kochetkov.vladimir's blog

Слайды, русская версия: http://www.slideshare.net/kochetkov.vladimir/hdswasm-russianproofreaded
Слайды, английская версия: comming soon

Видео: http://broadcast.comdi.com/broadcast/player/stream/?streamKey=spetz7gtsp46jy0mr73y (воркошоп начался в 14:22, необходимо промотать до этого момента). К сожалению, по ссылке наглядный пример того, что нельзя практически не спать около трех суток, а потом просто так взять и провести воркшоп =/ Количество фейлов, заминок и проблем с речью зашкаливает, а в конце из-за технической задержки в начале, не успел рассказать про SDL в конце. Поэтому в планах работа над ошибками и повторное проведение воркшопа в формате вебинара или вебкаста, где-то ближе к концу лета.

Subj, http://securit13.libsyn.com/-23

Поболтали с парнями о развитии навыков анализа защищенности кода, обсудили распространенное заблуждение о защищенности opensource-проектов и проблему ее обеспечения, затронули использование в проектах сторонних фреймворков и библиотек, слегка прошлись по влиянию гибких методологий разработки на защищенность разрабатываемого кода.

Разумеется, без упоминания RSDN и Nemerle не обошлось

В процессе подготовки статьи на тему того, насколько бестолковым и несерьезным является проверка запросов в ASP.NET, в голову пришла идея набросать proof-of-concept того, как на самом деле оно должно быть реализовано, чтобы давать хоть какие-то гарантии защиты от отраженных XSS. В итоге, после пары вечеров кодинга и недели тестов с привлечением коллег, родилось вот это: https://github.com/kochetkov/Irv

Результаты по производительности и проценту false-позитивов обоих родов приятно удивили (ожидал, что будет еле ворочаться и пропускать некоторые замороченные векторы атак). Поиграть с демкой можно тут: http://irv.c2e.pw/Demo/

P.S: Как и почему это работает, а также почему это единственный адекватный способ, дающий гарантии защиты от отраженных XSS — расскажу в статье

В связи с переездом сайта на WebAPI и MVC4 возможны какие нибудь глюки. Если что заметите — пишите.