• Главная
• Избранное
• Мои произведения
• Предисловие
• RSS

Ошибки программирования – причина уязвимости Flash-приложений

Опубликовано 10 Март 2009 
Рубрики: СВЕЖЕНЬКОЕ

Сегодня наткнулась не следующую статью. Возник вопрос, почему именно 25 ошибок нужно найти, а не 10, 15 или 42.

// =============================================================== //

Споры о безопасности технологии Adobe Flash разгораются с новой силой. Пытаясь получить несанкционированный доступ к информации на Веб 2.0 сайтах, злоумышленники используют уязвимости Flash-приложений,большая часть которых является результатом ошибок программирования.

Технология защиты Flash-приложений необходима для предотвращения участившихся случаев массовых атак на Веб 2.0 сайты, и разработчиков все чаще призывают уделять пристальное внимание безопасности их продуктов. Откликаясь на эти призывы, компания IBM усовершенствовала утилиту AppScan, дополнив ее возможностью сканировать Flash-приложения.

6-8 февраля 2009 года в Вашингтоне состоялась очередная конференция ShmooCon, на которой выступила член исследовательской группы по вопросам интернет-безопасности, инженер компании HP Праджакта Джагдал (Prajakta Jagdale). В своем докладе 7 февраля она указала наиболее часто встречающиеся уязвимости Flash-приложений, заявив, в частности, что многие разработчики оставляют неинициализированные переменные, что делает возможным кросс-сайтовый скриптинг.

Однако перед конференцией Джагдал сказала: “Существуют общие принципы безопасности, обязательные для всех технологий программирования“. По ее словам, множество ошибок безопасности, от проверки ввода данных до жесткой кодировки имени пользователя и паролей в коде клиентского приложения, характерны не только для Flash. В этом году институт SANS организовал группу экспертов, в которую вошли сотрудники более чем 30 организаций, включая Symantec, McAfee и Microsoft. Ее задачей стало создание списка из 25 наиболее опасных ошибок программирования. Опираясь на него, потребитель сможет требовать от производителей программного обеспечения подтвердить отсутствие перечисленных уязвимостей в их продукции.

Таким образом, ответственность за любой ущерб, причиненный этими ошибками, ляжет на плечи производителя.

“По нашему мнению, уже выработаны общие взгляды на ошибки программирования. Пришло время их исправить. Для начала, каждый программист должен иметь возможность убедиться в том, что написанный код не содержит 25 основных ошибок. Для этого ему необходимо предоставить инструменты и технологии их поиска, исправления и предотвращения, после чего можно будет подтвердить безопасность кода с помощью автоматизированных средств“, – заявил ранее Мейсон Браун (Mason Brown), директор института SANS.

Независимо от того, потребуют ли потребители сертифицировать безопасность программных продуктов, избежание ошибок, о которых говорили специалисты SANS и упоминала Праджакта Джагдал, позволит избежать многих проблем. Передовой опыт программирования широко освещается информационными источниками. Как заметила Джагдал, компания Adobe Systems предлагает разработчикам множество ресурсов, освещающих проблему создания безопасных приложений: “Перед началом работы над проектом программисту следует ознакомиться с рекомендациями, предоставленными изготовителем”.

Комментарии

• Недавно

  • Мой доклад-презентация: “Flash сайт: от проектирования к поддержке, минуя ловушки”
  • Отчет - UAFPUG-10 (Мужчины в шоколаде)
  • Мои работы
  • Ошибки программирования – причина уязвимости Flash-приложений
  • Дамский день в Одессе — 21 марта
  • Help for CS 4 & ActionScript3 -> Справка для CS 4 и ActionScript3 на русском!
  • 2009 пришел! С Новым Годом!
  • Доклады с UAFPUG-8 and other
  • UAFPUG-8 -> впечатления организатора
  • UAFPUG-8. Уже.

• Рубрики

  • РЕЦЕПТЫ
    • as2
  • СВЕЖЕНЬКОЕ

• Архив

  • Апрель 2009
  • Март 2009
  • Январь 2009
  • Декабрь 2008

• О проекте

  Flash и свежему печенью посвящается.

• Ссылки

  • flash-animation.ru
  • Nouba’s laboratory
  • UAFPUG
  • рок-банда “Хартия”
  • Флэш Потрошитель