NFsec Logo

Time of check to time of use

29/05/2016 w Ataki Internetowe Brak komentarzy.

W

rozwoju oprogramowania termin time of check to time of use (TOCTTOU lub TOCTOU) jest klasą błędów typu race conditions spowodowanych zmianami w systemie, które występują pomiędzy czynnościami: sprawdzeniem warunku (np. poświadczeniem bezpieczeństwa), a wykorzystaniem wyników tego sprawdzenia. Przykład: wyobraźmy sobie aplikację webową, która pozwala użytkownikom na edycję wybranych stron oraz administratorom na blokowanie takich modyfikacji. Użytkownik wysyła żądanie do aplikacji o edycję strony i otrzymuje formularz umożliwiający mu przeprowadzenie tej operacji. Po edycji treści, ale przed wysłaniem formularza do aplikacji przez użytkownika – administrator blokuje stronę, co powinno zapobiec jej edycji. Ze względu na fakt, że proces edycji już się zaczął, gdy użytkownik wyślę zawartość formularza (razem z zmienioną treścią) to zostanie ona zaakceptowania. Dlaczego? Gdy użytkownik rozpoczął edycję aplikacja sprawdziła jego uprawnienia i rzeczywiście mógł edytować stronę. Zezwolenie zostało cofnięte później, już po sprawdzeniu autoryzacji dlatego modyfikacje zostały dopuszczone.
[ czytaj całość… ]

Partycja /tmp dzięki tmpfs

07/06/2009 w Administracja Brak komentarzy.

T

mpfs jest systemem plików, który przechowuje wszystkie pliki w pamięci wirtualnej – oznacza to, że wszystkie pliki umieszczone na partycji wykorzystującej ten system plików nie zostaną nigdy stworzone na naszym dysku twardym. Został on zaimplementowany od jądra w wersji 2.4 – a, jego wsparcie możemy włączyć w menu „File systems”, sekcji „Pseudo filesystems”, opcja „Virtual memory file system support (former shm fs)”. Szczerze mówiąc, dobrze jest posiadać wsparcie tmpfs niezależnie od tego czy będziemy z niego korzystać czy nie, ponieważ jest on niezbędny do wykorzystania współdzielonej pamięci przez oprogramowanie, zgodnie ze standardem POSIX (ang. Portable Operating System Interface). W tym celu należy zamontować tmpfs w jego „oficjalnym” punkcie montowania, czyli /dev/shm:
[ czytaj całość… ]