RIA and Ajax Security Workshop - Web 2.0 Expo Berlin

: Esprimi il tuo voto per questo post
  • Voto:
    1 Stella2 Stelle3 Stelle4 Stelle5 Stelle (No Ratings Yet)
    Loading ... Loading ...
  • Publicato:Ottobre 22nd, 2008
  • Commenti:No Commenti
  • Categoria:web

A very interesting and informative talk dealing with the new types of attacks that affect web 2.0 applications and RIA in particular.

The session was divided in 2 parts, the first about AJAX and the last about Rich Internet Applications.

The slides of this talk are available on slideshare and are impressive for their completeness. Not only they provide detailed examples for every case illustrated, but they link to a series of articles and web resources.

The main problem of this talk is that it’s quite impossible to be able to be specific enough and, at the same time, don’t get too much into details. This resulted in some hard-to-understand parts.

AJAX

In general attacking an AJAX application is more difficult compared to a web 1.0 site. But on the other hand is more difficult to protect an AJAX application because there are more ways to exploit it and new ways are discovered every day.

  • Not all “web 2.0″ sites use new technologies (such as Youtube and MySpace)
  • A single page in Myspace has a lots of includes.
  • Also Google Maps has a lot of includes, but ofJavascript code. Google code can be potentially insecure

Why care about web 2.0 security

  • People changed how they interact with web sites (they erase privacy barriers and they don’t feel the distance. The are the new generations)
  • Technologies spread from innovators to traditionalists (today AJAX in financial institutions, health care, government) - mainstream
  • Bugs are affecting people now

Discovery and method manipulation

  • Playing with parameters is still an excellent web attack (asking application to do the work for you). As business logic gets more complex, so do parameters vulnerabilities
  • Figuring out web apps is tough part of pen-test

Two types of Ajax apps

  • client-server proxy (equivalent to SOAP, client hides javascript)
  • client-side rendering (we can see the javascript and know what it does)

Cross Site Scripting

  • Downstream communication methods are much more complicated
  • User controlled data might be contained in arguments in dynamically created javascript, contained in Javascript arrays, etc. As a result, attack and defence is more difficult

Four bugs

  • downstream JS Arrays. Dangerous characters
  • XSS payload can be tucked into many places
  • XSS might already be in the dom (document.url, document.location, document.referer).
  • AJAX uses “backend” requests never expected to be seen directly in browser

RIA

Is ill-defined. Many contain many terms, AJAX, Flash, offline mode, decoupling from the browser. There is a huge disparity in features and security design.

Why use RIA

  • to increase responsiveness
  • desktop integration
  • to write full desktop apps

RIA Frameworks

No one framework is without limits and security problems. The worst seems Adobe Air because it shows all the limits of the very old ActiveX model.

The frameworks:

  • Adobe AIR
  • Microsoft Silverlight
  • Google Gears
  • Mozilla Prism

Adobe Air

  • Full-featured
  • Cross-browser, cross-platform
  • Created with Flex, Flash
  • Can be invoked by browser with arguments, like ActiveX or Flash
  • Air is best thought as ActiveX than Flash ++ (code runs with full privileges and can install malware)
  • SWF files can import functionalities that allows them to interact with AIR applications
  • SWF files can check install status and version
  • By default, code included in AIR application has full rights
  • There is not a “code access security” model such as in Java or .Net
  • AIR has many ways of loading executable content to run, such as HTML/JS and SWF
  • AIR applications can be bundled as binaries
  • Problems: allowing users to install signed applets is dangerous. Allowing self-signed is terrifying
  • Some suggestions to adobe: change default action, disable unsigned install prompts

Silverlight

Lot of sensibility toward security

  • Is the Microsoft Flash equivalent
  • Cross browser and cross platform
  • Subnet of the .NET frameworks
  • The security model is based on .NET
  • Calling system primitives the system will fail. You need to isolate it
  • What could go wrong (threading, DoS attacks against local system)

Google Gears

  • Has SQLite embedded
  • Uses an homegrown API for synchronizing data
  • Has a LocalServer
  • Works offline via SQL database, local assets and a local app server
  • Uses some origin to restrict access to site databases and LocalServer resource capture
  • Provides for parametrized SQL
  • Unfortunately they allows personalization of opt-in screen

