2020-05-04

Maj 2020 - OWASP Proactive C6: Implement Digital Identity

En digital identitet är en unik representation av en användare. Autentisering är processen att verifiera att en användare är den som den utger sig för att vara. Sessionshantering gör att servern låter en användare behålla sitt tillstånd och kna fortsätta utan att tvingas till att logga in på nytt.

Det här dokumentet beskriver hur man implementerar det: NIST Special Publication 800-63B: Digital Identity Guidelines (Authentication and Lifecycle Management
Det är ett ganska omfattande dokument så de flesta kommer inte läsa det, men det kan vara bra att ha det tillgängligt när man behöver göra lite mer säkra lösningar.

En kortare sammanfattning på OWASP: C6: Implement Digital Identity



Nyheter för månaden:
  • Senaste uppdateringarna gjorda.

2020-03-25

Mars/April 2020 - Coronaviruset

Coronaviruset har den senaste tiden dominerat precis allt och i Sverige har vi bara sett början av det. Jag följer kontinuerligt utvecklingen i landet och världen. Mitt råd är att man ska ta det lugnt och hålla sig borta från folk, men i övrigt så kan man leva hyfsat normalt. I alla fall så länge man är frisk. Är man sjuk så gör man som vanligt vid sjukdom, dvs. hålla sig hemma, bädda ner sig om man inte orkar vara uppe och tittar på en film eller någon annan lugn aktivitet.
Jag har själv haft någon slags influense eller förkylning de senaste två veckorna så jag håller mig borta från folk. Jag hoppas innerligt att det är COVID-19 för att då förhoppningsvis få immunitet och slippa bli sjuk igen, men tiden får väl utvisa det.

Bra rapportering: https://www.svt.se/nyheter/utrikes/senaste-nytt-om-coronaviruset
John Hopkins karta: https://gisanddata.maps.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6

Den stora fördelen med att ha ett arbete som sker via datorer och internet är att det är så lätt att jobba hemfrån. Dock måste man ändå regelbundet ha möten med andra människor och där ser man vilka stora problem som finns trots att vi kommit långt när det gäller olika typer av tjänster på internet. Det som fungerat bra för mig är att ha möten via Slacks funktion för videosamtal. Förhoppningsvis blir uppdragen inte påverkade jättemycket, men självklart kommer fokus hos kunderna att ändras och nyutveckling är sannolikt inte av högsta prioritet.

Håll er friska! Gå ut i friska luften för våren är här!


Nyheter för månaden:
  • Senaste uppdateringarna gjorda.

2020-02-05

Februari 2020 - OWASP Proactive C5: Validate all inputs

Validering av indata säkerställer att endast korrekt formatterad data tillåts in i applikationen.

Syntaktisk validering - Data är i den form som förväntas. Ex. förväntas en fyrsiffrigt värde så ska det kontrolleras att värdet faktiskt är fyra siffror.
Semantisk validering - Data har ett värde som förväntas för den funktion och kontext som avses. Ex. att ett startdatum är före ett slutdatum när man väljer datum eller att ett siffervärde är inom tillåtna värden.

Metoder för att validera
Whitelisting - Tillåt endast vissa värden, ex. giltiga landskoder enligt en lista.
Blacklisting - Förbjud vissa värden, ex. <SCRIPT>-taggar.

Validering måste ske på serversidan då det är lätt att kringgå validering på klientsidan. På klientsidan ska man gärna också validera indata, men det handlar mer om att hjälpa användaren och att förhindra onödiga requester till servern.



Nyheter för månaden:
  • Senaste uppdateringarna gjorda.

2020-01-19

Januari 2020 - Nytt år!

Under 2019 har det skett förbättringsarbete av den nya servern för att optimera den och förhindra problem. Övervakningen har förbättrats och utökats för att upptäcka eventuella problem snabbare. Inga allvarliga incidenter har inträffat så allt har fungerat väldigt bra och vid attacker så har servern återhämtat sig automatiskt i de flesta fall. I några fall har jag varit tvungen att peta på den lite. Attacker är inget konstigt utan sker kontinuerligt över hela internet. Vissa går helt enkelt inte eller är oerhört svåra att skydda sig mot. Tjänster kommer att gå ner, exempelvis vid DDOS-attacker. Det är också den plan jag har lagt upp. Låt icke vitala tjänster gå ner för att skydda de viktiga och sen när attacken är över så startar allt upp automatiskt.

