Tag: Security

Categories
Tech Startup

Tháng đầu tiên của một Tech Startup

Spiral company culture

Thế là đã đúng 1 tháng làm việc kể từ sau Tết, cũng là tháng đầu tiên mình trải qua với Tech startup của mình. Hôm nay, ngồi ghi chú lại những gì đã trải qua trong tháng đầu tiên để sau này có gì còn đọc lại.

Văn Phòng

FB_IMG_1489108274017

Sáng mùng 11 (tức 10/02/2014) team Spiral chính thức đi làm ngày đầu tiên và cũng là ngày khai trương Spiral. Văn phòng Spiral cũng chính là căn nhà thuê của vợ chồng mình ở luôn cho tiện làm việc.

Mặc dù diện tích làm việc của gần 10 con người chưa tới 12m2 nhưng mọi người đều cố gắng và tập trung vào các nhiệm vụ ngắn hạn và dài hạn đã được vạch ra trong quá trình làm việc.

Văn phòng được trang bị một máy in, đường Internet cáp quang để tiện trong việc giải trí và nghiên cứu.

Continue reading “Tháng đầu tiên của một Tech Startup”
Categories
Web Programming

Làm “đạo diễn web” trong 7 ngày – Ngày 4: Dựng phân đoạn

7-ngay-lam-dao-dien-ngay-4-dung-phan-doan

Đến hẹn lại lên, hôm nay mình sẽ viết về ngày thứ 4 trong chuỗi 7 ngày làm đạo diễn web. Sau khi có được kịch bản, diễn viên cũng đã biết mình phải diễn gì, sân khấu đã có thiết kế, việc tiếp theo là mang các diễn viên lại và bắt đầu tập diễn các cảnh trong vở kịch để đem đến một vở kịch hoàn chỉnh cho khán giả.

Qua các ngày trước, mình đã có được bảng các tính năng, kèm theo các thiết kế và đã chuẩn bị sẵn HTML, CSS để ráp giao diện thực tế trong code, tức là phần Front-end. Hôm nay, chúng ta sẽ tiến hành hoàn tất phần Front-end và các công đoạn cuối cùng của việc…coding.

Continue reading “Làm “đạo diễn web” trong 7 ngày – Ngày 4: Dựng phân đoạn”
Categories
Security

Authentication, Authorization và Accounting

authentication-authorization-accounting

Dạo này blog thiếu các bài về kỹ thuật nên mình dự định làm một loạt bài về bảo mật (security) nhằm chia sẻ với các bạn một số góc nhìn của mình về bảo mật khi triển khai các hệ thống web. Mình sẽ không đề cập nhiều đến code bởi bảo mật là vấn đề kiến trúc và thiết kế hệ thống nên mọi người muốn triển khai hay áp dụng thế nào thì tùy trình của mỗi người.

Bài này mình sẽ nói về mô hình AAA (Authentication, Authorization và Accounting). Đây là một mô hình mà mình đã đọc được từ khi học năm I, lúc còn lăng xăng mấy cái course CCNA, Security+ và Network+. Các khóa học (hay sách ^^) này đều đề cập đến mô hình 3A này. Từ đó đến giờ, mình luôn áp dụng mô hình này để xây dựng hệ thống liên quan đến phân quyền.

Continue reading “Authentication, Authorization và Accounting”
Categories
PHP Security

Suhosin, Cookie và bug

suhosin-cookie-bug

suhosin-cookie-bug

Dạo này tự nhiên thấy cái tính năng toggle grid view/table view (http://reader.vn/book.php) tự nhiên không chạy, vô xem code thì thấy mình hoàn toàn không động chạm chức năng này từ dạo ấy, chả hiểu sao nó không chạy, thế là tối nay quyết tâm debug xem nó bị gì.

Continue reading “Suhosin, Cookie và bug”
Categories
Web Programming

Lấy bản thảo ebook trên Alezaa.com

alezaa-ebook-system

alezaa-ebook-system

Nếu bạn có theo dõi bài viết trước đây giới thiệu về Alezaa thì có lẽ biết site này làm gì rồi. Cũng như các bài viết khác trên bloghoctap khi phân tích website, mình chẳng có ý định dìm hàng website nào mà chỉ là đứng trên vị trí một web developer phân tích, rị mọ xem kỹ thuật bên trong họ hoành tráng cỡ nào và có thực sự như đã quăng bom hay không thôi, và đối tượng bài viết này hướng đến là Alezaa và hệ thống phân phối ebook bản quyền của họ.

Thật sự mình cũng tính viết bài này lâu rồi bởi từ khi họ chính thức bật tính năng chạy (ngày 1/9/2011) thì mình đã hoàn tất việc “thăm dò” nhưng chưa có thời gian viết, sáng nay rảnh rồi nên ngồi viết cho các bạn đồng đạo hay các bạn nào liên quan đến bán ebook, mua ebook, crack ebook hay xuất bản ebook hiểu hơn về “sự bảo vệ ebook” của alezaa. Đợt thăm dò này tốn 100k nhưng “rờ” được bản thảo của khoảng 4 cuốn khá mới và nổi tiếng.