Yahoo! Browserplus

  • A very bad idea
  • Runs as a browser plugin, with a separate helper process
  • It’s very similar to ActiveX concepts
  • Use old version or Ruby. Perfectly safe as long as you don’t use strings and arrays

Mozilla Prism

  • Wraps webapps to appears as desktop apps
  • Standalone browser instance
  • Problem: the Javascript included with webapps has full XPCOM privileges (but no content scripting privileges)
  • Problem: the sandbox isn’t real

HTML 5

HTML introduces some new concepts related to storage of informations.

  • Introduces DOM storage (sessionStorage, localStorage, database storage)
  • The major goals are more storage space and real persistence, because cookies are considered too small and users delete cookies or won’t accept them
  • This method bypasses pesky users, that however can use a specific about:config directive

Browser based SQL Databases

  • Injection becomes far more damaging (because of lot of privileges)

Checklist

  • prevent predictability named data stores
  • parametrize sql statements

Summary

  • RIA frameworks widely vary in their security models
  • It is highly likely that web developers will introduce interesting flaws into their desktop applications
Alex Stamos is a Founding Partner of iSEC Partners, Inc, a strategic digital security organization. Alex is an experienced security engineer and consultant specializing in application security and securing large infrastructures, and has taught multiple classes in network and application security. He is a leading researcher in the field of web application and web services security and has been a featured speaker at top industry conferences such as Black Hat, CanSecWest, DefCon, SyScan, Microsoft BlueHat and OWASP App Sec. He is a contributing author of “Hacking Exposed: Web 2.0” and holds a BSEE from the University of California, Berkeley.

Interventi correlati

  • Opening Welcome - Web 2.0 Expo Berlin
    [caption align=”alignleft” width=”300″ caption=”Tim O'Reilly and Yossi Vardi”][/caption] Tim O’Reilly on stage starts a difficult topic: how can web 2.0 help in a world of crisis? Important topic but, in part for the ugly American slang of Tim, in part because he probably had a strong lunch (he’s constantly…
  • Ha senso imparare Ajax?
    Che in futuro la percentuale di applicazioni web di tipo Ajax (e Ria in generale) aumenti sempre più è un dato di fatto. Ma non è ancora chiaro chi, all’interno del team di sviluppo di un progetto web, debba imparare a masticare questa nuova architettura. Tutti? Solo chi si preoccupa…
  • Ajax e l’usabilità
    Ho recentemente avuto modo di esprimere qualche pensiero a proposito di Ajax e accessibilità web. Mi però anche chiesto quali siano i vantaggi e gli eventuali problemi legati all’usabilità di questo tipo di applicazioni. Il nocciolo della questione è che varia il modo con cui l’applicazione interagisce con l’utente. Invece…
  • Ajax e l’accessibilità dei siti web
    (Vedi anche Ajax e l’usabilità) Di Ajax si parla ogni giorno e sono ormai decine i framework per sviluppare applicazioni basate su questo tipo di architettura. Occupandomi da anni di sviluppo web non posso che esserne contento: finalmente i limiti di interfaccia di una pagina possono essere superati! Subito dopo…
  • Ajax in action
    Il termine Ajax è stato coniato da un anno e non si sono fatti attendere i pesanti manuali che spiegano tutto, ma proprio tutto, su questa architettura. Di Ajax in Action, pubblicato da Manning, ho fondamentalmente apprezzato il modo con cui sono affrontati, fin dalle prime pagine, gli argomenti. Invece…

Link al primo classificato:
Siti Genova

Collaboration Techniques that Really Work - Web 2.0 Expo Berlin

: Esprimi il tuo voto per questo post
  • Voto:
    1 Stella2 Stelle3 Stelle4 Stelle5 Stelle (No Ratings Yet)
    Loading ... Loading ...
  • Publicato:Ottobre 22nd, 2008
  • Commenti:No Commenti
  • Categoria:web

Leisa Reichet in her workshop (of which i lost the first 30 minutes) talked about ways to improve productivity while planning a new web experience.

Nothing new, but it was a good idea splitting the attendands in several group and ask them to work together.

