fredag 24 september 2010

Mozillaprojekt om CA-cert-policy

I kölvattnet av alla SSL-/PKI-skandaler kring hantering av CA-cert (bloggpost 1, bloggpost 2, bloggpost 3) så har nu Mozilla startat ett projekt för att uppdatera sin certifikatspolicy för Firefox, Thunderbird med mera. Mozilla har som bekant en egen lista på godkända CA-cert och förlitar sig inte på operativsystemet som andra webbläsare. Det här kan vara chansen att göra något åt ett av de stora problemen med SSL.

Jag har gått med på mejlinglistan där det hela kommer att hanteras. Gör det ni med! Notera att Mailman i vanlig ordning skickar ut ditt valda lösenord i klartext i välkomstmejlet så använd ett slasklösen.

Föredrar man newsgroups så finns det med:

Twitter fortfarande sårbart

Jag vet inte om ni följer utvecklingen men Twitters XSS-fix var fel. Sen fixade de igen. Och den fixen var fel. Sen fixade de igen och idag kom folk fram till att det var fel på den fixen också.

Delar av historien här:

Alltså ... överge webbgränssnittet och ladda hem en klient tills vidare. T ex:

onsdag 8 september 2010

Samy Kamkar i Sthlm 4/10

Vi har bjudit in Samy Kamkar att hålla föredrag för OWASP Sweden måndag 4 oktober.

Samy gav cross-site scripting ett ansikte när han 2005 sänkte MySpace. Inom loppet av timmar infekterades miljoner MySpace-användares profiler med Samys skript vilket gjorde det till ett av världens snabbast spridda maskar/virus. För det fick han en treårig villkorlig dom och samhällstjänst.


Numer är Samy noga med att hålla sig på rätt sida om lagen men är fortfarande grymt duktig på att hitta säkerhetsproblem och presentera dem. Den 4 oktober har han lovat att både berätta hela historien bakom MySpace-masken och köra sin färska presentation "How I Met Your Girlfriend" från sommarens Black Hat-konferens i Las Vegas. Den senare innehåller:
  • phpwn – hacket mot PHP-sessioner
  • NAT Pinning
  • Geolocation via XSS
  • HTML5 anti-waf XSS
Föredraget är kostnadsfritt och öppet för alla medlemmar i OWASP Sweden. Medlem blir man genom att gå med på mejlinglistan. Anmäler sig till föredraget gör man på Eventbrite.

Missa inte det här föredraget. Vi ses där!

söndag 5 september 2010

#CmtyHack II är över

Community Hack II, gemensamt arrangerat av OWASP Sweden och FOSS Sthlm är över. Strax över 50 anmälda, sponsrad frukost, läsk/snacks och bio. Till det behöver man bara lägga skarvdosor och datorer för en trevlig helg.


Magnus och Ians workshop om låsdyrkning var mycket uppskattad. De hade med sig en rejäl uppsättning dyrkar, modifierade nycklar, lås och verktyg.


Större delen av helgen var förstås tillägnad fritt hackande på var och ens egna projekt. Folk labbade med DNSSec, mockramverk i Python, att försöka köra Linux på PS3, att utfärda e-leg på Linux, gå igenom challenges på hackthissite.org, buggfixa befintlig foss-mjukvara och så vidare.

Det fanns en hel del intressanta projekt att spana in och människor att umgås med. En del hade tagit med mer hårdvara än andra ...


Utsikten var det som sagt inget fel på heller ...


Arrangörerna (John, Daniel och Michael) vill tacka alla som kom, KTH för lokalen och allt det praktiska samt Spotify, Omegapoint och DQ Consulting för sponsringen.

Vi siktar på att köra Community Hack III i december. Stay tuned!

onsdag 1 september 2010

Community Hack II i helgen

I helgen så genomför OWASP Sweden och FOSS Sthlm gemensamt Community Hack II. Vi kommer hålla till i lokaler på KTH vid Valhallavägen. Bland projekten och aktiviteterna finns:
  • Låsdyrkning med Ian Vitek och Magnus Bråding (kl 9-11 lördag)
  • PDF Signature Verification i fria pdf-läsare
  • Applikations- och nätverksfuzzing
  • Bygga DNSSec
Vi kör kl 9-18 både lördag och söndag. Anmälan är fortfarande öppen på Eventbrite (anmäl dig senast fredag kl 12). Just nu är vi ca 35 pers som kommer.

Lokalerna erbjuder arbetsplatser, internetaccess, fåtöljhörna, projektor, ljudanläggning och till och med fin utsikt.


Vi har också tillgång till pentryt med matbord, kylskåp, kaffebryggare, mikro med mera. Spotify sponsrar med läsk och snacks hela helgen och DQ Consulting bjuder på frukost båda dagarna!


Lördag kväll går alla som vill på bio. Vi tänkte se filmen Salt och Omegapoint sponsrar med biljetter! Om ni ska med så måste ni vara anmälda senast onsdag 1/9 kl 18 (dvs idag). Sen bokar vi biljetter.