OWASP - User contributions [en]

Kuwait City

2017-10-03T17:16:24Z

Mohammed ALDOUB: Addition of 2016 activities and 2017 events

{{Inactive Chapter}}<br />

[[File:Owasp_kuwait.png]]

{{Chapter Template|chaptername=Kuwait الكويت|extra=مرحباً بكم بصفحة فرع الكويت لمنظمة أواسب!

The chapter leader position is OPEN,

رئيس هذا الفرع هو [mailto:mohammed.aldoub@owasp.org محمد الدوب,].|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-Kuwait|emailarchives=http://lists.owasp.org/pipermail/owasp-kuwait}}

== Contributions ==

1- The User Privacy Protection Cheat Sheet, written by Kuwait chapter leader Mohammed ALDOUB, discusses methods and techniques in which web developers can protect the privacy, anonymity and identity of their users from the various adversaries.

The cheat sheet is located at: [https://www.owasp.org/index.php/User_Privacy_Protection_Cheat_Sheet User Privacy Protection Cheat Sheet]

2- Presentation by Kuwait chapter leader Mohammed ALDOUB, titled Invaders At the Gates: Last Minute Defenses for Impending Attacks, which can be downloaded [https://www.owasp.org/images/a/a9/InvadersAtTheGates.ppt here]

3- Presentation by Kuwait chapter leader Mohammed ALDOUB, titled Evil Shell: Hacking Linux Users, in Riyadh , May 2016, which can be viewed [https://www.slideshare.net/Voulnet/evil-shell-hacking-linux-users here].

== Local News ==

Next Lecture and OWASP Kuwait Chapter Meeting on 4th of October, 2017, in Kuwait University, Khaldiya Campus, Hall 109, from 12:30PM to 2PM.

Linux Security Lecture in Riyadh, May 2016 by Mohammed ALDOUB, Kuwait chapter leader.

قام م. محمد الدوب رئيس فرع أواسب بالكويت بالقاء محاضرة بمؤتمر Cyber Security Summit

في براغ عاصمة التشيك بتاريخ ١١ ابريل ٢٠١٣، تحت عنوان Invaders at the Gates: Last Minute Defenses for Impending Attacks

، وتتكلم المحاضرة عن اساليب الدفاع السريعة ضد الهجمات المفاجئة او عند الحاجة لتأمين الخوادم والشبكات بأسرع وقت ممكن

يمكن تحميل المحاضرة [https://www.owasp.org/images/a/a9/InvadersAtTheGates.ppt هنا]

On the 11th of April 2013, Mr. Mohammed ALDOUB (OWASP Kuwait chapter leader) gave a presentation in the Cyber Security Summit conference in Prague, Czech Republic, titled Invaders at the Gates: Last Minute Defenses for Impending Attacks.

The presentation discusses the variou techniques that can be implemented quickly to set up last minute defenses for impending attacks, Tools and techniques for reactive defense and monitoring of live attacks without the need for complicated tools and procedures, as well as techniques and tricks to disrupt live attack attempts and confuse attackers.

The presentation is available for download [https://www.owasp.org/images/a/a9/InvadersAtTheGates.ppt here]

[[Media:InvadersAtTheGates.ppt]]

------------------

نبشركم بإعادة افتتاح فرع أواسب بدولة الكويت برئيس جديد من تاريخ ٢٢ مايو ٢٠١٢.
OWASP Kuwait is pleased to announce a chapter restart with a new leader as of May 22, 2012!

== Meeting Details تفاصيل اللقاءات ==

'''Second Meeting Location مكان اللقاء الثاني'''

مرحبا بكم بأول اجتماع لأواسب الكويت!
Everyone is welcome to join us at our chapter meetings.

'''Date التاريخ'''
4 من اكتوبر 2017، الساعة 12:30 مساءً
October the 4th, 2017. At 12:30 PM

'''Agenda الأجندة'''

التعريف عن تطبيقات الويب وحمايتها وثغراتها و كيفية الدفاع عنها .

Introduction to web app security, attacks, and defenses.

'''Location المكان'''

جامعة الكويت، كلية الهندسة، قاعة 109
Kuwait University, Khaldiya Campus, Hall 109

'''First Meeting Location مكان اللقاء الأول'''

مرحبا بكم بأول اجتماع لأواسب الكويت!
Everyone is welcome to join us at our chapter meetings.

