P

odczas słuchania Rozmowy Kontrolowanej z udziałem Michała Purzyńskiego padło narzędzie Observatory od Mozilli. Okazuje się, że w jednym miejscu jesteśmy w stanie sprawdzić konfigurację kilku mechanizmów bezpieczeństwa naszej strony. Od nagłówków HTTP (w tym szczególnie ustawień polityki CSP) poprzez konfigurację TLS, a na opcjonalnych testach dla SSH kończąc. Dodatkowo jeśli interesuje nas wygenerowanie bezpiecznych konfiguracji dla najpopularniejszych serwerów możemy wykorzystać narzędzie Mozilla SSL Configuration Generator.

Więcej informacji: Konfiguracja nagłówków bezpieczeństwa na A+, HTTP Strict Transport Security – wymuszamy SSL na przeglądarkach, Konfiguracja SSL dla Apache na 5+, Konfiguracja SSL dla nginx na 5+, Audytujemy algorytmy szyfrowania SSH

pwgen -sy 30
date +%s | sha256sum | base64 | head -c 30 ; echo
strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 30 | tr -d '\n'; echo
< /dev/urandom tr -dc _A-Z-a-z-0-9 | head -c${1:-30}; echo;
gpg --gen-random --armor 1 30
openssl rand -base64 30

darkstar:~ $ openssl rand -base64 48
TIsXtvV8GYVwLfmu/3QBSgjtYkMt0igSnptSutQaPzBPj5mG5hScYduUlvF7bEQv
darkstar:~ $ openssl rand -base64 8
g3hWwwomLIY=

P

rogram crunch jest generatorem słowników, który umożliwia określenie standardowego lub nie, zestawu znaków na podstawie, którego może zostać stworzony plik zawierający wszystkie możliwe kombinacje i permutacje znaków wchodzących w dany zestaw. Możemy bez problemu podzielić nasze generowane słowniki na podstawie ilości linii lub wielkości pliku, czy wznowić ich tworzenie od momentu przerwania procesu. Jednym słowem – daje on nam możliwość stworzenia spersonalizowanych i dopasowanych do charakterystyki haseł zestawów do ich testowania.
[ czytaj całość… ]

S

pew jest małym programikiem autora serwera varnish – Krystian’a Lyngstøl’a. Wykorzystuje on metodę epoll otwierając N połączeń do serwera i wysyłając M żądań przez każde połączenie. Po zakończeniu zadanej ilości żądań połączenie jest ponownie otwierane i cały proces przetwarza się od nowa. Swoją szybkość zawdzięcza braku mechanizmu analizy wygenerowanego ruchu (w tym celu musimy posiłkować się analizatorami logów testowanych serwerów).
[ czytaj całość… ]

C

zasami zachodzi potrzeba założenia określonej ilości kont dla użytkowników oraz ustawienia im haseł. W tym momencie może przydać się prosty generator haseł obsługiwany z linii poleceń. Może to być na przykład prosta funkcja napisana w powłoce bash (nano ~/.bashrc):
[ czytaj całość… ]

I

mię domowego zwierzaka i bieżący rok to najczęściej wykorzystywany schemat haseł. Jednak, gdy hasło jest tak silne, że nie można go wykryć typowymi metodami, istnieje groźba, że zostanie ono podsłuchane. Nie chodzi o przysłuchiwanie się osobom mamroczącym podczas pisania, lecz o podsłuchiwanie klawiatury przez programy uruchomione w Windows.
[ czytaj całość… ]

H

asła są pierwszą linią obrony przeciwko interaktywnym atakom na nasz system. Bez bezpiecznych haseł nie ma mowy o bezpiecznym systemie. Nawet posiadając kilkanaście systemów zabezpieczeń, lecz których hasła można łatwo złamać – będziemy bardziej podatni na atak niż system posiadający tych zabezpieczeń znacznie mniej, lecz zabezpieczonych mocnymi hasłami autoryzacji. Aby hasła używane w naszym systemie były bezpieczne, powinniśmy wdrożyć podwójny system ich ochrony. Na początku powinniśmy przeszkolić użytkowników i wymusić na nich przestrzeganie podstawowych reguł dotyczących bezpieczeństwa systemu haseł (patrz artykuł “Wstęp do bezpieczeństwa lokalnego” punkt o hasłach).
[ czytaj całość… ]