Kafemlejnek.tv

V druhé části rozhovoru s Pavlem Luptákem z Hacktrophy jsem popustil uzdy fantazii a ptal se Pavla na věci, které mě zajímaly v souvislosti s bezpečností na internetu. Zajímalo mě třebas, jestli se v praxi využívají útoky postranními kanály procesoru (MeltDown, Spectre, TL Bleed). Probírali jsme i možné zranitelnosti Intel ME koprocesoru. Dozvěděl jsem se, že řešením řady zranitelností by mohla být tzv. kompartmentalizace na úrovni HW i SW. Od Pavla padla zajímavá myšlenka – paradoxně nejsložitější aplikací, kterou používají běžní uživatelé je webový prohlížeč. Proto tam bude vždy plno prostoru pro různé zranitelnosti. Položil jsem i svou oblíbenou otázku – zda dochází k nějakému výraznějšímu posunu v OWASP žebříčku zranitelností. Podle všeho je vidět určitý posun směrem k chytrým klientům – vyplácí se třebas útoky na HTML5 funkcionality typu local storage, zpracování videa či SVG obrázků. Zajímalo mě, jestli a jak hackeři přizpůsobují svoje útoky, podle jazyka, ve kterém je aplikace napsána. Což mi Pavel