Un progetto molto interessante sul tema: data validation

Il progetto è raggiungibile all’ url:
http://www.owasp.org/index.php/Category:OWASP_Content_Validation_using_Java_Annotations_Project_-_SHIP_Validator_0.3_Release_-_Assessment

La Dependency Injection è in stato draft nella Java Community Process Programm. Progettare, implementare codice tramite IoC (Inversion of Control) si differenzia dalla programmazione classica perché

tramite DI si descrive il codice, non lo si scrive.

Questa è la differenza sostanziale. Per esempio, utilizzando il framework Spring basta la lettura del file di configurazione per avere in mano il disegno dell’architettura del codice. Anche Google si è accorta da tempo dell’ importanza della DI dando vita a guice [http://code.google.com/p/google-guice/].

Adesso JCP sta seriamente pensando di validare tale soluzione all’interno della JDK: JSR 330

Ecco qui i prodotti della Sun Microsystem per l’ Identity &  Access Management

import org.owasp.esapi.codecs.*;
HTMLEntityCodec htmlEntityCodec = new HTMLEntityCodec();

htmlEntityCodec.decode(); // before storing
htmlEntityCodec.encode(); // before rendering

http://ascii.cl/

Utilizzare l’encoding HTML risolve qualsiasi tipo di problematica legata alla visualizzazione di caratteri particolari (quindi fuori dal range 0-127) che sono rappresentati diversamente nei vari Charset: l’utilizzo del HTML Encoding diventa un metalinguaggio che astrae la rappresentazione dell’ informazione.

ISO-8859-1     <—->    UTF-8    potrebbero verficarsi problemi

ISO-8859-1     <—->  HTML Encoding  <—-> UTF-8    resolved!

Questa tematica ha dato la vita ad un acerbo progetto nella comunità OWASP per imparare a conoscere i Charset:

learn about encoding

http://www.corej2eepatterns.com/Patterns2ndEd/index.htm

A questo link è possibile osservare come recuperare il MAC address della macchina del client tramite una semplice applet che sfrutta le novità di Java 6.

Se vuoi sapere se Conficker ha catturato il tuo Pc clicca qui

Seguendo la newsletter di OWASP emergono altri importanti add-ons.

Foxy Proxy (install)

Add N Edit Cookies (install)

Live HTTP headers (install)

HackBar (install)

Modify Headers (install)

UrlParams (install)

TestGen4Web (install)

DOM Inspector (install)

InspectThis (install)

CookiePie (install)

Web Developer (install)

POW — Plain Old Webserver (install)

Server Switcher (install)

RefControl (install)

refspoof (install)

No-Referer (install)

Greasemonkey Version (install)

NoScript (install)

FormFox (install)

Header Spy (install)

JSView (install)

SQL Injection (install)

Un ringraziamento particolare a Matt Tesauro e Adam Muntner.

L’obbiettivo e’ quello di avere un os pronto per l’uso, senza dover compilare/ottimizzare/customizzare.  OS scelto: Fedora 10.

Il problema dell’asus eee 701 e’  la limitata capacita’ del SSD: 4GB non ampliabili se non agendo direttamente sulla motherboard. L’esecuzione degli aggiornamenti del sistema operativo limitano ulteriormente lo spazio disponibile. Asus infatti avvertiva in merito a questo problema. Al contrario asus eee 901 ha la possibilità di cambiare il SSD.

Poco male, il problema puo’ essere aggirando in questo modo:

Sono necessari

1 – scheda sdhc capiente: i.e. 16GB

2 – chiavetta USB: almeno 1GB

3 – connessione Internet

Adesso e’ semplicemente necessario scaricare Fedora 10 (live CD), installarla sulla chiave USB.

Inserire la chiavetta nell’asus eee 701 –> power on –> press ESC –> choose USB

Seguire l’installazione e installare Fedora 10 sull SSD dell’asus (sda). In questo modo viene installato GRUB sul SSD. (Se non avete la necessita’ di avere su SSD dell’ eee Fedora 10 installata – che potrebbe servire in caso di necessita’ – allora e’ necessario installare solo GRUB)

A questo punto spegnere l’eee 701 come indicato dalla procedura di installazione. Lasciate inserita la chiavetta USB e inserire la scheda sdhc nello slot apposito.

eee 701 –> power on –> press ESC –> choose USB

Seguire l’installazione e installare Fedora 10 sulla sdhc dell’asus (sdb)

Adesso abbiamo installato Fedora 10 sia su sda che sdb. All’accensione l’eee eseguira’ il boot da sda: il nostro scopo e’ quello di utlizzare l’ sdb e per fare questo e’ necessario premere ESC ad ogni avvio dell’asus!

Soluzione: editare GRUB del sda affinche legga il boot del sdb –> in questo modo all’avvio l’asus carichera’  Fedora 10 dal sdb. Per evitare di estrarre involontariamente la sdhc ho bloccato la scheda con del nastro trasparente di 10 cm.

N.B. GRUB vede sdb come (hd1,0)

Riporto il file menu.lst

default=1 # default Fedora SDHC

title Fedora SSD (2.6.27.21-170.2.56.fc10.i686)
root (hd0,0)
kernel /vmlinuz-2.6.27.21-170.2.56.fc10.i686 ro root=UUID=642dc2b7-be08-4d4e-921b-c3916a96a7d9 rhgb quiet
initrd /initrd-2.6.27.21-170.2.56.fc10.i686.img
title Fedora SDHC (2.6.27.19-170.2.35.fc10.i686)
root (hd1,0)
kernel /vmlinuz-2.6.27.19-170.2.35.fc10.i686 ro root=UUID=642dc2b7-be08-4d4e-921b-c3916a96a7d9 rhgb quiet
initrd /initrd-2.6.27.19-170.2.35.fc10.i686.img

E’ stato rilasciato un documento a dir poco magnifico: SAMM v1.0 [http://www.opensamm.org]

E’ doverosa la lettura di questo documento che raccoglie le best practise e l’esperienza di professionisti: nasce un modello maturo per costruire sicurezza intorno allo sviluppo del software:

“A guide to building security into software development”

e scrivere, di conseguenza, software sicuro.

Lo studio è fatto in 4 marco aree: Governance, Construction, Validation, Deployment.

Buona lettura.