Fiecare tehnologie suplimentara a adus cu sine si probleme de securitate, iar pluginurile ofera posibilitatea rau-voitorilor de a accesa datele de pe calculatorul utilizatorului. Statisticile din ultimii an arata ca 14% din furturile de date de pe calculatorului utilizatorului s-au realizat prin exploatarea vulnerabilitatilor Adobe Flash.

HTML5 nu este inca un standard web, dar promite sa sa aduca functii avansate pentru aplicatiile web direct in codul HTML nativ, fara a mai fi folosite aplicatii externe. Dar o data cu aceasta imbunatatire, HTML5 aduce si cateva potentiale vulnerabilitati.

1) Cross Document Messaging
HTML5 vine cu un API, postMessage, care aduce posibilitatea pentru un script de pe un domeniu sa trimita datele catre un alt script ce ruleaza pe alt domeniu. Din motive de securitate acest lucru nu este posibil in codul nativ HTML4. Chiar daca postMessage contine metode pentru a verifica sursa cererii, un dezvolatator neatent poate sa nu puna in aplicare aceste verificari, lasand astfel scriptul expus la solicitari de la site-uri malitioase.

2) Offline storage
Offline storage este o alta noutate adusa de HTML5. Aceasta este de fapt un client SQL ce poate fi accesat prin JavaScript. Aceasta tehnologie, folosita deja de Google Gears, imbunatateste timpii de incarcare a aplicatiilor web, dar stocarea unor date sensibile (email, parole,etc) reprezinta un risc major pentru utilizator, un risc de care hackerii sigur vor incerca sa profite. Folosirea accesului SSL, generarea de nume unice pentru bazele offline storage, folosirea de fraze SQL si nu javascript pentru a accesa offline storage sunt cateva din metodele pe care programatorii ar trebui sa le ia in calcul la dezvoltarea in HTML5.

3) Multimedia
HTML5 aduce cateva taguri noi. Pentru multimedia vor fi 3 taguri, audio, video si svg. Spre deosebire de plugin-urile existente acum, aceste taguri pun in sarcina dezvoltatorului de browser redarea de fisiere multimedia. Fiecare browser va trebui sa aiba metode de redare a acestor tag-uri noi, iar eventuali rauvoitori pot profita de bug-urile din browser.

4) Autofocus
In afara de tagurile audio, video, svg, HTML 5 mai aduce si o serie de atribute noi, printre care si autofocus. Acesta permite browserului focalizarea automata a unui element HTML. Desi acest atribut e foarte util in paginile care interactioneaza dinamic cu utilizatorul, exista riscul ca un site malitios sa permita focalizarea automata intr-o alta fereasta, fara interventia sau macar cunostinta utilizatorului, permitand astfel executarea de cod malitos existent fereastra respectiva.

5) Websockets
HTML5 introduce si notiunea de websockets care pot duce la un web mai putin sigur deoarece aceasta tehnologie elimina headerele HTTP ceea ce duce la vulnerabilitati ce pot fi exploatate de virusi si malware.

Tehnologia web se va dezvolta continuu si HTML5 va deveni un standard web destul de repede, deja programatorii web incep sa foloseasca din ce in ce mai mult HTML5. De exemplu, aplicatiile facebook sunt realizate folosind HTML5.
Vulnerabilitatile descrie sumar in acest articol nu reprezinta un motiv pentru a nu se face trecerea la HTML5, ci reprezinta o atentionare pe care programatorii web trebuie sa o ia in calcul atunci cand vor sa dezvolte pagini web in HTML5.

The “standard” output stream. This stream is already open and ready to accept output data. Typically this stream corresponds to display output or another output destination specified by the host environment or user.

ceea ce se poate traduce prin

Fluxul standard de iesire. Este deja deschis si sa accepte deate de iesire. De obicei acest lux corespunde “Standard” de ieşire flux. Acest flux este deja deschisă şi pregătită să accepte date de ieşire. De obicei acest flux trimite datele de iesire catre destinatia specificata de mediul gazda sau de utilizator.

In cele mai multe situatii, programatorii folosesc consola aplicatii pentru “standard output”.
Dar cum facem ca aceste mesaje sa fie trimise catre un fisier?
System.out in java reprezinta reprezinta o instanta pentru PrintStream, deci orice alta instanta PrintStream poate fi folosita ca System.out.
De exemplu daca vrem ca afisarile cu System.out.println sa fie facute in fisierul out.log, trebuie sa creem un PrintStream pentru out.log si apoi setam System.out catre acest stream.


public class AppClass
{
public static void main(String[] args)
{
/* pastram intr-o variabila, valoarea originala pentru System.out */
PrintStream origSystemOut = System.out;

/* mesajele de genul System.out.print vor fi afisate in consola*/
System.out.println("O noua linie, dar in standard output (consola)");
}
}


Echipa este o abordare mai naturala de a grupa membrii unei organizatii si de a asocia contextul de colaborare
User context – utilizatori (specifici) care lucreaza in echipa
Object context – obiecte (specifice) folosite in colaborare

