Browse by Tags
All Tags »
Security (
RSS)
שכח מה שלימדו אותך בבצפר! שליפים זה דבר חיובי ביותר. הרי מה הטעם לזכור דברים מכאניים כשאפשר לרשום אותם. במיוחד אם מדובר על נושא כל כך משעמם ודוחה כמו אבטחת מידע. אז אם אתה איש תכנה נורמאלי - אתה אמור לשנוא את אבטחת מידע. אך אין לך מנוס - אתה נתקל בזה פעם אחר פעם. כך שכדאי שיהיה לך שליף ממצא מתאים. הנה, דאגת במיחד בשבילך והכנתי סוכריה, כלמור שליף של אבטחת מידע באפליקציות Net. by Incase Designs הנה הלינק: ASP.NET Security Architecture Cheat Sheet For Very Busy Architects והנה ה- PDF שתוכל לשלוח גם...
היתה לי תחושה הזו כל הזמן בבטן אך לא היה לי מספיק אומץ להגיד את זה. קראתי את הפוסט של William Oellermann וקיבלתי אומץ להגיד את זה - נראה כי אכן SOA מת. אז מה בא במקום? מה ה-TLA הבא? SaaS לא תפס, S+S נראה חם, אבל Cloud Computing נראה הדבר הכי סקסי. אפילו גרטנר אוהבים את זה (מצאתי את זה דרך Steve Clayton )": Cloud computing — As companies seek to consume their IT services in the most cost-effective way, interest is growing in drawing a broad range of services (for example...
קראתי את הפוסט של סטיב (לא באלמר) – ומאוד אהבתי את השקף וכמובן התוכן של השקף – החזון שלנו: מיקרוסופט היא גדולה מאוד והיא גורמת להרבה תחושות (לעתים סותרות) להרבה אנשים כולל אנשי מיקרוסופט. אך כשיש חזון פשוט וקליט ניתן ביתר קלות להבין מהי מיקרוסופט, מה היא עושה ומה היא לא עושה. המילה המרכזית לדעתי היא Seamless . בוא נחשוב מה יכול לגרום לחוסר שקיפות בעבודה מכל סוג של מכשיר מעל אינטרנט? לדעתי זה אבטחת מידע שבדרך כלל פוגעת בחוויה ובביצועים. נשמע כמו Job Security בשבילי, כלומר...
יש מצבים שבהם ירידה ממקום ראשון זה דווקא עובדה משמחת. מתוך Apple Gets Bruised in Vulnerability Report : A rise in Web application flaws led to Apple disclosing more vulnerabilities than any other vendor, according to a new security report from IBM. Apple rose from second place in 2007 to take the top spot from Microsoft, which fell to third place או לה לה!! אפילו לא מגיע למיקרוסופט מקום שני… אלא רק שלישי. צריך להתאמץ יותר! המאמצים של מיקרוסופט בתחום פיתוח מאובטח מניבים פירות...
יום גדול בקהילת אבטחת מידע – המדריך המלא לשיפור אבטחת מידע ב-Web Services שוחרר ל-Codeplex ונמצא כאן - http://www.codeplex.com/WCFSecurityGuide . המדריך כולל כל כך הרבה חומר שזה מפחיד בהתחלה אבל המבנה כל כך הגיוני והוא מחולק בצורה שקל מאוד להשתמש בוא ומייד למצוא תשובה לכל שאלה הקשורה לאבטחת מידע ב-Web Services ומימוש ב-WCF. This guide shows you how to make the most of WCF (Windows Communication Foundation). With end-to-end application scenarios, it shows you how to design...
קראתי את הכתבה של Business Week תחת כותרת Enter the Cloud with Caution שמעלה 9 שאלות מרכזיות לכל מי שרוצה לאמץ את גישה של מיחשוב בעננים. אותי עניינו 2 שאלות – ראשונה ושביעית: Who else might see the data? You may have a collective bargaining agreement assuring your employees that their e-mail won't be read, even by software. Certain industries fall under data privacy regulations that may make the cloud inappropriate . What's the access control? Does a single password...
