Ошибки программирования – причина уязвимости Flash-приложений

Опубликовано 10 Март 2009
Рубрики: СВЕЖЕНЬКОЕ

Сегодня наткнулась не следующую статью. Возник вопрос, почему именно 25 ошибок нужно найти, а не 10, 15 или 42.

// =============================================================== //

Споры о безопасности технологии Adobe Flash разгораются с новой силой. Пытаясь получить несанкционированный доступ к информации на Веб 2.0 сайтах, злоумышленники используют уязвимости Flash-приложений,большая часть которых является результатом ошибок программирования.

Технология защиты Flash-приложений необходима для предотвращения участившихся случаев массовых атак на Веб 2.0 сайты, и разработчиков все чаще призывают уделять пристальное внимание безопасности их продуктов. Откликаясь на эти призывы, компания IBM усовершенствовала утилиту AppScan, дополнив ее возможностью сканировать Flash-приложения.

6-8 февраля 2009 года в Вашингтоне состоялась очередная конференция ShmooCon, на которой выступила член исследовательской группы по вопросам интернет-безопасности, инженер компании HP Праджакта Джагдал (Prajakta Jagdale). В своем докладе 7 февраля она указала наиболее часто встречающиеся уязвимости Flash-приложений, заявив, в частности, что многие разработчики оставляют неинициализированные переменные, что делает возможным кросс-сайтовый скриптинг.

Однако перед конференцией Джагдал сказала: “Существуют общие принципы безопасности, обязательные для всех технологий программирования“. По ее словам, множество ошибок безопасности, от проверки ввода данных до жесткой кодировки имени пользователя и паролей в коде клиентского приложения, характерны не только для Flash. В этом году институт SANS организовал группу экспертов, в которую вошли сотрудники более чем 30 организаций, включая Symantec, McAfee и Microsoft. Ее задачей стало создание списка из 25 наиболее опасных ошибок программирования. Опираясь на него, потребитель сможет требовать от производителей программного обеспечения подтвердить отсутствие перечисленных уязвимостей в их продукции.

Таким образом, ответственность за любой ущерб, причиненный этими ошибками, ляжет на плечи производителя.

“По нашему мнению, уже выработаны общие взгляды на ошибки программирования. Пришло время их исправить. Для начала, каждый программист должен иметь возможность убедиться в том, что написанный код не содержит 25 основных ошибок. Для этого ему необходимо предоставить инструменты и технологии их поиска, исправления и предотвращения, после чего можно будет подтвердить безопасность кода с помощью автоматизированных средств“, – заявил ранее Мейсон Браун (Mason Brown), директор института SANS.

Независимо от того, потребуют ли потребители сертифицировать безопасность программных продуктов, избежание ошибок, о которых говорили специалисты SANS и упоминала Праджакта Джагдал, позволит избежать многих проблем. Передовой опыт программирования широко освещается информационными источниками. Как заметила Джагдал, компания Adobe Systems предлагает разработчикам множество ресурсов, освещающих проблему создания безопасных приложений: “Перед началом работы над проектом программисту следует ознакомиться с рекомендациями, предоставленными изготовителем”.

DataGreed 12 Март 2009 17:40

И где же сам список ошибок?
admin 13 Март 2009 17:51

Читаем внимательней:
В этом году институт SANS организовал группу экспертов, в которую вошли сотрудники более чем 30 организаций, включая Symantec, McAfee и Microsoft. EЕ ЗАДАЧЕЙ СТАЛО СОЗДАНИЕ СПИСКА из 25 наиболее опасных ошибок программирования.
DataGreed 16 Март 2009 1:09

И? Не во внимательности дело, а в изложении материала. Да, ее задачей стало создание списка. Я рад. Но нигде не указано, что она еще не создала этот список
admin 17 Март 2009 1:52

Если найдешь где-то этот список, сбрось плз линк. Я сама хочу увидеть этот чудо-список.
sugrade 11 Окт 2009 20:19

Старая темка, я у себя надевно запостила, но потом бросила. лето, не хочется за компьютером сидеть.