Företagsmässigt så är jag även i år redan klar med momsrapport och bokslut. Bokio (bokföringsprogrammet) levererade i år också. I en annan organisation använder jag Bokio för lönehantering och det fungerar också bra. Förra året kom arbetsgivardeklaration på individnivå (AGI) vilket så gott som krävde ett löneprogram för att hantera det för att inte bli övermäktigt med arbete. Bokio levererade funktioner för det.

För 2020 så har jag tänkt fokusera på:
  • IT-säkerhet
  • Fortsatt förbättring av problemhanteringen

2019-12-28

December 2019 - OWASP Proactive C4: Encode and Escape Data

Encoding och escaping är tekniker för att förhindra injektionsattacker.

Encoding eller kodning av tecken innebär att man översätter specialtecken till ett annat tecken som fortfarande betyder samma sak, men som är ofarligt för det mottagande systemet. Exempelvis "<" ändras till "&lt;" om det handlar om HTML.

Escaping (här saknar jag ett vettigt svenskt ord) handlar om att lägga till ett speciellt tecken framför ett annat för att det inte ska misstolkas, ex. \ före " (dubbla citationstecken) eller ' (enkelt citationstecken) för att det ska hanteras som text istället för att avsluta en sträng.

Många programmeringsspråk har färdiga funktioner som man kan använda för att hantera encoding och escaping. Sök på det språk som du använder och se vad som erbjuds.



Nyheter för månaden:
  • Senaste uppdateringarna gjorda.

2019-11-09

November 2019 - OWASP Proactive C3: Secure Database Access

Några områden att beakta för säker databasaccess:

  1. Säkra SQL-frågor
  2. Säker konfiguration
  3. Säker autentisiering
  4. Säker kommunikation

Säkra SQL-frågor

Trots att de flesta känner till SQL injection så finns det ändå många fall där en applikation/webbplats är sårbar för det. Ofta kan man komma åt precis hela databasen genom att lämna ett enda hål öppet för SQL injection. Man undviker enkelt sårbarheten genom att parametrisera SQL-frågorna. Kolla på den här webbsidan för hur man gör det för de vanligaste programmeringsspråken:
Andra sätt är att validera indata och att hantera de specialtecken som skickas (ex. i PHP mysqli::real_escape_string).

Säker konfiguration

Kontrollera att databasens konfiguration är korrekt och att säkerhetskontroller är aktiverade. Sök nätet för att hitta det som gäller för din databas.

Säker autentisiering

All access till databasen ska vara autentiserad och gjord på ett säkert sätt.

Säker kommunikation

Använd säker kommunikation (autentisierad och krypterad) för all kommunikation med databasen.




Nyheter för månaden:
  • För att minska risken för att exponera sårbarheter kommer versionerna av olika mjukvaror att döljas och vilka uppdateringar som har gjorts kommer inte att publiceras. Uppdateringar av alla mjukvara sker kontinuerligt för att täppa till alla kända säkerhetshål.
  • Är man kund och behöver veta exakt vilken version som körs så skicka en fråga till supporten.

2019-09-30

Oktober 2019 - OWASP Proactive C2: Leverage Security Frameworks and Libraries


En utvecklare har inte alltid tillräckligt med kunskap, tid eller budget för att implementera den säkerhet som krävs. Genom att använda bibliotek och ramverk som tillhandahåller den säkerhet som behövs så uppnås säkerhetsmålen mer effektivt och mer korrekt.

Hur implementera?
1. Använda bibliotek och ramverk från kända källor som underhålls och används av många applikationer.
2. För en lista på alla tredjepartsbibliotek som används.
3. Håll bibliotek och komponenter uppdaterade. Använd gärna verktyg för att kontrollera mot kända sårbarheter: OWASP Dependency Check och Retire.JS.
4. Exponera så lite som möjligt av biblioteken för att minska attackmöjligheterna.


System och tjänster som uppdaterats sedan förra uppdateringen:
  • s04
    • Inget nytt.