טרנד חדש (?) באבטחת מידע שאמור להפוך מוצרי אנטי וירוס ללא רלוונטיים יותר – ניהול רשימות לבנות. הרעיון כאן שבניגוד לאנטי וירוס התכנה החדשה מגדירה מדיניות לאיזה אפליקציות ידועות מותר לרוץ וכל השאר אסור. לעומת זאת במוצרי אנטי וירוס נעשה נסיון לזהות תכנות “רעות” או אנומאליות ואז לנטרל אותן. כל איש אבטחת מידע יגיד שהדרך הכי בטוחה להתגונן מפני התקפות או גישות לא מורשות היא לנהל רשימה לבנה: תנהל רשימה של קבוצות משתמשים למי מותר לבצע פעולות. תנהל רשימה של תווים המותרים בתור קלט....
מחשוב בעננים (Cloud Computing) מבטיח להיות הדבר הבא. לכולם יש מה להציע - לגוגל, לאמאזון, וגם לנו – מיקרוסופט. עם כל בתועלות שבמתודולוגיה (או ארכיטקטורה?) ישנם מספר דברים המהווים מכשול של ממש ובין המרכזיים זה אבטחת מידע: The panel agreed that adoption rate of cloud services is growing, but there are major issues that need to be smoothed out before big businesses will truly consider moving mission-critical applications out of house. If they ever do. Number one on that list is security...
First of I'd like to thank Guy for his excellent screencast - very convenient, so thanks. Specifically I liked introductory screencast for WCF which can be found here: http://blogs.microsoft.co.il/blogs/bursteg/pages/WCF-Introduction-Demo-_2800_ScreenCast_2900_.aspx It is dubbed in Hebrew, but the screens are flipping in so logical way so that one who does not understand Hebrew will be fine - go for it - recommended a lot for WCF newbies like me. My interest was to understand the pipeline that the...
Consider the following ASPX page: Here is why it cannot be accessed: When trying to navigate there you get: Great, love URL authorization!! Now let's examine another ASPX page: When navigating to this page you surprisingly get this: The reason for that is when using Server.Transfer the request to the second page does not go through the whole ASP.NET pipeline which includes URL Authorization module Security part is here http://msdn2.microsoft.com/en-us/library/ms998375.aspx Performance part is here...
I've been blogging on importance of input validatoin some time ago App Architecture with Security in mind - Video, Part I Web Services is not different from ASPX - accept parameters and process it. So the strategy for input validation should be the same as with ASPX - each and every input parameter MUST be checked for goodness (no black list allowed!). The only difference with ASPX is that there is no validation controls for ASMX, so the simplest way would be as follows: from http://msdn2.microsoft...
Very short and nice read - Gates: Now's the time to stop using passwords--really "One problem people face is knowing whether they’re at a legitimate web site or a malicious site ." More here http://antiphishing.org/ "People also face numerous problems in identifying themselves to the sites they use." Check out some problems related to passwords here http://www.guidanceshare.com/wiki/Authentication_Vulnerabilities " CardSpace is part of the solution to all of these problems ." More here One-Page Introduction...
I realized that for some reason lately I was concentrated on tools: Scriptomania - Scripting Tools and Utilities More Powerful Security Tool Most Powerful Security Tool This blog entry is about another security tool - ShareEnum (free download) I am about to conduct Security Deployment Inspection with some project and this tool might be very handy. Another handy utility could be TCPView (free download) to identify activity for TCP and UDP You must agree that this one is nicer than black and white...
Before you follow the link bellow you need to make sure what hat you wear and then just stick with this hat... From http://www.microsoft.com/technet/scriptcenter/createit.mspx Scriptomatic 2.0 Do-It-Yourself Script Center Kit WMI Code Creator ADSI Scriptomatic Tweakomatic Log Parser 2.2 Portable Script Center HTA Helpomatic Scriptomatic 1.0
Have you noticed that little slogan in the bottom of p&p logo? "proven practices for predictable results" When I landed in Seattle for Another Breathtaking Microsoft Convention I called my precious wife to tell her I am OK. What I heard in response was cry and she was telling me that she was involved in serious car wreck. I can recall now that first thing I asked was "Were you wearing safety belt?" and when I heard "yes" I could estimate what could happen to her. I could not be sure about her...
More Posts
Next page »