'''Date التاريخ'''
٢٩ من سبتمبر ٢٠١٢، الساعة الثامنة و النصف مساءاً
September the 29th, 2012. At 8:30 PM

'''Agenda الأجندة'''

التعريف عن منظمة أواسب و أهدافها و مشاريعها و عضويتها.
نقاش بسيط عن وضع أمن المواقع بالكويت

Introduction to OWASP, its goals, projects and membership.
Brief discussion about the state of web security in Kuwait.

'''Location المكان'''

الجمعية الكويتية لتقنية المعلومات، منطقة الروضة
Kuwait Information Technology Society (KITS), Rawda area

الروضة – قطعة 3 – ش ابوحيان التوحيدي – جادة 37 – منزل رقم 20 هاتف :22529303 فاكس : 22527986

[https://maps.google.com/maps?q=Kuwait+Information+Technology+Society,+Al-Rawda,+Al+Asimah,+Kuwait&hl=en&ll=29.323822,48.010683&spn=0.018671,0.038538&sll=29.32385,48.010318&sspn=0.018671,0.038538&oq=Kuwait+Information+&hq=Kuwait+Information+Technology+Society,&hnear=Al-Rawda,+Al+Asimah,+Kuwait&t=m&z=15 link Click Here for Google Maps location]

<googlemap version="0.9" lat="29.32385" lon="48.010318" zoom="18">
29.32385, 48.010318
</googlemap>

[[Category:Middle East]]
[[Category:OWASP Chapter]]
[[Category:Asia/Pacific/Middle East]]

OWASP Statement on the Security of the Internet 2014/ar

2014-01-31T07:08:02Z

Mohammed ALDOUB:

<div style="text-align: right; direction: rtl; margin-left: 1em;">
مجتمع أواسب يهتم كثيرا بثقة الناس بخدمات الانترنت و التطبيقات التي تتصل بها، لذلك فإن التقارير الحديثة التي ذكرت عمليات التجسس واسعة النطاق على اتصالات الانترنت وبرامجه، ومحاولات اضعاف معايير التشفير، كلها تسبب لنا قلق واهتمام كبيرين.

كنا نعلم عن عمليات التنصت والتعقب ضد الأفراد المستهدفين، ولكن حجم عمليات التجسس واسعة النطاق التي انكشفت مؤخرا كانت بمثابة إنذار شديد اللهجة.
بكل تأكيد فإنه من الصعب الجزم بمعرفة أي هجمات يتم حاليا استخدامها، وأي الاتفاقيات السرية قد تكون فعالة، ولذلك فإنه من الصعب على منظمة أواسب التعليق على التفاصيل من منظورها الخاص.
لدى أواسب مبادئ قديمة حول قيامنا بتوضيح القرارات التي نتخذها. مهمتنا هي الشفافية والوضوح بأمن التطبيقات حتى يتسنى للأفراد والمؤسسات اتخاذ قرارات مبنية على دراية ومعرفة تجاه مخاطر التطبيقات.

نحن نؤمن بشكل أساسي أن التطبيقات والبرامج الآمنة والجديرة بالثقة تشكل حجر أساس لتواصل الناس حول العالم، فلا يتصل الناس ببعضهم غالبا إلا بإستخدامها.

نؤمن أيضا أن المجتمعات والشركات والحكومات يجب عليها أن تحمي أمن البرمجيات وأن لا تتعمد إضعاف أمن البرمجيات أو معايير الأمن أو خوارزميات التشفير.

نؤمن وبشدة أن المجتمعات والشركات والحكومات يجب عليها ألا تتعمد إدخال الثغرات والأخطاء والأبواب الخلفية التي تضعف الأمن والثقة بالبرمجيات والتطبيقات.

كما أننا نعتقد أنه من المهم التنويه على حقيقة أن هذه الثغرات التي يتم ادخالها خلسة بالبرمجيات لأجل التجسس والمراقبة سيرجع ضررها البالغ على الناس والمجتمع لأنه عاجلا أم آجلا سيتم اكتشافها واستغلالها من قبل المخربين والمجرمين. وأضف إلى هذا حقيقة أن الشركات والمجتمعات ستصبح بلا حماية من هذه الثغرات المتعمدة، وبذلك يتم اضعاف أساس البرمجيات بالكامل والذي يؤثر بشكل مباشر على حياتنا اليومية وعلى نطاق عالمي.