Caracteristici TMAC
• Calitati
– avantajele RBAC plus control orientat pe instante de subiecte si obiecte (nu doar tipuri)
– Context-based TMAC (C-TMAC) include info de context ca timp, loc etc
• Probleme
– extinde RBAC cu notiunea de echipa care nu este integral elaborata
– nu are suport de auto-administrare relatii intre obiecte
– aplicabilitate neverificata; sugestie medii hypermedia

2. RBAC – Role Based Access Control

• Un rol este un mecanism de grupare folosit in clasificarea subiectilor dupa anumite atribute:
ocupatie, responsabilitati, functii
• Fiecare subiect are un set de roluri autorizate
• Rolul se poate modifica intr-o sesiune
• Rolurilor li se asociaza permisiuni
• Revocarea rolurilor
– utilizatorul schimba functia
– devin active alte roluri, incompatibile
• Ierarhii de roluri
– simplifica gestiunea drepturilor ; elimina conflicte
Caracteristici RBAC
• Calitati
– utilizatorul poate trece usor de la un rol la altul in cursul unei sesiuni, fara a schimba structura accesului
• rezultat: RBAC mai scalabil ca matricile de acces
– permite tratarea conflictelor de interese (rolurile au reguli stricte)
– reduce overhead la administrare securitate la nivel de utilizator, obiect, permisiune
• Probleme ale modelului original
– static (roluri stabilite devreme si greu de schimbat)
– nu tine seama de context
– nu pot specifica controlul “fine-grain” la nivelul unui utilizator individual (care are un anumit rol) sau al unui obiect anume (doar tip de obiect)
– nu permite specificare de constrangeri (importante pentru politici organizationale)

Sistemele distribuite sunt mai vulnerabile
– control descentralizat
– accesul se face de la distanta
– tot mai multe aplicatii critice (Internet banking) sunt distribuite

Probleme de securitate
– Confidentialitate
– Autentificare
– Integritate
– Disponibilitate

Va enerveaza? Vreti sa scapati de aceste mesaje? Daca da, atunci nu pot decat sa va spun Ubuntu 11.04 (http://www.ubuntu.com/).

Despre ceea ce puteti face cu Ubuntu, gasiti si aici http://www.ubuntu.com/ubuntu/features. Salvati pe calculator fisierul iso cel mai pentru pentru sistemul folosit (32-bit, 64- bit), il “ardeti” pe un CD (are aproximativ 700 de mb; puteti folosi CD BurnerXP descris in articolul anterior), faceti backup la datele de pe actualul sistem de operare si incepeti sa instalati acest sistem de operare, Ubuntu. Astfel veti scapa pentru totdeauna de mesajele de genul “This Copy of Windows Is Not Genuine”

Un soft mult mai bun si pe care il foloseam cand eram utilizator de Windows, este CD BurnerXP (http://www.cdburnerxp.se), un soft gratuit desigur si care inlocuieste cu succes Nero Burning ROM.
Ce avantaje mai are acest produs:
* nu contine reclame
* setup-ul este semnat digital, ceea ce va asigura ca produsul nu este alterat
* scriere oricarui tip de informatie pe CD-R/CD-RW/DVD+R/DVD-R/DVD+RW/DVD-RW/DVD-RAM/BD/HD-DVD
* creare cd-uri bootablie
* creare multi-cd
* verificare date dupa scriere
* burn on-the-fly
* salvare compilatii pentru backup, rescriere, etc..
* quick-erase si full-erase
* duplicare discuri daca nu sunt protejate
* creare cd-uri audio prin conversie automata din urmatoarele formate: MP3, WAV, OGG, FLAC, WMA, APE, MPC, WV (WavPack)
* folosire single sau multiple track pentru cd-urile audio
* creare si scriere de imagini ISO
* conversie imagini bin si nrg in ISO
* creare coperti
Iar acestea sunt doar o parte dintre ele, restul le puteti gasi la adresa http://www.cdburnerxp.se/en/features

Pirateria software e daunatoare! Puteti folosi cu incerere aceste produse in schimbul unui produs pentru care nu doriti sa platiti

• identitatile utilizatorilor sunt distribuite
• rolurile, privilegiile si credentialele utilizatorilor sunt administrate
• responsabilitatile sunt delegate de administratori
• administratorii distribuie aplicatii usor si securizat
• utilizatorii pot face singuri modificari de preferinte, parole,etc
• utilizatorii au acces de tip single-sign-on
• cererile de asigurare pentru aplicatii este automatizat

Ciclul de viata a unui cont de access este format din : creare cont, acordare, modificare si suspendare privilegii, stergere cont;

Un sistem de tip identity management poate sa includa atat utilizatori interni companiei, cat si utilizatori externi, precum clienti, parteneri si chiar si servicii web. De asemenea, un astfel de sistem poate sa administreze si alte resurse precum procese, aplicatii, device-uri, etc.

Printre beneficiile utilizarii unui sistem de identity management, se numara:

• reducerea costurilor administrative prin centralizarea administrarii de conturi, prin automatizarea cererilor si task-urilor
• reducerea timpului de obtinere acces pentru o aplicatie/li>
• cresterea securitatii aplicatiei prin adminsitrarea centrala a parolelor si credentialelor utilizatorilor/li>
• accelereaza dezvoltarea de noi aplicatii, prin utilizarea infrastructurii curente pentru conturile si privilegiile utilizatorilor

….va urma….