Om sikkerhet

Sverres skriverier om informasjonssikkerhet

Publisert

Client-side Trojans, eller: Hvordan stjele penger ved å sende en mail

Juni 2002. Om hvor lett man kan lure noen til å utføre en webhandling de ikke ønsker, og hvordan utviklere kan programmere for å unngå lureriet. En sønderklippet versjon ble publisert i Computerworld 49, august 2002.

Websikkerhet: Mer enn brannmur og kryptering

Juni 2001. Om forskjell på infrastruktursikkerhet og applikasjonssikkerhet, og om problemer som kan oppstå hvis utviklere tror sikkerhet er noe driftsgutta håndterer alene. Fokus på "SQL Injection". Publisert i Computerworld 47, juni 2001.

Internet Hygiene: Securing Your Windows PC

December 2000. Advice on how one should protect a PC from the threats lurking on the Internet. Published on SecurityPortal.com February 1, 2001.

Personlig Internet-hygiene

Desember 2000. Tips og råd om hvordan man bør beskytte PC'en sin mot farene som truer på Nettet. Publisert i PC World Norge nr. 2 2001.

Uforutsett krysning gir ny kunstig livsform

Januar 2001. Et eventyr fra virkeligheten om hvordan en orm uten å vite om det hjelper et virus fra maskin til maskin. Publisert i Computerworld 4, 19. januar 2001.

Så enkelt er det å lage et sikkerhetshull

August 2000. Om trivielt sikkerhetshull i Lærerlagets webtjeneste. Publisert i Computerworld 58, august 2000.

Upublisert

PKI: Drømmen som brast?

Mars 2001. Om VeriSigns generaltabbe, og hvorfor PKI kanskje egentlig ikke er så kult allikevel.

Love Letter Worm: Vi ha'kke lært en dritt.

Mai 2000. Vil vi klare oss bedre neste gang verden ser en Melissa- eller ILOVEYOU-liknende orm?

Mailtips

Månedens tips: Skru av scripting i Outlook

Januar 2001. Hvordan sørge for at Outlook ikke hjelper "moderne" ormer inn i maskinen din.

Smartere mailvirus

November 2000. Om mailormer som kjøres uten at brukeren åpner vedlegg.

Web Application Security

Common Security Problems in the Code of Dynamic Web Applications

June 2005. The majority of occurring software security holes in web applications may be sorted into just two categories: Failure to deal with metacharacters, and authorization problems due to giving too much trust in input. This article gives several examples from both categories, and then adds some from other categories as well.

Incompatible Parameter Parsing

April 2005. On attacks that may be possible if different parts of an application use incompatible methods when extracting incoming parameters.

Using Binary Search with SQL Injection

August 2003. On extracting secrets using binary search through scripts vulnerable to SQL Injection.

Why Clear Text Passwords are Bad, and How to Avoid Them

November 2001. Why it's a bad idea to store clear text passwords in a database.

Client Side Trojans

November 2001. How attackers may give their victims offers on behalf of a target web site and thereby tricking them into doing something they never intended to do.

Selected E-mails on Web Application Security

Why Escaping Quotes Will not Always Help

vuln-dev, May 2002. Thoughts on passing data to sub-systems and being ignorant.

On HTML Sanitizing on the Input Side

vuln-dev, March 2002. Thoughts on separating input validation and passing of data to sub-systems.

Splitting Input Validation and Meta Character Escaping

vuln-dev, March 2002. Why meta character handling is not the same as input validation.

Cross-site Scripting and Timing When Stealing Sessions

vuln-dev, January 2002. Examples on how timing may not be an issue when stealing session cookies with Cross-site Scripting.

On Client-side Trojans: Controlling MSIE Sessions from Outlook

webappsec, November 2001. How malicious mails with scripts, read using Outlook, may control an authenticated HTTPS session in Internet Explorer.