OWASP, HTTP, etc.

Na 6ª feira estive na conferência IBWAS em Lisboa, um evento do projecto OWASP. Muita informação interessante, como sempre.

Uma apresentação muito interessante foi a de John Wilander, do OWASP Suécia. Falou sobre uma série de extensões ao HTTP que visam prevenir ataques como clicjacking. Algumas delas: HTTP Strict Transport Security (força HTTPS), X-Frame-Options (impede colocar uma página numa frame, para evitar clicjacking), content security policy, novo RFC sobre cookies, "do not track".

Falou ainda de uma vulnerabilidade "stored XSS" estranhissima. O script XSS está armazenado... num livro, na Amazon. Mais info: http://drwetter.eu/amazon/

O OWASP Summit 2011 vai ser em Fevereiro em Portugal, no Oeste. A não perder.