Microsoft heeft een digitaal boek uitgegeven voor tieners: “Own Your Space–Keep Yourself and Your Stuff Safe Online” Digital Book for Teens. Maar zeker ook geschikt voor volwassenen.
Help teens ‘own their space’ online. Whether you are a parent, caregiver, or educator, you can keep up with the latest computer and online safety issues and help kids learn to avoid them. In partnership with security expert and author, Linda McCarthy, we offer a free downloadable version of her new book, “Own Your Space – Keep Yourself and Your Stuff Safe Online.” Written for computer and Internet savvy “tweens” and teens specifically, this book is also a useful resource for the adults they rely on.
Er is nu ook een manifesto voor security. Lees er meer over op InfoQ. Wat vinden jullie van dit manifesto? Wat voegt dit toe?
J.D. Meier heeft een interessante post over Security en Agile.
Rather than make security a big up front design or doing it all at the end or other security approaches that don’t work, we’re baking security into the life cycle. The key here is integrating security into your iterations.
Leuke blogpost op Verizon Business Security. Hierin komt naar voren dat bij 86% van alle aanvallen, een zwakheid in een website wordt gebruikt. Dit staat in schril contrast met de 14% die via het netwerk worden gedaan. Hier is dus een duidelijke aanwijzing dat het niveau van software ontwikkeling niet daar is waar het wezen moet. Blijkbaar wordt nog te gemakkelijk gedacht over het plaatsen van applicaties op het web, zoals jaren geleden gedacht werd over het plaatsen van servers aan het internet.
Aan de andere kant geeft mij dit het goede gevoel dat ik met software beveiliging de komende jaren wel goed zit.
De mensen die met de overheid te maken hebben en bezig zijn met beveiliging krijgen te maken met de AV23. In deze vorm bedoel ik niet de “Athletische Vereeniging 1923 Amsterdam”, maar is de publicatie ‘Beveiliging van persoonsgegevens’ die door het Cbp (Centrum bescherming persoonsgegevens) is uitgegeven. De AV23 bevat een groot aantal richtlijnen die helpen met het bepalen van het risico niveau bij het soort persoonsgegevens. Daarnaast worden er een behoorlijk aantal maatregels genoemd die moeten helpen om de informatie binnen een bepaalde klasse veilig te houden.
Maar wat betekend dit nu voor jouw als ontwikkelaar. Hoe kan jij nu controleren of je wel de juiste dingen gedaan hebt die van je verwacht worden. Hier kan de Application Security Verification Standard (ASVS) van de Open Web Application Security Project (OWASP) bij helpen. De ASVS is een basis voor het controleren van beveiligingseisen voor webapplicaties. Deze controles zijn verdeeld in vier niveaus die cumulatief zijn. Dus om level drie te kunnen halen moeten ook alle eisen voor level een en twee ook gehaald zijn.
Hier komt nu het mooie van deze niveaus, deze zijn redelijk goed te mappen op de risico klassen uit de AV23.
In de ASVS voor niveau 1 wordt gezegd dat dit goed is voor applicaties waar zekerheid rond de beveiliging moet zijn, risicoklasse 0 geeft geen extra eisen dan welke noodzakelijk zijn voor zorgvuldige bedrijfsvoering.
ASVS niveau 2 is typisch toepasbaar voor applicaties dat persoonlijke transacties verwerkt of persoonlijke identificeerbare gegevens verwerkt, risicoklasse 1 heeft het over beperkt aantal persoonsgegevens.
Op deze manier kunnen ook de volgende niveaus op elkaar gemapt worden. Met deze mapping heb je duidelijk wat er van je verwacht wordt om te kunnen zeggen dat de applicatie aan de gevraagde risico klasse voldoet.
J.D. Meier heeft op zijn blog Shaping Software een draft gepubliceerd van hun Cloud Security Frame. Dit zijn de eerste verkenningen voor het patterns & practices Cloud Security Project.
The frame is simply a collection of Hot Spots. Each Hot Spot represents an actionable category for information.
What happens when one clicks on “Proceed to Checkout” on a website after browsing through their offerings? This is an analysis of the first milliseconds when an HTTPS connection with Amazon is established. A new page is loaded when proceeding to checkout. In the 220 milliseconds that flew by, a lot of interesting stuff happened to make Firefox change the address bar color and put a lock in the lower right corner.
Lees er alles over in dit InfoQ artikel van Jeff Moser.
Afgelopen vrijdag (31- 7) verscheen bij De Telegraaf een bijlage over veiligheid, met daarin ook een artikel van Martin Knobloch over digitale beveiliging.
