Category Archives: Security

Discover the OWASP Cheat Sheets for improving security in applications

OWASP has started building a library of cheat sheets, information that summarizes a lot of the knowledge around managing, reviewing, building and testing software and services.

No doubt you as a developer or the development organization you work with already know about OWASP, the top-10 list and coding guidelines. OWASP also provides the Cheat Sheet series, high value information on specific topics written by security professionals who have expertize in these topics.

Cheat Sheets for your QA and Requirements

The Web Application Security Testing Cheat Sheet, currently published as a draft, provides hints for QA on how to address initial high level security testing of a service. Among other things, it lists a number of injection attacks, and even if there of course are more it will give the tester the basis on how to set up a test plan. The  Authentication Cheat Sheet is great for helping a product manager or architect to find requirements on how to log in to the service.

References

[1] https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series
[2] https://www.owasp.org/index.php/Web_Application_Security_Testing_Cheat_Sheet
[3] https://www.owasp.org/index.php/Authentication_Cheat_Sheet

Rickard Schoultz
I work at Digital River World Payments at the Principal Architect, but all views are my own. I write about technologies related to payments, security, network infrastructure and information management.

Svårigheten med att inte dela med sig

Vad som avhandlas mellan dig och din doktor är något som stannar mellan doktorn, journalen och dig. Under besöket kanske du också ställer en fråga om något som oroar dig, eller om något besvär du har är ett symptom på något mer allvarligt. Din sjukdomsbild eller vad du oroar dig för angår förstås ingen annan än dig och din läkare eller sjuksköterska. När mottagningen flyttat ut på nätet så gäller förstås samma principer. Här har 1177.se ett problem.

1177.se beskriver sig själva som:

“1177 Vårdguiden är hela Sveriges samlingsplats för information och tjänster inom hälsa och vård. […] Bakom 1177 Vårdguiden står den svenska sjukvården genom alla landsting och regioner i samverkan.”

1177.se använder sig av minst en extern spårningstjänst, troligen för att personalen på vårdguiden enkelt ska kunna se besöksstatistik. Men, när en webbsida använder en extern tjänst, om så bara för att hämta en bild, så är det underlag för extern spårning.

1177 screenshot

Beroende på vilken tjänst man använder så ges olika möjligheter till vidareförädling  för den som spårar. Bland dessa finns bättre träff på fokusgrupp för reklam, att hitta trender, men även att paketera och att raffinera informationen sökorden till en mer eller mindre komplett bild av till exempel personens hälsotillstånd. Ett skrupelfritt försäkringsbolag kan senare lätt skicka en förfrågan till ett informationsmäklare som tillhandahåller sådan information, och anpassa kostnaden för en försäkring.

Enligt svensk lagstiftning ska sajtägare fråga sina besökare om de godkänner att cookies används för spårning. Även om 1177.se skulle ha följt lagen och ställt den frågan, så kvarstår problemet. Informationen om dina krämpor ägs av någon annan.

[1] http://motherboard.vice.com/read/looking-up-symptoms-online-these-companies-are-collecting-your-data

[2] http://1177.se/

Rickard Schoultz
I work at Digital River World Payments at the Principal Architect, but all views are my own. I write about technologies related to payments, security, network infrastructure and information management.

Why the proxies are free

In the wake of the Snowden revalations, many has turned to proxy services for raising the bar for the prying eyes.

Some are turning on private mode in their browser, other’s suggest that one should be using “privacy enhanced” browsers like Epic, that automatically turns on proxying for you.

There is a problem with the proxies, you are trusting someone else with your traffic. You had better know what the proxy is.

https://blog.haschek.at/post/fd9bc

Rickard Schoultz
I work at Digital River World Payments at the Principal Architect, but all views are my own. I write about technologies related to payments, security, network infrastructure and information management.