Nell’ultimo video porto un semplice esempio di Threat Modeling.
Il Threat Modeling è una attività abbastanza interessante, in quanto implicitamente viene fatta un po’ da tutti, ma non viene mai del tutto esplicitata.
Nel video non la esplicito in modi formali ma discuto di tre potenziali pericoli relativi ad un codice che ho rilasciato di recente qui:
Le potenziali problematiche sono:
- Esposizione di dati sensibili in memoria per periodi troppo lunghi
- Command injection nell’esecuzione dei vari comandi
- Passaggio di password durante procedura di autenticazione
Per ogni problematica ho portato un po’ di ragionamenti in merito a come proteggersi da queste minacce.
Il linguaggio utilizzato è stato Emacs-Lisp, ma questo tipo di metodologia può essere applicata a qualsiasi linguaggio. Bisogna solo capire cosa sta facendo, quali sono i rischi in cui può incorrere, e come gestirli.
Spero sia interessante!