Browse by Tags

Про баг на сайте ФМС
08 ноября 10 07:21

На ХабрХабр прошла статья про баг на сайте ФМС – читать можно тут http://habrahabr.ru/blogs/infosecurity/107736/

о том как разработчики предусмотрели в форме проверки паспортов возможность игнорировать каптчу. Хоть и не самый антисекюрный баг, но неприятный ибо каптча не просто так там стояла, а дабы информация из баз ФМС не утекала куда не надо.

Типичный пример работающего утверждения «не заговор, а облажались»  ибо видно раздолбайство и не более того.

К тому же если кто-то считает что только наши органы творят подобное, то это совсем не так и об этом я писал довольно давно в посте Всё ли помнят слоны со случаем с потерей массы писем при смене администрации в США или случай с PDF документом Пентагона где ненужная информация была «замазана чёрным цветом», но замечательно читалась при преобразовании PDF во что-то ещё, подробности тут – http://www.lenta.ru/articles/2005/06/09/hacker/

А теперь к вопросу о сайте ФМС.

Поставим вопрос иначе, а как избегать таких ситуаций? И подойдём к вопросу системно.

Я вижу следующие варианты, а также их комбинации:

1. Вводить требования к безопасности как часть госприёмки. Проверять соответствие этих требованиям компаний отличной от компанией разработчика.

2. Каждому органу власти периодически проводить аудит безопасности собственных веб-ресурсов размещением соответствующих торгов в формате госзаказа.

3. Организовать российское подразделение при одной из служб отвечающее за выработку рекомендаций и требований к госресурсам, проводящее аудит веб-сайтов и внутренних систем. По хорошему, эти сейчас занимается ФСО, но ФСО чрезвычайно закрытая служба, и никаких публичных требований и рекомендаций мне не встречалось.

4. Вменить Минсвязи проводить аудит безопасности всех информационных систем прошедших у них согласование. Так сказать, совместить влияние с немалой ответственностью. Хотя это, конечно, как обмазать пряник (соласование) гуталином (аудитом) и человеческих ресурсов у них таких не хватит.

В любом случае – это дополнительные госрасходы.

Originally published at Иван Бегтин. You can comment here or there.

SUP, LJPlus и пароли
14 августа 07 12:16
Я уверен что все слышали, что в ЖЖ сейчас нечто вроде новости номер 1 - это факт несанкционированного доступа со стороны сотрудников SUP’а к одному из блогов. Даже CNews опубликовали заметку , как ведается, отразив позицию одной лишь стороны - самого Read More...
Postedfrom Иван Бегтин | 0 Comments    
Filed under: , ,
Ещё о противостоянии форматов: WS-Federation и SAML 2.0
06 июля 07 07:34
К слову о форматах и возможностях государств влиять на их признание и использование. Те же датчане в 2006 году приняли в качестве стандарта для SSO стандарт SAML 2.0 от OASIS. Впоследствии по принятии стандарта они столкнулись с тем что Microsoft объявили Read More...
CardSpace на Linux и MACOSX
24 марта 07 08:16
Дейл Олдс в своём блоге пишет о том что на BrainShare 2007 одним из интересных выступлений была демонстрацию Novell’ом проекта Bandits . Bandits - это OpenSource реализация Windows CardSpace , ранее InfoCard, на Linux и MacOSX. А, в теории, и на Read More...
Postedfrom Иван Бегтин | 0 Comments    
О Vista и NIST - подробности
14 марта 07 04:19
CNews в очередной раз пишет о Vista в статье: США - Vista оказалась не удел Я же напишу о том что я об этом знаю: 1. NIST действительно запретил использование MS Vista внутри своей сети, CNews не приводит ссылки на оригинальную новость, а написал же об Read More...
Postedfrom Иван Бегтин | 0 Comments    
Filed under: , ,
Анализ безопасности Web 2.0 проектов. Часть 1. Пароли
12 марта 07 08:15
Сегодня набросал краткое исследование по принципам работы работы Web 2.0 проектов с паролями. Исследование довольно простое и призвано показать лишь наиболее очевидные огрехи выявляемые не глубоким анализом безопасности, а теми операциями которые выполняет Read More...
Postedfrom Иван Бегтин | 0 Comments    
Filed under: ,

This Blog

Tags

Archives

Syndication