Even if the workshop lasted for 3 hours, however, many arguments where just drafted.

Some notes taken while not brainstorming with my group:

  • build collaboration into your project methodology - collaborate with your project team
  • collaborate with your peers (people who do the same thing as you) and invite other expert perspectives
  • consider wildcard collaborators (not necessarily part of ur team) that has other perspectives

When to collaborate

  • at the beginning
  • not just at the beginning
  • when you’re stuck (trouble shooting / problem solving) - narrow focus

Collaboration tools

  • people (the right ones)
  • sticky notes & market pens
  • whiteboards/flip charts
  • fun stuff (stimulus)
  • sugar (if it’s afternoon)
  • an objective
  • tecniques
Leisa ReicheltLeisa Reichelt
Freelance user experience consultant specialising in collaborative and guerilla user centred design and with a particular interest in designing for (and with!) communities.

Site: disambiguity.com

Interventi correlati

  • RIA and Ajax Security Workshop - Web 2.0 Expo Berlin
    A very interesting and informative talk dealing with the new types of attacks that affect web 2.0 applications and RIA in particular. The session was divided in 2 parts, the first about AJAX and the last about Rich Internet Applications. The slides of this talk are available on slideshare and…
  • Opening Welcome - Web 2.0 Expo Berlin
    [caption align=”alignleft” width=”300″ caption=”Tim O'Reilly and Yossi Vardi”][/caption] Tim O’Reilly on stage starts a difficult topic: how can web 2.0 help in a world of crisis? Important topic but, in part for the ugly American slang of Tim, in part because he probably had a strong lunch (he’s constantly…

Link al primo classificato:
Siti Genova

Opening Welcome - Web 2.0 Expo Berlin

: Esprimi il tuo voto per questo post
  • Voto:
    1 Stella2 Stelle3 Stelle4 Stelle5 Stelle (No Ratings Yet)
    Loading ... Loading ...
  • Publicato:Ottobre 22nd, 2008
  • Commenti:No Commenti
  • Categoria:web

Tim O'Reilly and Yossi Vardi

Tim O’Reilly on stage starts a difficult topic: how can web 2.0 help in a world of crisis? Important topic but, in part for the ugly American slang of Tim, in part because he probably had a strong lunch (he’s constantly thirsty) I understand only little chunks. I’m not the alone, at least considering the comments of my neighbours.

Tim suggest that an entrepreneur has to work on stuff that matters (problems that are unsolved).

Tim cited Pascal’s wager:

I look on all sides, and everywhere I see nothing but obscurity.
Nature offers me nothing that is not a matter of doubt and disquiet.

In particular, if we assume the worst we can ask ourself what really matters.

Tim also states that

A victory small enough to be organized is too small to be decisive

Other considerations of Tim O’Reilly:

  • Great challenges = great opportunities
  • Create more value than u capture

Yossi Vardi (known as the father of ICQ) talks about his role of venture capitalist. He wants young people to be persuaded in what they do and to look after first impressions. They have to work hard.

Interventi correlati

  • Collaboration Techniques that Really Work - Web 2.0 Expo Berlin
    Leisa Reichet in her workshop (of which i lost the first 30 minutes) talked about ways to improve productivity while planning a new web experience. Nothing new, but it was a good idea splitting the attendands in several group and ask them to work together. Even if the workshop lasted…
  • RIA and Ajax Security Workshop - Web 2.0 Expo Berlin
    A very interesting and informative talk dealing with the new types of attacks that affect web 2.0 applications and RIA in particular. The session was divided in 2 parts, the first about AJAX and the last about Rich Internet Applications. The slides of this talk are available on slideshare and…

Link al primo classificato:
Siti Genova

TubeChop - Per condividere una porzione di video di YouTube

: Esprimi il tuo voto per questo post
  • Voto:
    1 Stella2 Stelle3 Stelle4 Stelle5 Stelle (No Ratings Yet)
    Loading ... Loading ...
  • Publicato:Ottobre 22nd, 2008
  • Commenti:No Commenti
  • Categoria:web