مجتمع أواسب يريد أن يساهم ببناء أنظمة وبرامج آمنة وقابلة للتطبيق الواقعي لكل مستخدمي الانترنت. معالجة مخاطر وثغرات أمن البرمجيات كان ولا يزال من أهم محاور مجتمع أواسب ومصادر قوته، وهذا المحور لا يقتصر على الجانب التقني فقط، بل يندرج معه محاور مهمة جدا مثل التعليم والقوانين والتطبيق الواقعي وجوانب أخرى.
بالنسبة لنا فإن الأخبار الأخيرة تمثل تحدي لنا ومصدر إلهام لنتمسك بمبادئنا والعمل الجاد لتأمين الانترنت وبرامجه ومواقعه.
إيون كيري،وهو أحد أعضاء مجلس إدارة أواسب المنتخبين، يؤكد بحديثه: "أواسب لا يسعها أن تقف مكتوفة الأيدي أمام إضعاف وتآكل الأمن، فهذا ضد مبادئنا".
نحن واثقون من قدرة مجتمع أواسب على القيام بدوره ونؤمن بأن أدوات أواسب وبرامجها وتعاليمها، إن تم استخدامها بشكل أوسع، فإنها قادرة على المساهمة.

يجب علينا استغلال هذه الفرصة لنرى ما الذي يمكننا فعله بشكل أفضل بالمستقبل وليس فقط تحت ضوء الأحداث الراهنة. الأمن والخصوصية بالإنترنت لا يزالون يشكلان تحدي كبير حتى بغض النظر عن النشاطات الاستخباراتية الأخيرة.

يمكن استنباط العديد من الدروس المفيدة للسنين القادمة، و توبياس غوندروم، عضو مجلس إدارة أواسب المنتخب، يؤكد هذا الأمل بقوله: "ربما كانت حوارات هذه السنة هي الشرارة التي تحفز العالم ليصبح أكثر وعيا، و ينتقل من "غير آمن تلقائيا" إلى "آمن تلقائيا". "

الانتشار العلني والشهرة والتحفيز أمور مهمة أيضا، وهناك الكثير من الأعمال التي يمكن لأي منا القيام بها، ابتداءً من تفعيل المستخدمين للخواص الأمنية إلى قيام المختصين والشركات والحكومات بالتحقق من أن برامجهم ومنتجاتهم وخدماتهم آمنة.

أواسب منظمة ومجتمع مفتوحين ونحن ندعو كل من لديه أي اهتمامات بهذا المجال ليرقى للتحدي ويشارك بتحليل المشكلة والمخاطر ويطور أفكاراً تنفع مستقبلنا المشترك.
</div>

OWASP Statement on the Security of the Internet 2014/ar

2014-01-31T07:06:15Z

Mohammed ALDOUB:

<div style="text-align: right; direction: ltr; margin-left: 1em;">
مجتمع أواسب يهتم كثيرا بثقة الناس بخدمات الانترنت و التطبيقات التي تتصل بها، لذلك فإن التقارير الحديثة التي ذكرت عمليات التجسس واسعة النطاق على اتصالات الانترنت وبرامجه، ومحاولات اضعاف معايير التشفير، كلها تسبب لنا قلق واهتمام كبيرين.

كنا نعلم عن عمليات التنصت والتعقب ضد الأفراد المستهدفين، ولكن حجم عمليات التجسس واسعة النطاق التي انكشفت مؤخرا كانت بمثابة إنذار شديد اللهجة.
بكل تأكيد فإنه من الصعب الجزم بمعرفة أي هجمات يتم حاليا استخدامها، وأي الاتفاقيات السرية قد تكون فعالة، ولذلك فإنه من الصعب على منظمة أواسب التعليق على التفاصيل من منظورها الخاص.
لدى أواسب مبادئ قديمة حول قيامنا بتوضيح القرارات التي نتخذها. مهمتنا هي الشفافية والوضوح بأمن التطبيقات حتى يتسنى للأفراد والمؤسسات اتخاذ قرارات مبنية على دراية ومعرفة تجاه مخاطر التطبيقات.

نحن نؤمن بشكل أساسي أن التطبيقات والبرامج الآمنة والجديرة بالثقة تشكل حجر أساس لتواصل الناس حول العالم، فلا يتصل الناس ببعضهم غالبا إلا بإستخدامها.

