Ekspanzija Interneta ne prestaje – i to je opšte poznata činjenica koja više nikoga ne iznenađuje. Kao da se svakog dana pojavi poneka nova tehnologija, novi koncept, unapređenje, ili se prosto nešto mrdne, tek toliko da nije isto kao što je bilo juče. Tu, dakle, sve po starom.
Ono što je novo, i dobro, i vrlo pohvalno je što taj trend hvata zalet i kod nas. Proći će dosta vremena pre nego što prosečan stanovnik Srbije bude umeo da pronađe vreme polaska željenog autobusa na autobuskoj stanici, ili otvori sajt Telekoma radije nego što će okrenuti 98… 98.. 8?, ali stvari definitivno idu nabolje.
Za korisnike.
Za web developere, stvari stoje nešto drugačije. Oni sa tom ekspanzijom dobijaju još poneku glavobolju. Svaki novi čitač je još jedan ćošak za testiranje u koji treba zaviriti, još kompatibilnosti koju treba zadovoljiti, i još ponešto.. A ono o čemu se još ređe misli je bezbednost.
Jednodnevna(poludnevna) obuka “Hands on Web hacking” je oformljena sa težnjom da skrene pažnju upravo na taj, često zanemaren, segment razvoja Interneta. U IT industriji, bezbednost predstavlja zasebnu granu, i bukvalno način života, tako da bezbednost web sajtova i aplikacija nije izuzetak. Cilj obuke je bio da web developere bukvalno osvesti o načinima na koji njihovo delo može biti ugroženo, korišćenjem jednostavnih i očiglednih metoda (da parafraziram predavača, “Toliko jednostavne stvari, a većina Web developera ne zna da one postoje”), više nego da se dotakne svakog mogućeg načina eksploatacije propusta na sajtu – tako nešto bi tražilo mnogo više vremena, a pitanje je i da li je izvodljivo.
Imajući u vidu gore navedeno, obuka nikako nije namenjena početnicima. U preduslovima za pohađanje obuke stoji samo poznavanje osnova funkcionisanja HTTP protokola, ali je to vrlo optimistična procena. Premda se opredavač Ivan Marković(http://security-net.biz) strpljivo vraćao na pojedine termine i koncepte, nije bilo zadržavanja niti detaljisanja, što mu se, imajući u vidu opširnost teme, ne može ni zameriti. Ciljna grupa kursa je web developer sa pređašnjim iskustvom, i bar nekoliko projekata iza sebe. Nije začuđujuće da se takva grupa i formirala na kursu – iako pomalo neobičan osećaj za moju malenkost.
Sam kurs prati OWASP “Webgoat” platformu – OpenSource sistem sa demonstracijama najčešćih greški i “rupa” u realizaciji sajtova. Oni koji nisu bili upoznati ranije, upoznali su se sa nekim metodama prikupljanja informacija i eksploatisanja propusta aplikacija. Prosto zapanjuje i zabrinjava direktnost i jednostavnost tehnika kojima se probija sajt, odnosno, dobijaju podaci koji ne bi trebalo da su dostupni, pristupa zaštićenim delovima sajta, zaobilaze provere, i sve uz pomoć malog broja široko dostupnih alatki. Iako su demonstracije vršene na unapred pripremljenom sistemu, vrlo je očigledno kako se na isti način može pristupiti i produkcionom sajtu – i to je upravo i bio cilj obuke, jako dobro pogođen: razbuditi i pokazati novi ugao posmatranja i pristupa kodiranju. Kroz samostalno isprobavanje različitih metoda, polaznici su imali prilike da steknu osećaj na koja ključna mesta treba obratiti pažnju prilikom planiranja i razvoja aplikacije.
Povremena pitanja koja su postavljana, i primeri iz širokog iskustva predavača su bili usmereni na konkretne situacije, probleme i rešenja. Interesantno je bilo videti da na predviđenim pauzama između blokova niko od prisutnih nije ustajao od svoje radne mašine. Čak i tako, predviđeno vreme (6 sati) nije bilo dovoljno da se pokriju sve metode koje sam Webgoat nudi.
Posle dva dana, i malo sleganja svega, imam osećaj da bi jedna tako ambiciozna (i potrebna, dodao bih) obuka zahtevala barem još jedan dan rada. Materijala svakako ima, tema je obimna, web developera ima dosta, i svaki unosi svoj način rada i razmišljanja u priču. Internet na ovim prostorima se razvija i tek će se razvijati, i u tom pogledu treba pomoći svima da to iskustvo bude najbolje i najbezbednije što može. “Hands on Web hacking” osvetljava stvari iz ugla iz kojeg se ne gleda dovoljno često, i to je za svaku pohvalu.
Zahvalio bih se firmi Network Security Solutions i Ivanu Markoviću što su omogućili da prisustvujem obuci
Tags: bezbednost, otvoreni kod
Autor: Vladimir Trkulja
Pretraga
RSS / Newsletter / Social
Uživo
Archives
- April 2010
- Mart 2010
- Februar 2010
- Januar 2010
- Decembar 2009
- Novembar 2009
- Oktobar 2009
- Septembar 2009
- Avgust 2009
- Jul 2009
- Jun 2009
- Maj 2009
- April 2009
- Mart 2009
- Februar 2009
- Januar 2009
- Decembar 2008
- Novembar 2008
- Oktobar 2008
- Septembar 2008
- Avgust 2008
- Jul 2008
- Jun 2008
- Maj 2008
- April 2008
- Mart 2008
- Januar 2008
- Decembar 2007
Tagblak
Najnoviji komentari
- Ivan Cosic on Odličan 5 – prezentacija novog Adobe CS5 paketa
- Vukašin Stojkov on Kada se utisci slegnu: E-trgovina 2010
- Kada se utisci slegnu: E-trgovina 2010 | ITdogadjaji.com on Glocal09 – Inside Social Media
- Ivan Cosic on Odličan 5 – prezentacija novog Adobe CS5 paketa
- Vukašin Stojkov on Odličan 5 – prezentacija novog Adobe CS5 paketa
- IT OpenDays 2010 – IT šansa srednjoškolcima | biZbuZZ – IT Seminar on Miloš Jovanović – Elektronski dnevnik
- Vladimir Trkulja on Da li velike firme koriste nove medije? U Srbiji, ne.
@itdogadjaji
FRIŠKA KOMENTARI
400+ najavljenih dogadjaja
RSS feed for comments on this post · TrackBack URI
Postavi komentar