SpliCD ci ha abituato bene quando volevamo proporre l’estratto di un video su YouTube, se cerchiamo qualcosa di analogo un paio di minuti dobbiamo perderli assolutamente su TubeChop. TubeChop è un servizio simile a …

Link al primo classificato:
Siti Genova

Approfondimento su aMSN, il concorrente opensource di WLM

: Esprimi il tuo voto per questo post
  • Voto:
    1 Stella2 Stelle3 Stelle4 Stelle5 Stelle (No Ratings Yet)
    Loading ... Loading ...
  • Publicato:Ottobre 22nd, 2008
  • Commenti:No Commenti
  • Categoria:web

Non ci piace Windows Live Messenger in quanto troviamo pubblicità o ci sono troppo features che reputiamo inutili ? Come al solito le alternative esistono, in questo caso l’alternativa si chiama aMSN ed è un …

Link al primo classificato:
Siti Genova

Ci vediamo al TTG di Rimini?

: Esprimi il tuo voto per questo post
  • Voto:
    1 Stella2 Stelle3 Stelle4 Stelle5 Stelle (No Ratings Yet)
    Loading ... Loading ...
  • Publicato:Ottobre 22nd, 2008
  • Commenti:No Commenti
  • Categoria:web

Fiera TTG Incontri RiminiDopo il successo della BIT di Milano, dove abbiamo fatto conoscenza con moltissimi lettori di Booking Blog, speriamo di poterci di nuovo incontrare a Rimini dal 24 al 26 Ottobre 2008 in occasione del “TTG Incontri”, una delle più importanti fiere per l’industria del turismo, e un’occasione unica per conoscere in anticipo le novità del mercato.

Ci auguriamo di potervi sorprendere piacevolmente con tutte le nuove funzionalità di Booking Blog, e di incontrare tanti albergatori in cerca di soluzioni per far crescere il canale diretto online.


Se visitate la fiera, non dimenticate di venire a trovarci:

Booking Blog – QNT Hospitality – Simple Booking™
Padiglione: A5
Corsia: 1/2
Stand: 042-042bis

 

Per maggiori informazioni sulla fiera potete contattarci al Numero Verde 800 91 35 31 o inviare una e-mail a info@bookingblog.com

A presto, in quel di Rimini,
Duccio Innocenti, responsabile eventi QNT Hospitality
 
 

Link al primo classificato:
Siti Genova

Consigli per superare le aspettative dei clienti nel ristorante dell’hotel

: Esprimi il tuo voto per questo post
  • Voto:
    1 Stella2 Stelle3 Stelle4 Stelle5 Stelle (No Ratings Yet)
    Loading ... Loading ...
  • Publicato:Ottobre 22nd, 2008
  • Commenti:No Commenti
  • Categoria:web

Nel ristorante del vostro hotel, quante volte pensate di aver superato le aspettative dei clienti? Qualche volta? Raramente? Mai? Quante volte avete cenato personalmente in un ristorante che abbia superato le vostre aspettative?
 
Cenare nella maggior parte dei ristoranti è un’esperienza del tutto prevedibile. I clienti, come minimo, si aspettano buon cibo e buon servizio a prezzi ragionevoli; perché non sorprenderli con qualche sorpresa extra?


Non c’è bisogno che le sorprese siano particolarmente costose. Siate creativi: idee nuove ed originali possono salvare il budget e rendere il vostro ristorante un posto speciale. Ecco alcuni esempi:
 

•    Fate preparare al vostro chef alcuni piccoli antipasti da servire nel bar quando qualcuno ordina da bere.

•    Chiedete ai vostri camerieri di sostituire i tovaglioli quando qualcuno lascia il tavolo per andare in bagno o a fare una telefonata.

•    Una sera, donate una rosa a tutte le donne che sono a cena nel vostro ristorante.

•    Regalate ai vostri clienti un piccolo contenitore con un assaggio di una “salsa speciale dello chef” da poter portare a casa per cucinare.

•    Proponete qualche vino speciale (che non sia nel menu) ai vostri clienti più affezionati che di solito ordinano ed apprezzano i vostri vini.