نؤمن أيضا أن المجتمعات والشركات والحكومات يجب عليها أن تحمي أمن البرمجيات وأن لا تتعمد إضعاف أمن البرمجيات أو معايير الأمن أو خوارزميات التشفير.

نؤمن وبشدة أن المجتمعات والشركات والحكومات يجب عليها ألا تتعمد إدخال الثغرات والأخطاء والأبواب الخلفية التي تضعف الأمن والثقة بالبرمجيات والتطبيقات.

كما أننا نعتقد أنه من المهم التنويه على حقيقة أن هذه الثغرات التي يتم ادخالها خلسة بالبرمجيات لأجل التجسس والمراقبة سيرجع ضررها البالغ على الناس والمجتمع لأنه عاجلا أم آجلا سيتم اكتشافها واستغلالها من قبل المخربين والمجرمين. وأضف إلى هذا حقيقة أن الشركات والمجتمعات ستصبح بلا حماية من هذه الثغرات المتعمدة، وبذلك يتم اضعاف أساس البرمجيات بالكامل والذي يؤثر بشكل مباشر على حياتنا اليومية وعلى نطاق عالمي.

مجتمع أواسب يريد أن يساهم ببناء أنظمة وبرامج آمنة وقابلة للتطبيق الواقعي لكل مستخدمي الانترنت. معالجة مخاطر وثغرات أمن البرمجيات كان ولا يزال من أهم محاور مجتمع أواسب ومصادر قوته، وهذا المحور لا يقتصر على الجانب التقني فقط، بل يندرج معه محاور مهمة جدا مثل التعليم والقوانين والتطبيق الواقعي وجوانب أخرى.
بالنسبة لنا فإن الأخبار الأخيرة تمثل تحدي لنا ومصدر إلهام لنتمسك بمبادئنا والعمل الجاد لتأمين الانترنت وبرامجه ومواقعه.
إيون كيري،وهو أحد أعضاء مجلس إدارة أواسب المنتخبين، يؤكد بحديثه: "أواسب لا يسعها أن تقف مكتوفة الأيدي أمام إضعاف وتآكل الأمن، فهذا ضد مبادئنا".
نحن واثقون من قدرة مجتمع أواسب على القيام بدوره ونؤمن بأن أدوات أواسب وبرامجها وتعاليمها، إن تم استخدامها بشكل أوسع، فإنها قادرة على المساهمة.

يجب علينا استغلال هذه الفرصة لنرى ما الذي يمكننا فعله بشكل أفضل بالمستقبل وليس فقط تحت ضوء الأحداث الراهنة. الأمن والخصوصية بالإنترنت لا يزالون يشكلان تحدي كبير حتى بغض النظر عن النشاطات الاستخباراتية الأخيرة.

يمكن استنباط العديد من الدروس المفيدة للسنين القادمة، و توبياس غوندروم، عضو مجلس إدارة أواسب المنتخب، يؤكد هذا الأمل بقوله: "ربما كانت حوارات هذه السنة هي الشرارة التي تحفز العالم ليصبح أكثر وعيا، و ينتقل من "غير آمن تلقائيا" إلى "آمن تلقائيا". "

الانتشار العلني والشهرة والتحفيز أمور مهمة أيضا، وهناك الكثير من الأعمال التي يمكن لأي منا القيام بها، ابتداءً من تفعيل المستخدمين للخواص الأمنية إلى قيام المختصين والشركات والحكومات بالتحقق من أن برامجهم ومنتجاتهم وخدماتهم آمنة.

أواسب منظمة ومجتمع مفتوحين ونحن ندعو كل من لديه أي اهتمامات بهذا المجال ليرقى للتحدي ويشارك بتحليل المشكلة والمخاطر ويطور أفكاراً تنفع مستقبلنا المشترك.
</div>

Kuwait City

2013-10-05T16:44:49Z

Mohammed ALDOUB:

[[File:Owasp_kuwait.png]]

{{Chapter Template|chaptername=Kuwait الكويت|extra=مرحباً بكم بصفحة فرع الكويت لمنظمة أواسب!

The chapter leader is [mailto:mohammed.aldoub@owasp.org Mohammed Aldoub],

رئيس هذا الفرع هو [mailto:mohammed.aldoub@owasp.org محمد الدوب,].|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-Kuwait|emailarchives=http://lists.owasp.org/pipermail/owasp-kuwait}}

== Contributions ==

1- The User Privacy Protection Cheat Sheet, written by Kuwait chapter leader Mohammed ALDOUB, discusses methods and techniques in which web developers can protect the privacy, anonymity and identity of their users from the various adversaries.

