (בונוס – מצגת אבטחת מידע ב-SOA)

יום שלישי, אוגוסט 5, 2008

     קראתי את הכתבה של Business Week תחת כותרת Enter the Cloud with Caution שמעלה 9 שאלות מרכזיות לכל מי שרוצה לאמץ את גישה של מיחשוב בעננים. אותי עניינו 2 שאלות – ראשונה ושביעית: Who else might see the data? You may have a collective bargaining agreement assuring your employees that their e-mail won't be read, even by software. Certain industries fall under data privacy regulations that may make the cloud inappropriate. What's the access control? Does a single password provide access to everything, so that an intruder could delete your...
תגיות:
אין תגובות

איזה רשימה אתה מנהל – רשימה שחורה או רשימה לבנה?

יום חמישי, יולי 31, 2008

     טרנד חדש (?) באבטחת מידע שאמור להפוך מוצרי אנטי וירוס ללא רלוונטיים יותר – ניהול רשימות לבנות. הרעיון כאן שבניגוד לאנטי וירוס התכנה החדשה מגדירה מדיניות לאיזה אפליקציות ידועות מותר לרוץ וכל השאר אסור. לעומת זאת במוצרי אנטי וירוס נעשה נסיון לזהות תכנות “רעות” או אנומאליות ואז לנטרל אותן. כל איש אבטחת מידע יגיד שהדרך הכי בטוחה להתגונן מפני התקפות או גישות לא מורשות היא לנהל רשימה לבנה: תנהל רשימה של קבוצות משתמשים למי מותר לבצע פעולות. תנהל רשימה של תווים המותרים...
תגיות:
2 תגובות

המכשול הגדול לאימוץ Cloud Computing הוא אבטחת מידע

יום שני, יולי 28, 2008

    מחשוב בעננים (Cloud Computing) מבטיח להיות הדבר הבא. לכולם יש מה להציע - לגוגל, לאמאזון, וגם לנו – מיקרוסופט. עם כל בתועלות שבמתודולוגיה (או ארכיטקטורה?) ישנם מספר דברים המהווים מכשול של ממש ובין המרכזיים זה אבטחת מידע: The panel agreed that adoption rate of cloud services is growing, but there are major issues that need to be smoothed out before big businesses will truly consider moving mission-critical applications out of house. If they ever do. Number one on that list is security. - Cloud computing hysteria paralyzed by bolt of reality אני...
תגיות:
אין תגובות

How To Hack WCF – New Technology, Old Hacking Tricks

יום חמישי, מרץ 1, 2007

First of I'd like to thank Guy for his excellent screencast - very convenient, so thanks. Specifically I liked introductory screencast for WCF which can be found here: http://blogs.microsoft.co.il/blogs/bursteg/pages/WCF-Introduction-Demo-_2800_ScreenCast_2900_.aspx It is dubbed in Hebrew, but the screens are flipping in so logical way so that one who does not understand Hebrew will be fine - go for it - recommended a lot for WCF newbies like me. My interest was to understand the pipeline that the WCF Message goes through before it is put on the transport. The idea was to inject some custom modules (Inspectors) in the pipeline. Why? Is not it...
אין תגובות

Performance Gain – Security Risk

יום שישי, פברואר 23, 2007

Consider the following ASPX page: Here is why it cannot be accessed: When trying to navigate there you get:   Great, love URL authorization!!   Now let's examine another ASPX page: When navigating to this page you surprisingly get this: The reason for that is when using Server.Transfer the request to the second page does not go through the whole ASP.NET pipeline which includes URL Authorization module Security part is here http://msdn2.microsoft.com/en-us/library/ms998375.aspx Performance part is here http://msdn2.microsoft.com/en-us/library/ms998549.aspx  Performance and Security has never been good friends - fortunately...
2 תגובות