M-A-O-L

Wie kriegt man die blöde Meldung weg beim Email lesen per Handy, wenn man IMAPS mit eigenem Zertifikat (self-signed oder CACert) verwendet?

Was kannst Du jetzt auch lateral haben?

Was, behauptet David Litchfield, sollte man durchaus ernst nehmen, und nicht nur rhetorisch behaupten?

(Über)

Welches S soll künftig zum Security-Mantra CIA (Confidentiality, Integrity, Availability) hinzustossen?

Worauf haben alle Oracle Spezis schon lange gewartet, und wird trotzdem niemand etwas deswegen machen?

Was rät der naive Entwickler dem Betreiber, der für tausende Server oder Datenbanken zuständig ist?

(Via)

Was verwechseln sogar Security-Spezialisten mit 17 Jahren Erfahrung?

Was darf man am 28. März 14:00 nicht verpassen?

(Via)

Da ist es ja, das SQL Injection Tutorial von Oracle. Bei jedem Security CAC immer angekündigt, taucht es plötzlich ohne weiteres Announcement auf der Oracle Server Technologies Homepage auf.

Es handelt sich um die interne Schulung für die Oracle Development Teams, ist aber natürlich für jeden PL/SQL Entwickler oder Consultant sehr empfehlenswert. SQL Injection geht jeden an!

Ein guter Schachzug von Oracle, um den lädierten Ruf in Security-Belangen etwas aufzubessern.

Darauf gestossen bin ich via Lutz’ Blog (der auch immer seltener schreibt).

Die Digital Soapbox hat einen Artikel über The Psychology of Patching…

I’m not saying patching isn’t critical and important, don’t get me wrong – but it shouldn’t be as “all-important” as some people from our security realm would dictate. If you don’t patch to the latest Oracle patch-bundle, the sky won’t fall if your application design is security-conscious.

Ausgelöst durch einen Blog von Eric Maurice, via ZDNets Zero Day Blog. Die Frage war, ob man Patchen einfach einplanen muss, oder ob es gute Gründe gibt, die gegen das Applizieren jedes Security Patches sprechen.

Da gilt es immer zu beachten, dass nicht nur Patchen direkt Kosten verursacht, sondern Nichtpatchen indirekt auch Kosten verursachen kann. Die lassen sich aber schlecht quantifizieren, so dass man sie in extrem kostenbewussten Environments am liebsten ganz ignoriert.

Und dafür den den Applikationsteam als Hausaufgabe mitgibt, die Applikation securitybewusst zu entwickeln… und damit die Kosten einfach verlagert. Anhand dieser Argumentation sieht man immer gut, ob jemand eher aus dem IT-Infrastruktur-Lager kommt, oder aus Development-Team.