The cheat sheet is located at: [https://www.owasp.org/index.php/User_Privacy_Protection_Cheat_Sheet User Privacy Protection Cheat Sheet]

2- Presentation by Kuwait chapter leader Mohammed ALDOUB, titled Invaders At the Gates: Last Minute Defenses for Impending Attacks, which can be downloaded [https://www.owasp.org/images/a/a9/InvadersAtTheGates.ppt here]

== Local News ==

قام م. محمد الدوب رئيس فرع أواسب بالكويت بالقاء محاضرة بمؤتمر Cyber Security Summit

في براغ عاصمة التشيك بتاريخ ١١ ابريل ٢٠١٣، تحت عنوان Invaders at the Gates: Last Minute Defenses for Impending Attacks

، وتتكلم المحاضرة عن اساليب الدفاع السريعة ضد الهجمات المفاجئة او عند الحاجة لتأمين الخوادم والشبكات بأسرع وقت ممكن

يمكن تحميل المحاضرة [https://www.owasp.org/images/a/a9/InvadersAtTheGates.ppt هنا]

On the 11th of April 2013, Mr. Mohammed ALDOUB (OWASP Kuwait chapter leader) gave a presentation in the Cyber Security Summit conference in Prague, Czech Republic, titled Invaders at the Gates: Last Minute Defenses for Impending Attacks.

The presentation discusses the variou techniques that can be implemented quickly to set up last minute defenses for impending attacks, Tools and techniques for reactive defense and monitoring of live attacks without the need for complicated tools and procedures, as well as techniques and tricks to disrupt live attack attempts and confuse attackers.

The presentation is available for download [https://www.owasp.org/images/a/a9/InvadersAtTheGates.ppt here]

[[Media:InvadersAtTheGates.ppt]]

------------------

نبشركم بإعادة افتتاح فرع أواسب بدولة الكويت برئيس جديد من تاريخ ٢٢ مايو ٢٠١٢.
OWASP Kuwait is pleased to announce a chapter restart with a new leader as of May 22, 2012!

== Meeting Details تفاصيل اللقاءات ==

'''First Meeting Location مكان اللقاء الأول'''

مرحبا بكم بأول اجتماع لأواسب الكويت!
Everyone is welcome to join us at our chapter meetings.

'''Date التاريخ'''
٢٩ من سبتمبر ٢٠١٢، الساعة الثامنة و النصف مساءاً
September the 29th, 2012. At 8:30 PM

'''Agenda الأجندة'''

التعريف عن منظمة أواسب و أهدافها و مشاريعها و عضويتها.
نقاش بسيط عن وضع أمن المواقع بالكويت

Introduction to OWASP, its goals, projects and membership.
Brief discussion about the state of web security in Kuwait.

'''Location المكان'''

الجمعية الكويتية لتقنية المعلومات، منطقة الروضة
Kuwait Information Technology Society (KITS), Rawda area

الروضة – قطعة 3 – ش ابوحيان التوحيدي – جادة 37 – منزل رقم 20 هاتف :22529303 فاكس : 22527986

[https://maps.google.com/maps?q=Kuwait+Information+Technology+Society,+Al-Rawda,+Al+Asimah,+Kuwait&hl=en&ll=29.323822,48.010683&spn=0.018671,0.038538&sll=29.32385,48.010318&sspn=0.018671,0.038538&oq=Kuwait+Information+&hq=Kuwait+Information+Technology+Society,&hnear=Al-Rawda,+Al+Asimah,+Kuwait&t=m&z=15 link Click Here for Google Maps location]

<googlemap version="0.9" lat="29.32385" lon="48.010318" zoom="18">
29.32385, 48.010318
</googlemap>

[[Category:Middle East]]
[[Category:OWASP Chapter]]
[[Category:Asia/Pacific/Middle East]]

2012-10-04T06:50:56Z

Mohammed ALDOUB:

= DRAFT CHEAT SHEET - WORK IN PROGRESS =
= Introduction =
The political and legal impact of online activities has been rising significantly over the years, with users now able to take down entire governments and change legislation using online services and social networking. This fact puts into focus the grave danger users are getting introduced to by using these online services, especially in oppressive regions around the world.
This OWASP Cheat Sheet introduces risks and mitigation methods that web developers need to realize in order to protect their users from a vast array of potential aggressors around the world that might try to undermine users’ privacy and anonymity in order to harass, persecute or hunt them down.

