[ :o) @ 29.04.2011. 09:49 ] @
Razvijam internet aplikaciju u javi i naleteo sam na problem koji bih mogao veoma lako rešiti otvaranjem porta. Deo programa bi slušao taj port i obradjivao pristigle informacije. Broj porta je van "well-known" opsega. Zanima me koliko je to bezbedno, da li otvaram javnu kuću ili VIP kafić? Ako je javna kuća, kako bih mogao to zaštititi?
[ Tyler Durden @ 29.04.2011. 10:08 ] @
To zavisi od toga koliko si sigurno napisao aplikaciju.
[ :o) @ 29.04.2011. 10:28 ] @
Da li imaš neki savet na šta da obratim pažnju? Ako program obrađuje sve što primi na zadatom portu, na pamet mi pada samo količina podataka koje prima ili tako nešto. Koliko sam upoznat sa soketima u javi, nemam ja baš nešto puno podešavanja ili mi je nešto promaklo?
[ jorganwd @ 30.04.2011. 14:31 ] @
Mislim da je pitanje previse uopsteno da bi moglo da se diskutuje na temu. Postoji citav ciklus kroz koji bi trebalo da prodjes kako bi se uvjerio da ti je aplikacija koliko-toliko bezbjedna i po nekim standardima. Nakon toga ide slojevita zastita, firewall itd.
[ Z3d4r @ 02.05.2011. 11:01 ] @
Pozdrav ,
najbolje ti je da potrazis nekog pentestera koji ce ti na kraju pentratovati aplikaciju i reci koje propuste imas .
Ili potrazi koji Ebook o security coding-u u Javi , pa preispitaj kod . Tesko da ce sigurnost same aplikacije narusiti izbor porta .
[ jorganwd @ 02.05.2011. 11:41 ] @
Ne bih rekao da to ide tim putem. Pen test dolazi na poslednje mjesto, kao trenutna slika bezbjednosne konfiguracije kompletnog sistema.

Rekao bih da onaj koji razvija aplikaciju treba da sagleda prvo arhitekturu sistema na kojoj ce se vrtiti aplikacija, onda sagledavanje arhitekture same aplikacije (u ovom slucaju bi to bila client-server arhitektura) sa svih bezbjednosnih aspekata (plus analiza rizika). Istrazis, izanaliziras i odaberes najbolju dokazanu praksu u tom pogledu. Isprogramiras sve to u javi, ili u cemu vec zelis.
[ :o) @ 04.05.2011. 08:33 ] @
Hvala na savetima, knjigu sam već uzbavio ali izgleda da me niste razumeli. Znam da je sigurnost veoma širok pojam. Mene zanima da li postoje neka osnovna načela bezbednosti pri otvaranju porta kao tipa zaštita od sql injection-a vezano za upite. Aplikacija sve što primi stavlja u string, verifikuje ga pa zatim obradjuje (standardan način).Želeo bih da napomenem da ne radim komercijalnu aplikaciju niti da pokušavam nešto da prodam (ako je to uopšte bitno).
[ jorganwd @ 05.05.2011. 20:23 ] @
Meni ovdje nesto nije jasno. Da li pricamo o socket programiranju sa bezbjednosnog aspekta ili o zastiti na mreznom nivou?
[ jorganwd @ 05.05.2011. 20:28 ] @
U svakom slucaju, mislim da je ovo odgovor na tvoje pitanje: http://blogs.securiteam.com/index.php/archives/1073 (Podvlacim pogotovo odgovor od datuma: March 10th, 2008 at 1:28 am)

[Ovu poruku je menjao jorganwd dana 05.05.2011. u 21:40 GMT+1]
[ :o) @ 06.05.2011. 07:47 ] @
Pricamo o socket programiranju sa bezbednosnog aspekta. Procitao sam taj clanak, no sam pokusao da cujem od vas na sta da obratim paznju (neke osnovne smernice). Ocigledno da to ne postoji, tako da mi ostaje samo da testiram. Hvala u svakom slučaju.