 
Non fate sempre le stesse cose, o diventeranno solo una routine. Cercate di trovare sempre nuove idee. Se non disponete di una grande fantasia, ricordate che non state lavorando da soli per il successo dell’hotel. Chiedete al vostro personale; potreste anche organizzare una “gara” e dare un piccolo premio a chi ha l’idea migliore.

Di questi tempi, riuscire a convincere gli ospiti a spendere il più possibile all’interno dell’hotel è una necessità. Con alcune piccole sorprese, potrete invogliare i vostri ospiti a cenare più volte nel ristorante dell’hotel non solo per l’ottima cucina, ma anche per la curiosità di “essere di nuovo sorpresi”.

Fonti:
 4 Hoteliers

Link al primo classificato:
Siti Genova

Ryanair colpita dalla decisione della Corte spagnola

: Esprimi il tuo voto per questo post
  • Voto:
    1 Stella2 Stelle3 Stelle4 Stelle5 Stelle (No Ratings Yet)
    Loading ... Loading ...
  • Publicato:Ottobre 22nd, 2008
  • Commenti:No Commenti
  • Categoria:web

Il primo ottobre, una corte di Madrid si è pronunciata a favore del sito di viaggi spagnolo Rumbo che 2 mesi prima aveva presentato un’ingiunzione per impedire a Ryanair di accettare prenotazioni solo da www.ryanair.com.

Ad Agosto, Ryanair aveva infatti annunciato che non che non avrebbe onorato i biglietti o concesso restituzioni per i voli che non fossero stati prenotati direttamente dal sito ufficiale, adducendo come motivazione che le prenotazioni tramite gli intermediari avrebbero violato termini e condizioni della compagnia aerea.


La sentenza spagnola proibisce a Ryanair di cancellare i biglietti prenotati dai passeggeri attraverso Rumbo e chiede inoltre a Ryanair di rimuovere il suo avvertimento contro gli “screen-scrapers” (siti che analizzano i siti dei fornitori delle compagnie aeree per dare agli utenti una schermata di comparazione prezzi) e di astenersi dal fare dichiarazioni per screditare altri siti web.

Ryanair, che ha reagito con grande stupore alla decisione della corte, ha dichiarato di non aver ricevuto notifiche dai tribunali in Spagna e di non aver potuto quindi inviare una propria rappresentanza.

La sentenza del primo ottobre è la prima di una serie prevista nelle prossime settimane, dopo le cause promosse in Spagna nei confronti della compagnia aerea low-cost da agenzie di viaggio online e organismi dei consumatori.

Fonti:
 Belfast Telegraph

Link al primo classificato:
Siti Genova

Cosa cercano i viaggiatori online? - #2 – Il video delle interviste

: Esprimi il tuo voto per questo post
  • Voto:
    1 Stella2 Stelle3 Stelle4 Stelle5 Stelle (No Ratings Yet)
    Loading ... Loading ...
  • Publicato:Ottobre 22nd, 2008
  • Commenti:No Commenti
  • Categoria:web

video oban internationalNel corso dell’indagine di Oban International è stato prodotto un breve video in cui vengono intervistati a Londra viaggiatori internazionali giunti da oltre 40 Paesi. Quasi tutti hanno dichiarato di utilizzare Internet per trovare informazioni di viaggio e prenotare la vacanza.

Ascoltiamo quindi quali siti vengono maggiormente utilizzati e quali sono i problemi più frequenti durante la ricerca online. Il video è in Inglese e dura 4.23 minuti.

 

Link al primo classificato:
Siti Genova

Usare gli eventi locali per raggiungere tutti senza rendere il sito inefficace

: Esprimi il tuo voto per questo post
  • Voto:
    1 Stella2 Stelle3 Stelle4 Stelle5 Stelle (No Ratings Yet)
    Loading ... Loading ...
  • Publicato:Ottobre 22nd, 2008
  • Commenti:No Commenti
  • Categoria:web

Uno degli aspetti più difficili del marketing di un hotel è trovare i giusti target. Possiamo cercare di accontentare tutti: famiglie, single, giovani, anziani, coppie, gruppi…ma la possibilità di successo aumenta drasticamente quando l’offerta dell’hotel si rivolge ad un gruppo specifico. Se progettiamo il sito per accontentare tutti, probabilmente non accontenteremo nessuno.
 
