Archive

Archive for December, 2006

Dlaczego ataki XSS są badzo groźne?

December 20th, 2006 6 comments
Ataki XSS (Cross Site Scripting) polegają na zmuszeniu przeglądarki ofiary do wykonania programu JavaScript atakującego. Muszę przyznać, że mój kod też jest na to podatny. Dziś wklepałem łatkę do serwisu clubbing.czest.pl – który napisałem już wiele, wiele lat temu. Wiele, wiele lat temu nienawidziłem JavaScriptu. Chyba każdy webmaster ma w swoim życiu okres w którym nie pała miłością do tego języka. Moja nienawiść objawiała się w ten sposób, że ignorowałem istnienie JavaScriptu. Nie wyobrażałem sobie, że wstrzyknięcie na moją stronę kodu HTML może być niebezpieczne dla Internautów. Zawsze pamiętałem o bezpieczeństwie serwera, ale bezpieczeństwo przeglądarki WWW obchodziło mnie średnio. Dziś jestem fanem JavaScript’u. Ten poteżny język programowania daje wiele możliwości, w tym takich, które mogą być wykorzystane przez złego człowieka. Już wiem, że bezpieczeństow przeglądarki WWW jest tak samo ważne, jak bezpieczeństwo serwera. Dlaczego XSS jest taki groźny? Hmm, warto pomyśleć, ilu webmasterów myślało tak jak ja – ignorując nielubiany javascript zapominało o zagrożeniach dla Internauty. Błędy można podzielić na takie, które powstają poprzez nieuwagę programisty i poprzez jego niewiedzę. W przypadku mojego serwisu CCP przyczyną błędu była niewiedza. Zdawałem sobie sprawe, z możliwość wstrzyknięcia na moją stronę złośliwego kodu, ale nie zdawałem sobie sprawy z zagrożeń jakie to za sobą niesie. Błąd w CCP umożliwiał przejęcie skromnych danych osobowych gromadzonych w tym serwisie, a także publikowanie postów pod cudzym nikiem – podobnie jak w Allegro publikowania aukcji. Błąd poprawiłem dodając jedną linijkę kodu do mojej aplikacji (mam nadzieję że definitywnie). Wracając do tematu – XSS jest groźny bo przez długie lata był ignorowany. Każdy szanujący się programista wiedział – co to jest SQL Injection i przed tym się bronił. Natomiast programista (PHP, Java) pełniący obowiązki webmastera nie musiał wiedzieć co to jest XSS i (tak jak ja) mógł ten atak zignorować. Wiele firm uważa, że webmaster to taki “upośledzony” programista. Webmaster – to ktoś – kto nie jest wystarczająco dobry, żeby być programistą ale na tyle dobry, że poradzi sobie z HTML i CSS. Ataki XSS nauczą nas tego, żeby Webmasterów traktować na równi z programistami tworzącymi kod działający po stronie serwera. Ataków XSS będzie jeszcze wiele i dużo groźniejszych niż ten na Allegro. Pojawią się też wirusy, działające poprzez atak XSS. A co najfajniejsze, przed atakiami XSS Internaute nic nie chroni. Żaden firewall, antywirus, ani zapora systemowa. Przed atakami XSS Internaute chroni wyłącznie Webmaster.
Categories: JavaScript Tags:

Geronimo2 – plany

December 13th, 2006 No comments
Geronimo 2 to serwer apliacji JEE. Warto zapoznać się z planami rozwoju. Już za miesiąc spodziewana jest wersja umożliwiająca uruchomienia aplikacji JEE na Geronimo 2. Na chwilę obecną, źródła pięknie kompilują się przy użyciu maven 2. Serwer uruchamia się bez problemu i bardzo szybko. Jednak, mi jeszcze nie udało się odpalić na tym moich HelloWorld wykorzystujących JSF lub EJB3. Będę jednak dalej próbował.
Categories: Java Tags:

PostgreSQL 8.2 vs 8.1 – nowa wersja jest szybsza

December 7th, 2006 No comments
Witam, Przeprowadziłem prymitywne porównanie szybkości działania aplikacji WWW działającej z bazą danych PostgreSQL w wersji 8.1 i 8.2. Zgodnie z zapowiedziami, nowa wersja jest szybsza. W moim prostym teście wzrost szybkości dla całej aplikacji WWW sięgał nawet 60%. Brawo!!! Nowa wersja PostgreSQL przychodzi z konfiguracją bardziej zachłannie korzystającą z pamięci. Wykonałem więc test serwera 8.2 z ustawieniami pamięci tak, jak było w 8.1. 60% przyrost szybkości został zachowany. Brawo^2 !!! Metoda testowa. Korzystałem z jednego fizycznego serwera pod kontrolą systemu FreeBSD. Bazę danych PostgreSQL kompilowałem ze źródeł, dostępnych w portach systemu. Najpierw zainstalowałem i testowałem na bazie w wersji 8.1. Następnie ją odinstalowałem i zainstalowałem bazę 8.2. Przy użyciu webbench symulowałem 10 internautów. Aplikacja wykonywała zapis do bazy i kilkanaście prostych selektów i jeden potężny select. Moje testy uznaje za prymitywne. Jednak jak dla mnie wystarczające. Brawo nowy PostgreSQL!!!
Categories: PostgreSQL Tags: