Insecure Interaction Between Components

These weaknesses are related to insecure ways in which data is sent and received between separate components, modules, programs, processes, threads, or systems.
CWE-20: Improper Input Validation: Không xử lý kiểm duyệt đầu vào
CWE-116: Improper Encoding or Escaping of Output: Không xử lý mã hóa hoặc thoát chuỗi cho dữ liệu xuất ra
CWE-89: Failure to Preserve SQL Query Structure (aka ‘SQL Injection’): Không đảm bảo được tính vẹn toàn trong cấu trúc của câu lệnh SQL
CWE-79: Failure to Preserve Web Page Structure (aka ‘Cross-site Scripting’): Không đảm bảo được tính vẹn toàn trong cấu trúc của web page
CWE-78: Failure to Preserve OS Command Structure (aka ‘OS Command Injection’) : Không đảm bảo được tính vẹn toàn trong cấu trúc OS command (lệnh thực thi của HĐH)
CWE-319: Cleartext Transmission of Sensitive Information: Không mã hóa các thông tin nhạy cảm được truyền tải.
CWE-352: Cross-Site Request Forgery (CSRF): Mắc lỗi giả mạo request
CWE-362: Race Condition
CWE-209: Error Message Information Leak: Lộ thông tin trong thông báo lỗi
Risky Resource Management

The weaknesses in this category are related to ways in which software does not properly manage the creation, usage, transfer, or destruction of important system resources.
CWE-119: Failure to Constrain Operations within the Bounds of a Memory Buffer: Không đảm bảo ràng buộc toán tử trong phạm vi của vùng đệm bộ nhớ.
CWE-642: External Control of Critical State Data: Mở khả năng điều khiển các dữ liệu trạng thái quan trọng
CWE-73: External Control of File Name or Path: Mở khả năng điều khiển tên file và path
CWE-426: Untrusted Search Path: Không kiểm soát được đường dẫn cho chương trình khi tìm kiếm.
CWE-94: Failure to Control Generation of Code (aka ‘Code Injection’): Không đảm bảo được các mã tự động phát sinh.
CWE-494: Download of Code Without Integrity Check: Tải mã mà không cần kiểm tra tính toàn vẹn.
CWE-404: Improper Resource Shutdown or Release: Có vấn đề khi dừng hoặc phân phát tài nguyên
CWE-665: Improper Initialization: Có vấn đề trong quá trình khởi tạo
CWE-682: Incorrect Calculation: Tính toán không đúng kết quả.
Porous Defenses

The weaknesses in this category are related to defensive techniques that are often misused, abused, or just plain ignored.
CWE-285: Improper Access Control (Authorization): Không kiểm tra kiểm soát các truy cập (chứng thực người dùng)
CWE-327: Use of a Broken or Risky Cryptographic Algorithm: Sử dụng các thuật toán đã bị bẽ gãy hoặc yếu.
CWE-259: Hard-Coded Password: Mật khẩu mặc định trong mã
CWE-732: Insecure Permission Assignment for Critical Resource: Không gán quyền phù hợp cho các tài nguyên quan trọng
CWE-330: Use of Insufficiently Random Values: Sử dụng các giá trị ngẫu nhiên có giá trị thấp
CWE-250: Execution with Unnecessary Privileges: Sơ hở khi thực thi các ứng dụng ngoài không được kiểm định.
CWE-602: Client-Side Enforcement of Server-Side Security: Quá chú trọng vào client-side mà không quan tâm đến bảo mật từ server-side.

http://cwe.mitre.org/top25/#Brief

1. Geolocation: chưa có tác dụng nhiều ở Việt Nam
   
2. @font-face css: tính năng này không hiểu sao trước kia bị khai trừ thì nay lại được hỗ trợ. Cũng khá nếu muốn dùng font Thư pháp thay vì hình ảnh
   
3. Video and Audio: Nếu người dùng không cài plugin, <video> và <audio> tag cũng giúp ít phần nào. Nhưng cái chính vẫn là các nhà phát triển web có chịu dùng OGG hay không.
   
4. XHR Progress Notification: Sau bao nhiêu chờ đợi, cuối cùng thì “hắn” cũng xuất hiện.
5. XHR Cross-site Access Control: Thánh thần hay security hole?
6. TraceMonkey: Cô nàng “sát thủ” mới trong làng javascript engine. Cô đã làm cho 2 chàng O và O một phen hú vía, nhưng chưa biết sắp tới chuyện gì sẽ xảy ra tiếp theo. Ai sẽ hy sinh đây???

http://developer.mozilla.org/web-tech/2008/10/14/firefox-31-beta-1-an-overview-of-features-for-web-developers/

http://img247.imageshack.us/img247/6593/worldwidewebcitynw8.jpg

Google đang vươn những đôi “chân dài” sắc bén với một “bộ não” vững chắc nhưng cũng không kém phần “ác độc”

The Windows Template Library (WTL) is MFC on template-based steroids - after a successful stretch on the slimfast plan. WTL provides the user-interface frameworks that we need to write proper GUI applications without resorting to the bloated MFC or complicated pure Win32 API programming. A number of the “must-have” classes from MFC are also available as WTL utility classes too, welcome back your old friends CPoint, CSize, CRect and most importantly CString! WTL produces small executables that do not require the MFC run time libraries - in fact if you stay clear of the Visual C++ runtime functions (strcpy and friends) you can dispense with msvcrt.dll as well - leading to really small programs, which run fast too.
http://www.pnotepad.org/articles/wtljoys.html

Có lẽ vì vậy mà Google Chrome chưa có phiên bản cho các HĐH khác. Tôi nhận thấy có sự trùng hợp: Yahoo chỉ tập trung phát triển Yahoo Messeger của họ cho Windows và giờ đây Google cũng làm tương tự như vậy chăng?

Windows cho người dùng đại trà, Mac cho dân đồ họa và Linux nói chung cho dân kỹ thuật. Cũng có thể vì lẽ đó mà các sản phẩm mang tính đại trà chỉ tập trung phát triển cho Windows.

Lại nói về Google Chrome, tôi hơi bất ngờ với cách làm theme, ôi: default.dll. Quả thật nó hơi nặng mùi Microsoft. Tôi cũng không hiểu sao Google lại làm như vậy, bởi vì nó khó khăn quá nhiều nếu tìm hiểu và từ chỗ không có tài liệu để tự làm theme như cách mà nhiều trình duyệt khác làm là cho vào file nén zip. Tuy nhiên, cách này cũng có cái hay, nó là một bài thuốc thử phản ứng hai lưỡi, hoặc là cho thấy cảm tình của người dùng đối với Google, hoặc là nhận được phản ứng mạnh, hoặc nếu không có phản ứng thì sẽ thực hiện chiến dịch II