= Scope of Threats =
An array of potential threats surrounds online users, and this cheat sheet focuses on privacy and anonymity threats that users might face by using these online services, especially social networking and communication platforms. The various reports of imprisonments and even execution for users in some parts of the world simply for using online services must be taken seriously by web developers.

= Guidelines =

== Strong Cryptography ==

Any online platform that handles user identities, private information or communications must be secured with the use of strong cryptography. User communications must be encrypted in transit and storage. User secrets such as passwords must also be protected using strong, collision-resistant hashing algorithms with increasing work factors, in order to greatly mitigate the risks of exposed credentials as well as proper integrity control.

To protect data in transit, developers must use and adhere to TSL/SSL best practices such as verified certificates, adequately protected private keys, usage of strong ciphers only, informative and clear warnings to users, as well as sufficient key lengths.
Private data must be encrypted in storage as well, using keys with sufficient lengths and under strict access conditions, both technical and procedural. User credentials must be hashed regardless of whether or not they are encrypted in storage.

For detailed guides about strong cryptography and best practices, read the following OWASP references:

1- [https://www.owasp.org/index.php/Cryptographic_Storage_Cheat_Sheet Cryptographic Storage Cheat Sheet]

2- [https://www.owasp.org/index.php/Authentication_Cheat_Sheet Authentication Cheat Sheet]

3- [https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet Transport Layer Protection Cheat Sheet]

4- [https://www.owasp.org/index.php/Guide_to_Cryptography Guide Guide to Cryptography]

5- [https://www.owasp.org/index.php/Testing_for_SSL-TLS_%28OWASP-CM-001%29 Testing for TLS/SSL]

== Support HTTP Strict Transport Security ==

HTTP Strict Transport Security (HSTS) is an HTTP header set by the server indicating to the user agent that only secure (HTTPS) connections are accepted, prompting the user agent to change all insecure HTTP links to secure HTTPS ones, and also forcing the compliant user agent to fail-safe by refusing any TLS/SSL connection that is not trusted by the user.

HSTS has average support on popular user agents, such as Mozilla Firefox and Google Chrome. Nevertheless, it remains very useful for users who are in consistent fear of spying and Man in the Middle Attacks.

If it is impractical to force HSTS on all users, web developers should at least give users the choice to enable it if they wish to make use of it.

For more details regarding HSTS, please visit:

1- [https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security HTTP Strict Transport Security in Wikipedia]

2- [https://tools.ietf.org/html/draft-ietf-websec-strict-transport-sec-11 IETF Draft for HSTS]

== Digital Certificate Pinning ==

Certificate Pinning is the practice of hardcoding or storing a pre-defined set of hashes for digital certificates/public keys in the user agent (be it web browser, mobile app or browser plugin) such that only the predefined certificates are used for secured communication, and any other certificate will fail, even if the user trusted (implicitly or explicitly) the other certificates.

Some advantages for certificate pinning are:

- In the event of CA compromise, in which a compromised CA trusted by a user can issue certificates for any domain, allowing evil perpetrators to eavesdrop on users.

- In environments where users are forced to accept a potentially-malicious root CA, such as corporate environments or national PKI schemes.

- In applications where the target demographic may not understand certificate warnings, and is likely to just allow any invalid certificate.

For details regarding certificate pinning, please refer to the following:

1- [https://www.ietf.org/id/draft-ietf-websec-key-pinning-02.txt Public Key Pinning Extension for HTTP draft-ietf-websec-key-pinning-02]

2- [https://www.owasp.org/images/4/4b/OWASP_defending-MITMA_APAC2012.pdf Securing the SSL channel against man-in-the-middle attacks: Future technologies - HTTP Strict Transport Security and and Pinning of Certs, by Tobias Gondrom]

== Panic Modes ==

A panic mode is a mode that threatened users can refer to when they fall under direct threat to disclose account credentials. Many times such threats around the world are accompanied by violence, blackmail or even imprisonment.

Giving users the ability to create a panic mode can help them survive these threats, especially in tumultuous regions around the world. Unfortunately many users around the world are subject to types of threats that most web developers do not know of or take into account.

