Безопасность веб-приложений: борьба с самим собой, или проводим черту адекватности

[malinichev]

Спасибо, было интересно почитать

[Twost]

спасибо за статью!
и спасибо, что есть такие мнения, из-за них у нас (пентестеров) всегда будут простые и быстрые проекты.

p.s. сколько раз проникали во внутрянку через сервисы для обмена фотографиями котиков и сосчитать трудно)

p.p.s автор видимо хотел написать статью про оценку рисков, но риски всегда идут бок-о-бок с концепцией безопасности в целом. И заниженные риски должны быть оправданы, обоснованы. И не нужно решать за пользователя важна ли для него фотография котика или её можно отдать хакеру.

[Perlovich]

и спасибо, что есть такие мнения, из-за них у нас (пентестеров) всегда будут простые и быстрые проекты.

Какие именно мнения? Что необходимо вести в проекте четко прописанную политику относительно security решений? Что все security механизмы нужно подвергать тестированию, как и обычную бизнес-логику? Что не нужно без необходимости городить монстроузные слои, которые дублируют друг друга и которые сложно понимать и поддерживать?

Рискну предположить, что Вы увидели в статье не совсем то, что я хотел донести.

[PavelMSTU]

Статья ниочем… Автор прости за жестокую критику.
Про UEBA в безопасности — ни слова; про Cross Browser Fingerprint — ни слова; Phishing Detection… DGA, OWASP…

Выводы — капитан очевидность

Это — занёс в цитаты:

Согласно этим рекомендациям, если посетитель сайта прошел через 33 шага аутентификации и допустил опечатку в одном из полей, лучшим security решением будет написать нейтральное сообщение: «Извините, что-то пошло не так. Попробуйте, пожалуйста, еще раз».

[psycho-coder]

Согласно этим рекомендациям, если посетитель сайта прошел через 33 шага аутентификации и допустил опечатку в одном из полей, лучшим security решением будет написать нейтральное сообщение: «Извините, что-то пошло не так. Попробуйте, пожалуйста, еще раз».

И потерять еще одного пользователя…