È impossibile parlare a tutti i segmenti di clientela di un determinato mercato; qualsiasi sforzo in questo senso si traduce in un sito generico e poco efficace. Possiamo comunque orientare il sito dell’hotel ad un particolare target senza escludere gli altri. Vediamo come…


Se il target che ci interessa di più sono le famiglie, il sito web dell’hotel dovrebbe incentrare la propria comunicazione su caratteristiche come piscine per bambini, sale giochi, console per videogiochi nelle camere, menù speciali per i più piccoli nel nostro ristorante, guide della città con le attrazioni per bambini…le possibilità sono davvero infinite.

Parte del mercato potrà ignorare il sito, ma otterremo una risposta più forte dal target su cui stiamo focalizzando in nostri sforzi perché facciamo direttamente appello ai sui bisogni e desideri.

Non vogliamo naturalmente limitare la nostra offerta solo alle famiglie, ma attirare quanti più segmenti di clientela possibile. Come possiamo incentrare il sito su altri target, senza renderlo generico e poco efficace? Possiamo usare le manifestazioni locali a nostro vantaggio, e rivolgere la nostra comunicazione a segmenti di clientela virtualmente infiniti in periodi diversi dell’anno.
 
 

Alcuni esempi di marketing per eventi locali

Immaginiamo che la nostra città ospiti una partita della Champions League. In quel periodo, dovremo pubblicizzare l’hotel come la sistemazione ideale per gli appassionati di calcio. Pubblicheremo sul sito la notizia dell’evento, accompagnata da pacchetti ed offerte speciali rivolti ai tifosi delle due squadre ed agli appassionati che andranno allo stadio.

Tre settimane più tardi, i Lost, gruppo idolo dei teenager, tengono un concerto vicino alla nostra location. Dobbiamo quindi “cambiare volto” e rivolgere un messaggio specifico ad un pubblico composto principalmente da ragazze adolescenti, quindi aggiungere promozioni per farle accompagnare da amici e parenti. In questo caso, l’hotel dovrà apparire divertente per i più giovani, ma anche comodo per i genitori.
 
 

Includere una lista di eventi locali nel sito dell’hotel

Un buon modo per promuovere il meccanismo di cui abbiamo parlato è dedicare una sezione del sito dell’hotel agli eventi locali, accompagnando ogni evento con pacchetti ed offerte mirate.

Avere una lista delle manifestazioni sul nostro sito è utile per diversi motivi:

•    Promuove il business ripetuto. Se un appassionato di calcio scopre che l’hotel sta offrendo pacchetti speciali destinati specificamente alle persone come lui, questo aumenta notevolmente la possibilità non solo che scelga l’hotel come sistemazione per l’evento, ma anche che ritorni in altre occasioni. Mostrare attenzioni per un target specifico rende l’hotel molto più attraente anche quando la stessa persona dovrà tornare per lavoro o per un viaggio familiare, perché, nel caso degli eventi, andiamo a colpire il cliente al “cuore” e lo coinvolgiamo condividendo le sue passioni.

•    Porta traffico qualificato al sito dell’hotel. Quando un utente cerca su un motore di ricerca informazioni su un determinato evento, potrà trovare fra i risultati il sito web del nostro hotel. Se accompagniamo le informazioni con un’offerta speciale interessante, sarà veramente difficile che scelga un’altra sistemazione.

•    Ci aiuta ad organizzare la promozione dell’hotel. Il calendario degli eventi darà modo all’hotel di organizzare al meglio il proprio marketing. Basterà guardare il calendario e creare pacchetti che possano conquistare l’immaginazione dei nostri potenziali ospiti. Promozioni che non siano un semplice “sconto del 5%”, ma che possano garantire soddisfazione, passaparola positivo e fidelizzazione.

 
Usiamo quindi la popolarità degli eventi nella destinazione a nostro vantaggio, e pubblicizziamo l’hotel come la soluzione migliore per i partecipanti. Definire al meglio i nostri target porterà molti più ospiti nell’hotel e renderà più efficace la promozione online.

Fonti:
 Lodgin Interactive

Link al primo classificato:
Siti Genova

« PrecedenteSuccessiva »