Continue reading “Lấy bản thảo ebook trên Alezaa.com”
Categories
Web Programming

Firesheep và Mạng xã hội đang mất an toàn

Với đam mê tìm hiểu trào lưu mạng xã hội trên thế giới và Việt Nam thì mình quan sát thấy xu hướng dạo gần đây chính là Privacy, tạm dịch là chính sách bảo mật người dùng. Hầu hết các website lớn về truyền thông xã hội (social media) đều có nhiều bài viết, nhận xét về xu thế này và thông tin người dùng đang bị đe dọa.

Được đề cập đến nhiều nhất có lẽ là Facebook và một số mạng xã hội khác chính là việc nới lỏng các thiết lập mặc định về bảo mật cho tài khoản mới tạo. Bây giờ, một tài khoản mới tạo thì các thông tin được bạn gởi lên hầu như được xem bởi đa số người dùng trên Internet, trừ khi bạn biết chỗ cấu hình để chặn kịp thời (mà mình nghĩ user bình dân còn không biết tùy chỉnh là gì nói chi mò vô mấy chức năng đó mà chỉnh :D).

Continue reading “Firesheep và Mạng xã hội đang mất an toàn”
Categories
Security software

Tôi tập sử dụng phần mềm bản quyền

Quả thật việc sử dụng phần mềm bản quyền có lẻ đối với 1 dân mộ đạo IT như mình thật là chuyện xa vời, nhưng cái gì cũng vì nguyên nhân của nó cả. Cách đây 2 ngày, thấy cái máy mình nó cứ sao sao nên quyết định kiếm 1 thằng antivirus nào khác thằng AVG Free, chứ thấy nó không ổn.

Continue reading “Tôi tập sử dụng phần mềm bản quyền”
Categories
Business

Thận trọng khi lựa chọn công ty làm web

than-trong-khi-thiet-ke-website

Vừa hoàn thành 1 project là fix security cho một website nhánh của 1 tập đoàn khá hoành tráng ở Việt Nam và cũng được 1 công ty cũng có chút tiếng tăm trong lĩnh vực làm web ở HCM thực hiện. Vì fix theo kiểu Whitebox (có source để kiểm tra), có rất nhiều điều mình quan sát thấy từ source của họ và thiết nghĩ nên chia sẽ 1 chút kinh nghiệm cho những ai đã, đang và sẽ tìm cho mình 1 công ty làm web để phục vụ cho hoạt động kinh doanh của mình.

Không cứ công ty làm web hoành tráng thì web sẽ tốt

Điều này xưa nay chẳng bao giờ sai, chẳng thế mà có biết bao nhiêu website thuộc hàng thú dữ bị tấn công đấy thôi. Mình cũng định nghĩa thế nào là 1 website tốt. Trên phương diện programmer, một website tốt đối với mình phải hội đủ 3 yếu tố: tính an toàn, tính dễ dàng bảo trì và tính dễ dàng mở rộng. Còn phục vụ hoạt động kinh doanh là điều tất yếu, không có liệt kê vô đâylàm gì.

“Họa hổ họa bì nan họa cốt”

Điều này là đúng, xem giao diện chẳng đánh giá được gì cả các bạn à. Cái chính yếu là hệ thống code có đầy đủ 3 tính năng như mình nói hay không. Còn giao diện chỉ là thứ yếu, nên đừng bao giờ nhìn vào giao diện của 1 website mà đánh giá.

Continue reading “Thận trọng khi lựa chọn công ty làm web”
Categories
PHP Security

Tấn công XSS và ngăn chặn với HTML Purifier

xss-threat3

Cùng với nhu cầu viết các ứng dụng ngày càng mở rộng chức năng cho người dùng, thì các chức năng cho phép thành viên post nội dung là một thao tác tất yếu. Tuy nhiên, cho phép thành viên gởi nội dung sẽ làm phát sinh rất nhiều nguy cơ đe dọa tới sự an toàn của website, trong đó có một mối đe dọa rất phổ biến đó là tấn công Cross-Site Scripting (XSS).

sql_inj_xss

Continue reading “Tấn công XSS và ngăn chặn với HTML Purifier”
Categories
PHP Web Programming

30 ebook về security cho Web Application và PHP


Ngày nay, cùng với sự phát triển như vũ bão của Web Application, vấn đề security ngày càng được xem xét một cách kỹ lưỡng và toàn diện hơn. Hôm nay mình giới thiệu tới các bạn 30 cuốn sách bàn về security cho Web app. Có lẽ đây là bộ sách khá đầy đủ và chi tiết bàn về các khía cạnh security cho lĩnh vực Web Application nói chung và cho PHP nói riêng. Là một người làm việc cũng khá lâu trong lĩnh vực phát triển Web Application, mình thấy thật là cần thiết phải chia sẽ những kiến thức bổ ích này tới cho các đồng đạo.

Xuyên suốt 30 cuốn sách này, bạn sẽ nắm được rất chi tiết và toàn diện về tình hình an toàn trong triển khai ứng dụng web cho riêng bạn. Hy vọng các bạn sẽ lãnh ngộ hết những kiến thức từ những cuốn sách giá trị này.

Continue reading “30 ebook về security cho Web Application và PHP”