Веб-безопасность

Методы аутентификации в информационной безопасности

от

«Переход на многофакторную аутентификацию, это не просто добавление шага входа. Это смена парадигмы: от веры в секретность данных к доказательству легитимности субъекта через контролируемые им независимые каналы. В России этот выбор предопределён не удобством, а жёсткими требованиями регуляторов, которые напрямую связывают метод аутентификации с юридической ответственностью за возможные инциденты». Три столпа доказательства личности Любой механизм … Читать далее

Автозаполнение паролей как скрытый вектор для перехвата сессий

от

“Автозаполнение паролей, это не просто удобство, а архитектурный компромисс, который передаёт контроль над аутентификацией браузеру, а не приложению. Большинство разработчиков не задумываются, что эта функция по умолчанию открывает векторы для перехвата сессий, которые не описаны в OWASP Top 10, но активно используются в реальных атаках.” Как устроено автозаполнение паролей Когда вы впервые вводите логин и … Читать далее

Надёжное хранилище журналов аудита

от

» В распределённой инфраструктуре логи генерируются непрерывно, но их жизненный цикл часто противоречит регуляторным требованиям. Автоматическая ротация каждые две недели может уничтожать данные, которые по закону должны храниться минимум полгода. Потеря логов при аппаратном сбое делает невозможным восстановление картины инцидента, что прямо нарушает требования 152-ФЗ о сохранности доказательной базы. Проблема не в объёме данных, а … Читать далее

Стоимость 0-day: легальные программы против чёрного рынка

от

Цена 0-day уязвимости определяется не только её сложностью или потенциальными последствиями эксплуатации, но и тем, кто именно готов заплатить и с какой целью. Деньги платятся либо за обнаружение (чтобы быстро устранить риск), либо за возможность использовать уязвимость для своих интересов. На чёрном рынке конечная сумма — баланс между спросом и готовностью нарушить закон. Что такое … Читать далее