Visar inlägg med etikett it-säkerhet. Visa alla inlägg
Visar inlägg med etikett it-säkerhet. Visa alla inlägg

lördag 30 oktober 2010

Testa säkerheten i din webbläsare

Säkerheten i webbapplikationer är som bekant helt beroende av säkerheten i webbläsaren, både läsarens stöd för säkerhetsfunktioner och läsarens avsaknad av säkerhetsbuggar.

Det finns ett intressant testverktyg på nätet – Browserscope Security Test. Där kan du enkelt testa hur väl din webbläsare stödjer säkerhetsfunktioner såsom Strict Transport Security och om den skyddar mot kända hack såsom JSON hijacking.

Det finns också en sammanfattning av hur olika webbläsare klarar sig:

  • Bäst just nu är Chrome 6 som godkänt på 15 av 16 test.
  • Firefox 3.6 får bara 10 av 16 men med den senaste versionen av NoScript så når Firefox 14 av 16.
  • Safari 5 får 13 av 16.
  • IE 8 får 10 av 16 men IE 9-betan når 12 av 16.
  • Opera får 9 av 16.


/John Wilander, chapter co-leader
Upplagd av Inga kommentarer:
Etiketter: , , , , , , , ,

torsdag 29 juli 2010

Kinesiska hacker-communityn

Jag hann höra sammanfattningen av en presentation om hur den kinesiska hacker-communityn fungerar. Intressanta punkter:

Samarbetar i öppna forum
Kineserna använder sällan dolda kanaler, IRC och så vidare. Istället så sker diskussioner tämligen öppet i vanliga nätfora. Med andra ord lätt sökbara.

Enkla GUI-verktyg
Inom den kinesiska communityn så tar man ganska snabbt fram lättanvända, GUI-baserade verktyg för de allra senaste hacken, vissa gånger för helt okända hack. Det göder en stor volym script kiddie-attacker från Kina. I västvärlden är sådana verktyg ovanliga.

Lätt att spåra upphovsmän
Kinesiska hackers lämnar medvetet massor med spår i sina applikationer och verktyg. Det är med andra ord inte svårt att ta reda på vem eller vilken grupp som ligger bakom ett visst hack. Det skiljer sig från hackerkulturen i väst.

Vanligt med 0-days
Det verkar vara ett onormalt antal 0-days i omlopp bland kinesiska hackers. Orsakerna kan vara flera.
  • Det går att tjäna pengar på nya hack i Kina, dvs hackers behöver inte gå utomlands för att profitera på sina alster.
  • Informationsutbytet mellan Kina och väst är sparsamt. Hackers umgås inte över den gränsen.
  • Principer för hur nya hack ska publiceras (responsible/full disclosure) har inte fått fäste i Kina. Kanske för att principerna upplevs dåliga, kanske för att man inte riskerar särskilt stora problem för att ha släppt en 0-day.
Upplagd av Inga kommentarer:
Etiketter: , ,
Prenumerera på: Inlägg (Atom)