If you want to assure that your data is secure “at rest”, in 2018, you have a bunch of widely known and well-tested industry standards available on the market – such as symmetric/asymmetric cryptography, data vaults like keychain etc. But all these ideas struggle from threat called a single point of failure – if your master key is accessed by anyone, all data can be accessed in unencrypted form. How to mitigate this issue? Here is where Shamir’s Secret Sharing Scheme (referred later as SSSS) come into use.

Clear-Site-Data is a hard which can be used to instruct a browser to clear locally stored data. This post explores how it can be combined with sign out in ASP.NET Core.

This post focuses on Cross-Site WebSocket Hijacking vulnerability and how to protect against it.

Gdy zaczynałem przygodę z aplikacjami webowymi, nie sądziłem, że istnieje aż tyle zagrożeń, na które trzeba zwrócić uwagę. Współczesne frameworki dają same w sobie wiele zabezpieczeń i o niektóre rzeczy nie musimy się już troszczyć. Jestem jednak pewny, że bardzo ważna jest świadomość niebezpieczeństwa na jakie są wystawione nasze aplikacje, a co dalej idzie nasi klienci. Tutaj narodził się pomysł serii „Bezpieczna aplikacja ASP.NET Core”. W każdej z części chciałbym opisać zagrożenie oraz sposób w jaki...

Każdy z nas używa haseł jako mechanizmu autenfikacji na setkach portali internetowych. Dużo się mówi o tym, że hasło powinno być bezpieczne. Ale wiele ludzi, w tym ja do niedawna, nie przejmuje się takimi detalami… W tej historii opowiem wam jak w ciągu kilku godzin zmieniłem moje nastawienie do haseł i podam kilka rad jak być bezpieczniejszym w sieci. Wszystko zaczęło się kilka dni temu...

Necessity is the mother of invention – that’s basically why I did create a new open source project called Lockbox. Its main purpose is to provide a centralized and secured storage for the application settings that can be easily fetched via HTTP request. Sounds interesting? Then let me guide you through the most important concepts of the Lockbox.

This blog post is postmortem of my infrastructure that was attacked on Sunday by Argentinian attacker and died because of DDoS. I will share with you all actions that I took in order to bring back stability of services. Attack has started : 19 June 2016 at 3:20PM UTC Attack has ended : 19 June 2016 at 4:10PM UTC Users affected : 30-40 users Extra cost due to attack : less than 2$Existing Infrastructure

Opis technologii OWASP AppSensor - do obsługi której tworzę bibliotekę w ramach #dajsiepoznac

~ Jarosław Stadnicki Jeśli nie chcesz mojej zguby… Jeśli nie chcesz swojej zguby, nie wrzucaj do repozytorium sekretów swojej aplikacji. Można to osiągnąć w kilku prostych krokach, wystarczy że stworzysz w VS osobny plik z konfiguracją np. „secrets.config„, który może wyglądać tak: Następnie zaciągniesz go w głównym web.configu w taki sposób: W VS należy mieć go dodanego do projektu, właściwości ustawione powinny być na content i no-copy, tak samo jak w przypadku web.config. Od teraz zawartość...

In this article we focus on sample service based on WCF (Windows Communication Foundation), as we will only try to build sample service with claims-based authentication and authorization. All technical aspects connected with security e.g. configuration, certificates, encryption, signature or CRL will be described in details in the next posts.