Examples of panic modes are modes where distressed users can delete their data upon threat, log into fake inboxes/accounts/systems, or triggers to backup/upload/hide sensitive data.

The appropriate panic mode to implement differs depending on the application type. A disk encryption software such as TrueCrypt might implement a panic mode that starts up a fake system partition if the user entered his distressed password.

E-mail providers might implement a panic mode that hides predefined sensitive emails or contacts, and allow reading innocent e-mail messages only, usually as defined by the user, while preventing the panic mode from overtaking the actual account.

An important note about panic modes is that they must not be discoverable. An adversary inside a victim's panic mode must not have any way, or as little possibilities as possible, of finding out the truth. This means that once inside a panic mode, most non-sensitive normal operations must be allowed to continue (such as sending or receiving email), and that further panic modes must be possible to create from inside the original panic mode (If the adversary tried to create a panic mode on a victim's panic mode and failed, the adversary would know he/she was already inside a panic mode, and might attempt to hurt the victim).
Another solution would be to prevent panic modes from being generated from the user account, and instead making it a bit harder to spoof by adversaries. For example it could be only created Out Of Band, and adversaries must have no way to know a panic mode already exists for that particular account.

The implementation of a panic mode must always aim to confuse adversaries and prevent them from figuring out the truth about victim accounts and data, as well as the existence of panic modes for a particular account.

For more details regarding TrueCrypt's hidden operating system mode, please refer to:

1- [http://www.truecrypt.org/docs/?s=hidden-operating-system TrueCrypt Hidden Operating System]

== Remote Session Invalidation ==

In case user equipment is lost, stolen or confiscated, or under suspicion of cookie theft; it might be very beneficial for users to able to see their current online sessions and disconnect/invalidate any suspicious lingering sessions, especially ones that belong to stolen or confiscated devices. Remote session invalidation can also help if a user suspects his session details were stolen in a Man-in-the-Middle attack.

For details regarding session management, please refer to:

1- [https://www.owasp.org/index.php/Session_Management_Cheat_Sheet OWASP Session Management Cheat Sheet]

== Allow Connections from Anonymity Networks ==

Anonymity networks, such as the Tor Project, give users in tumultuous regions around the world a golden chance to escape surveillance, access information or the ability to break censorship barriers. More often than not, activists in troubled regions use such networks to report injustice or send uncensored information to the rest of the world, especially mediums such as social networks, media streaming websites and e-mail providers.

Web developers and network administrators must pursue every avenue to enable users to access services from behind such networks, and any policy made against such anonymity networks need to be carefully re-evaluated with respect to impact on people around the world.

If possible, application developers should try to integrate or enable easy coupling of their applications with these anonymity networks, such as supporting SOCKS proxies or integration libraries (e.g. ORLib for Android).

For more information about anonymity networks, and the user protections they provide, please refer to:

1- [https://www.torproject.org The Tor Project]

2- [http://www.i2p2.de I2P Network]

3- [https://guardianproject.info/code/orlib/ ORLib: Tor-ify Your App]

== Prevent IP Address Leakage ==

Preventing leakage of user IP address is of great significance when user protection is in scope. Any application that hosts external 3rd party content, such as avatars, signatures or photo attachments; must take into account the benefits of allowing users to block 3rd-party content from being loaded in the application page.

If it was possible to embed 3rd-party, external domain images, for example, in a user's feed or timeline; an adversary might use it to discover a victim's real IP address by hosting it on his domain and watch for HTTP requests for that image.

Many web applications need user content to operate, and this is completely acceptable as a business process; however web developers are advised to consider giving users the option of blocking external content as a precaution. This applies mainly to social networks and forums, but can also apply to web-based e-mail, where images can be embedded in HTML-formatted e-mails.

== Honesty & Transparency ==

If the web application cannot provide enough legal or political protections to the user, or if the web application cannot prevent misuse or disclosure of sensitive information such as logs, the truth must be told to the users in a clear understandable form, so that users can make an educated choice about whether or not they should use a particular service.

If it doesn't violate the law, inform users if their information is being requested for removal or investigation by external entities.

Honesty goes a long way towards cultivating a culture of trust between a web application and its users, and it allows many users around the world to weigh their options carefully, preventing harm to users in various contrasting regions around the world.

