2 pitanja za Darka

 
Slika Velimir Radlovački
2 pitanja za Darka
napisao/la Velimir Radlovački - Saturday, 6. October 2012., 23:04
 
  1. Koliko se vodi računa o SQL injection sigurnosnim propustima prilikom pisanja kôda moodle-a, a naročito kôda moodle plugin-a koje može napisati i objaviti bilo ko? Primetio sam da se procesiranje SQL upita promenilo u verziji moodle 2.0. Da li postoji neka sigurnosna politika koju MORA da poštuje svaki developer koji želi da objavi svoj plugin?
  2. Da li ste testirali koliko je jednostavno ukrasti sesiju i/ili izvršiti različite XSS napade na moodle platformi? Primetio sam nove opcije Only http cookies i Regenerate session id during login. Da li ste razmišljali i o postavljanju https-only opcije?

Srdačan pozdrav,

Velimir Radlovački

 

Vidimo se 17. novembra namiguje

Slika Darko Miletić
Odgovor: 2 pitanja za Darka
napisao/la Darko Miletić - Friday, 12. October 2012., 20:54
 

Ovo su veoma interesantna pitanja i koliko vreme dozvoli pozabaviću se i njima u toku sesije.

Pozdrav

Slika Darko Miletić
Odgovor: 2 pitanja za Darka
napisao/la Darko Miletić - Saturday, 17. November 2012., 19:31
 

 

 

1.Koliko se vodi računa o SQL injection sigurnosnim propustima prilikom pisanja kôda moodle-a, a naročito kôda moodle plugin-a koje može napisati i objaviti bilo ko?

Kada se govori o samom kodu Moodle-a , centrala u Pertu veoma vodi računa o načinu na koji je kod napisan. Sam proces je izložen ovde i prilično je sveobuhvatan. http://docs.moodle.org/dev/Process

To naravno ne znači da nema grešaka ali je njihov broj unekoliko smanjen.

Primetio sam da se procesiranje SQL upita promenilo u verziji moodle 2.0.

Način se promenio i velika pažnja je posvećena tretiranju parametara upita. Ako se ispravno koristi nova biblioteka apsolutno onemogućava SQL injection.

Vredi proučiti sledeće dokumente http://docs.moodle.org/dev/Data_manipulation_API http://docs.moodle.org/dev/DB_layer_2.0_examples http://docs.moodle.org/dev/DB_layer_2.0_migration_docs  

Da li postoji neka sigurnosna politika koju MORA da poštuje svaki developer koji želi da objavi svoj plugin?

Nema moranja, postoje samo preporuke.

Svakom programeru se preporučuje da:  

2.Da li ste testirali koliko je jednostavno ukrasti sesiju i/ili izvršiti različite XSS napade na moodle platformi?

Moodle je relativno očišćen od mesta otvorenih za takve napade. Generalno ako strana očekuje ulazne parametre treba da ih filtrira. Ako se to ne radi to je već greška programera.

Na primer:

<?php
require 'config.php';

// Strana očekuje obavezne ulazne parametre aparam koji treba da bude neki broj i bparam koji može da bude samo tekst // Ovako se to filtrira
$aparam = required_param('aparam', PARAM_INT);
$bparam = required_param('bparam', PARAM_ALPHANUMEXT);

// Ako ima opcionih parametara onda se oni tretiraju ovako
$cparam = optional_param('cparam', 0, PARAM_BOOL);

Primetio sam nove opcije Only http cookies i Regenerate session id during logina

Ovo nisu nove opcije, postoje i u verziji 1.9. Veoma je poželjno koristiti ih jer značajno povećavaju sigurnost.

Da li ste razmišljali i o postavljanju https-only opcije?

O tome sam već govori na predavanju ali ukratko - da. Kad god je moguće treba koristiti https-only bez izuzetaka.