Kodsnack 41 - Genuint sur, riktigt trött och lite ärlig
2014-03-07 18:04Peter Magnusson från bland annat Säkerhetspodcasten gästar oss och snackar Apples gotofail-äventyr, SSL, verktyg som kan hjälpa en att hitta oanvänd eller osäker kod och mycket mer.
Länkar
- goto fail; - testsida som visar om du har buggen
- sslKeyExchange.c i libsecurityssl - platsen där buggen finns eller fanns
- if-satser
- goto
- Detaljer kring buggen
- RSA-kryptering
- Apples uppgradering av iOS
- 10.9.2 av OS X
- Buffer overflow
- SQL injection
- NSA
- Edward Snowden
- Lintverktyg - analyser av källkod som rekommenderar bra sätt att skriva kod
- LLVM/Clang - Apples kompilatorinfrastruktur
- Att få LLVM/Clang att varna för död kod
- Microsofts _NSAKEY
- [@blaufish_]((https://www.twitter.com/blaufish_)
- Peter Magnusson på Wordpress
- Intrångstestning
- Säkerhetspodcasten
- Säkerhetspodcasten på Twitter
- Kodsnack 38 - om bland annat Maven
- Venndiagram
- Unit tests - enhetstester - små tester av små delar kod
- Happy path
- Haskell Quickcheck genererar tester
- Rena funktioner - pure functions
- Enhetstestgenerator för Visual studio
- RFC 5246 - om TLS
- ssllabs.com
- How’s my SSL?
- BEAST-sårbarheten
- Nattliga byggen av Webkit
- Blink - Googles egen gren av webkitprojektet
- Is it safe to mosh? - presentation om mosh
- Mosh, the mobile shell - ett alternativ till SSH
- FTP-protokollet och hur det gör med brandväggar
- FTP och kryptering
- Passivt läge i FTP
- ARPANET
- Computer security archive project - fullmatat med historia
- Säkerhetsutvärdering av Multics, från 1974
- Lösenord borde avvecklas, redan 1972
- Värdnamnsverifiering i SSL - slå inte av! Effekten är densamam som med gotofail-buggen
- DigiNotar - certifikatsutgivare som fick slå igen 2011 på grund av säkerhetshål
- Comodo - certifikatsföretag
- Digicert Sdn - malajsisk certifikatsutgivare
- Bitcoin
- Mt:gox - japansk bitcoinväxlare som fick stänga efter att stora summor stulits
- PGP - Pretty good privacy, mjukvara för kryptering
- Web of trust
- DNSSEC - specifikationer för att höja säkerheten i DNS-systemen
- Convergence för SSL och webbläsarplugin för Firefox för att se certifikat och dess ändringar
- PKI - public key infrastructure
- Ludd - Luleå academic computer society
- Interplanetary internet, och dess möjliga arkitektur
- UDP - user datagram protocol
- OWASP - open web application security project
- OWASP dependency check
- Retire.js
- Auditing
- Farorna med printf med %n
- Lint för C
- Splint - säkerhetsorienterat lintverktyg
- Find security bugs för Java
- PL/SQL - Oracles SQL-dialekt