More insight regarding secure logging can be found at:

1- [https://www.owasp.org/index.php/Logging_Cheat_Sheet OWASP Logging Cheat Sheet]

= Authors and Primary Editors =

Mohammed ALDOUB - OWASP Kuwait chapter leader

= Other Cheatsheets =

{{Cheatsheet_Navigation}}

[[Category:Cheatsheets]]

Kuwait City

2012-09-29T10:19:57Z

Mohammed ALDOUB:

2012-09-11T16:07:58Z

Mohammed ALDOUB:

2012-08-07T22:19:16Z

Mohammed ALDOUB:

User talk:Mohammed ALDOUB

2012-08-07T21:13:09Z

Mohammed ALDOUB:

'''Welcome to ''OWASP''!'''
We hope you will contribute much and well.
You will probably want to read the [[Help:Contents|help pages]].
Again, welcome and have fun! [[User:KateHartmann|KateHartmann]] 11:26, 31 May 2012 (UTC)

== Testing ==

Hello, I'm testing. If you see this, please say Hello World

== User Legal and Political Protection Cheat Sheet ==

== Introduction ==

The political and legal impact of online activities has been rising significantly over the years, with users now able to take down entire governments and change legislation using online services and social networking. This fact puts into focus the grave danger users are getting introduced to by using these online services, especially in oppressive regions around the world.

This OWASP Cheat Sheet introduces risks and mitigations that web developers need to realize in order to protect their users from a vast array of potential aggressors, including oppressive governments and organized crime rings around the world.

== Scope of Threats ==

An array of potential threats surrounds online users, and this cheat sheet focuses on political and legal threats that users might face by using these online services, especially social networking and communication platforms. The various reports of imprisonments and even execution for users in some parts of the world simply for using online services must be taken seriously by web developers.

== Guidelines ==

'''1- Strong Cryptography:
'''

Any online platform that handles user identities, private information or communications must be secured with the use of strong cryptography. User communications must be encrypted in transit and storage. User secrets such as passwords must also be protected using strong, collision-resistant hashing algorithms with increasing work factors, in order to greatly mitigate the risks of exposed credentials as well as proper integrity control.

To protect data in transit, developers must use and adhere to TSL/SSL best practices such as verified certificates, adequately protected private keys, usage of strong ciphers only, informative and clear warnings to users, as well as sufficient key lengths.

Private data must be encrypted in storage as well, using keys with sufficient lengths and under strict access conditions, both technical and procedural. User credentials must be hashed regardless of whether or not they are encrypted in storage.

For detailed guides about strong cryptography and best practices, read the following OWASP references:

1- [https://www.owasp.org/index.php/Cryptographic_Storage_Cheat_Sheet Cryptographic Storage Cheat Sheet]

2- [https://www.owasp.org/index.php/Authentication_Cheat_Sheet Authentication Cheat Sheet]

3- [https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet Transport Layer Protection Cheat Sheet]

4- [https://www.owasp.org/index.php/Guide_to_Cryptography Guide to Cryptography]

5- [https://www.owasp.org/index.php/Testing_for_SSL-TLS_%28OWASP-CM-001%29 Testing for TLS/SSL]

== Support HTTP Strict Transport Security ==

HTTP Strict Transport Security (HSTS) is an HTTP header set by the server indicating to the user agent that only secure (HTTPS) connections are accepted, prompting the user agent to change all insecure HTTP links to secure HTTPS ones, and also forcing the compliant user agent to fail-safe by refusing any TLS/SSL connection that is not trusted by the user.

HSTS has average support on popular user agent, such as Mozilla Firefox and Google Chrome. Nevertheless, it remains very useful for users who are in consistent fear of spying and [https://www.owasp.org/index.php/Man-in-the-middle_attack Man in the Middle Attacks].

For more details regarding HSTS, please visit:

1- [https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security HTTP Strict Transport Security in Wikipedia]

2- [https://tools.ietf.org/html/draft-ietf-websec-strict-transport-sec-11 IETF Draft for HSTS]

User talk:Mohammed ALDOUB

2012-07-23T20:00:29Z

Mohammed ALDOUB:

Computer Engineer, Security Specialist and Shark Diver from Kuwait.

If it's about computer security and secure development, I'm in.

If it's about shark diving, I'm already in the water.

OWASP Kuwait chapter leader, you can find me on twitter: [https://www.twitter.com/Voulnet @Voulnet]

My interests are web app security, secure coding, privacy and smart cards.