Слайды и видео моего выступления на PHDays-III
28.05.2013
|
kochetkov.vladimir |
Слайды, русская версия: http://www.slideshare.net/kochetkov.vladimir/hdswasm-russianproofreaded
Слайды, английская версия: comming soon
Видео: http://broadcast.comdi.com/broadcast/player/stream/?streamKey=spetz7gtsp46jy0mr73y (воркошоп начался в 14:22, необходимо промотать до этого момента). К сожалению, по ссылке наглядный пример того, что нельзя практически не спать около трех суток, а потом просто так взять и провести воркшоп =/ Количество фейлов, заминок и проблем с речью зашкаливает, а в конце из-за технической задержки в начале, не успел рассказать про SDL в конце. Поэтому в планах работа над ошибками и повторное проведение воркшопа в формате вебинара или вебкаста, где-то ближе к концу лета.
Слайды, английская версия: comming soon
Видео: http://broadcast.comdi.com/broadcast/player/stream/?streamKey=spetz7gtsp46jy0mr73y (воркошоп начался в 14:22, необходимо промотать до этого момента). К сожалению, по ссылке наглядный пример того, что нельзя практически не спать около трех суток, а потом просто так взять и провести воркшоп =/ Количество фейлов, заминок и проблем с речью зашкаливает, а в конце из-за технической задержки в начале, не успел рассказать про SDL в конце. Поэтому в планах работа над ошибками и повторное проведение воркшопа в формате вебинара или вебкаста, где-то ближе к концу лета.
... << RSDN@Home 1.2.0 alpha 5 rev. 72>>
28.05.2013 7 комментариев |
k> Поэтому в планах работа над ошибками и повторное проведение воркшопа в формате вебинара или вебкаста, где-то ближе к концу лета.
К сожалению, видео оборвалось в самом начале и пока не доступно. Но из того, что успел посмотреть, возник вопрос по поводу символа "%" при передаче в качестве параметра в sql запросе — я не совсем понял, что имелось ввиду? Ведь он же экранируется и не позволит сделать LIKE-выборку. Или имелось ввиду что-то другое?
AB>К сожалению, видео оборвалось в самом начале и пока не доступно. Но из того, что успел посмотреть, возник вопрос по поводу символа "%" при передаче в качестве параметра в sql запросе — я не совсем понял, что имелось ввиду? Ведь он же экранируется и не позволит сделать LIKE-выборку. Или имелось ввиду что-то другое?
Там вообще нет экранирования (кроме последнего примера на 8-ом слайде). Параметризация запросов дает гарантию того, что значение каждого параметра будет являться одним токеном в дереве разбора запроса. И ничего больше. Семантику значения (например, wildcard-символы оператора LIKE) параметризация никак не затрагивает.
KV>по ссылке наглядный пример того, что нельзя практически не спать около трех суток, а потом просто так взять и провести воркшоп =/
Как это замечательно звучит на фоне названия темы доклада (Гандапас не одобряэ, кстати).
Слушай, что за источники брал по темам weird machine и защищенная МТ? Честно говоря, про такие теоретические модели первый раз слышу — интересно...
P.S. Как у вас неудобно по датам расположено PHDDays — я каждый раз выбираю IT & Security в Казани
P.P.S. Ты в следующий раз еще сделай на тему security requirements engeneering — про это безопасники знают, наверное, еще меньше, чем разработчики про SDL... А тут эта тема технично обходится (точнее принимается как что-то само-собой разумеющееся).
DOO>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>по ссылке наглядный пример того, что нельзя практически не спать около трех суток, а потом просто так взять и провести воркшоп =/
DOO>Как это замечательно звучит на фоне названия темы доклада (Гандапас не одобряэ, кстати).
Гандапасу видимо не приходилось быть организатором той конференции, в которой ему предстояло участвовать
DOO>Слушай, что за источники брал по темам weird machine и защищенная МТ? Честно говоря, про такие теоретические модели первый раз слышу — интересно...
Там в основе лежит моя же работа, которую планирую опубликовать где-то к концу этого года. Но аналогичные модели также рассматривались в "Modeling Computer Insecurity" (http://nob.cs.ucdavis.edu/bishop/notes/2008-cse-14/2008-cse-14.pdf — ссылка есть в презентации) и в HRU (http://en.wikipedia.org/wiki/HRU_(security))
DOO>P.P.S. Ты в следующий раз еще сделай на тему security requirements engeneering — про это безопасники знают, наверное, еще меньше, чем разработчики про SDL...
Следующий доклад будет про offensive (у меня тут строгое чередование подходов )
DOO>А тут эта тема технично обходится (точнее принимается как что-то само-собой разумеющееся).
Дык. Если ее не обойти, я бы не только SDL не успел рассказать)
KV>Там в основе лежит моя же работа, которую планирую опубликовать где-то к концу этого года. Но аналогичные модели также рассматривались в "Modeling Computer Insecurity" (http://nob.cs.ucdavis.edu/bishop/notes/2008-cse-14/2008-cse-14.pdf — ссылка есть в презентации) и в HRU (http://en.wikipedia.org/wiki/HRU_(security))
Спасибо, почитаем... Хотя причем тут HRU не совсем понял.
KV>в планах работа над ошибками и повторное проведение воркшопа в формате вебинара или вебкаста, где-то ближе к концу лета.
Работа над ошибками проведена, вебинар запланирован на 27.06.2013 14:00 http://ptsecurity.ru/lab/webinars/
UPD: По техническим причинам, вебинар перенесен на 04.07.2013
Немного оффтоп: если бы можно было убрать/минимизировать этот левый банд — было бы круто. А то уменьшаешь окошко, а происходит это за счёт урезания видео-плеера, банд не ресайзится никак (не говоря уж о том, что наполнение банда контентом вообще мизерное, и "социалочки" нужны не всем).