biztonságos szoftverek

Üdv

Ülök éppen egy órán, projektmunka leadás van, nézem az évfolyamtársak leadott kódjait. Van pár egész jó darab, de a biztonságról senki sem hallott eddig.

Amikor az SZTE-s Drupal kurzuson előadtam, volt egy hosszabb prezentációm a bizonságról, végig követve a web alkalmazásokat érintő leggyakoribb támadási felületeket (SQL injection, XSS, CSRF főként). A hallgatóság nagy részének szinte csak újdonságokat mondtam.

Megkérdeztem az oktatót, hogy miért marad ki az egyetemi képzésből a biztonságtechnika, és azt mondta, hogy nem fér bele :(

Azt értem én, hogy az egyetem elsősorban elméleti képzés, de a végzettek nagy része nem kutató lesz, hanem ők szoftvereket fognak írni. Olyanokat is, amiket én használni fogok, vagy valamilyen szinten függök tőlük. Ezeken pedig sok olyan ember is fog dolgozni, akiknek fogalmuk nincsen arról, hogyan kell törekedni arra, hogy egy szoftver biztonságosnak legyen. Ez szomorú.

( muczy v | 2009. 12. 02., sze – 09:46 )

Üdvözöllek a SZTE-n! Mondjuk nem tudom máshol hogy van, de itt elég sok felesleges dolgot tanítanak (inkább úgy mondom, hogy adnak le), és elég sok hasznos dologra nem fordítanak figyelmet. Pl. szoftver tesztelés, vagy gyakorlatban végzett munka, vagy legalább gyakorlat közeli feladatok.

( aaron v | 2009. 12. 02., sze – 09:53 )

Nálunk a BME-n szoftver labor 5-ből minden webes cuccnál explicit követelmény volt a "törhetetlenség", ilyenek, hogy triviális SQL injectionnel ne lehessen megtörni és semmiféle markup-ot ne varázsolhasson pluszban a user az interfészre. Ha jövőre is mérésvezető leszek a tárgyból, akkor felajánlom, hogy a leggyorsabban ötösre végző hallgató a php mérésen kap egy cracking drupal könyvet :D

( yoursoft | 2009. 12. 02., sze – 10:47 )

Végre valaki aki ért hozzá!

Az előadásod anyaga meg van valahol?
XSS szűrésre elegendő, ha pl. kiszűröm a '<'-tagot? vagy átkonvertálom html kóddá megjelenítéskor?

( uid_4263 v | 2009. 12. 02., sze – 11:26 )

Nálunk (SZE) van egy Szoftver minőségbiztosítás meg egy szabad 2 kredites Minőség és megbízhatóság tárgyunk. De az a gond hogy szerintem csupa általánosság lesz benne.

********************
"Aki nem backupol az tehetsegtelen :-)"
"...ha nem tévedek!" (Sam Hawkins)
http://holo-media.hu