Веб-разработчики пишут небезопасный код по умолчанию

SV
На сайте с 03.11.2008
Offline
1394
9521

Довольно занимательные циферки как по мне приведены в исследовании Университета Бонна (Германия).

В данном случае речь о java-фрилансерах, но мне думается, что такая картина повсеместно, если не хуже - порог входа в java таки выше чем в тот же php.

Среди тех, кому не были предоставлены инструкции, 15 из 18 хранили пароли открытым текстом
Три человека из тех, кому поручили использовать защищённое хранилище, также хранили свои пароли в виде открытого текста.
Программисты, которые зашифровали пароли, использовали небезопасные методы: 31 программист использовал для шифрования такие методы, как Base64, MD5, SHA-1 и т. д.
Только 12 фрилансеров применили безопасные методы, такие как bcrypt и PBKDF2.


8 человек использовали для шифрования Base64
10 – MD5
1 – SHA-1
3 – 3DES
3 – AES
5 – SHA-256
1 – HMAC/SHA1
5 – PBKDF2
7 – Bcrypt

Пруф https://habr.com/ru/company/globalsign/blog/449452/

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
_
На сайте с 24.03.2008
Offline
357
#1

Вопрос не в пороге вхождения, а в том, кому за что платят.

Когда ко мне в руки попадает какой-то проект, и в нём пароли юзеров хранятся в файле user.txt в формате name:password, я обычно сообщаю о данном факте тому с кем имею дело. Заказчику. Покупателю. Нанимателю.

Менее 10%(да даже менее 5%, да может и трех...) просят сделать что-нибудь, кроме того, что "не иметь мне мозги, да какая нахрен разница, у нас тут картинка вместо синей ЗЕЛЕНАЯ, ты понимаешь КАРТИНКАААААА !!!!"

И нет, никакие разговоры не имеют смысла.

Ни думать, ни платить тем кто думает средний заказчик не в состоянии.

При этом в целом... да хранятся и хрен с ними. В общем-то это беда небольшая.

Объективно есть вещи ГОРАЗДО хуже. И даже они никогда не бывают исправлены.

ЗЫ. Я вообще знаю только двух человек, которые делают резервные копии...

SV
На сайте с 03.11.2008
Offline
1394
#2
_SP_:
Вопрос не в пороге вхождения, а в том, кому за что платят.

Не, у и это конечно тоже. Особенно "кому".

Нормальный разраб во первых знает такие элементарные вещи, а во вторых не будет специально так косячить потому что ему-де мало заплатили. Мало - просто не возьмётся. А взявшись должен сделать как положено. ЯЩЕТАЮ.

_
На сайте с 24.03.2008
Offline
357
#3

Еще раз намекну: даже когда результаты "бесплатного аудита" показывают подобного рода косяки, >90% заказчиков склонны "заметать их под ковёр".

А что ВСЕ пишут небезопасный код - это как-бы первая вещь, которую стоит понимать... весь вопрос в том, насколько он небезопасен и каковы могут быть последствия.

LEOnidUKG
На сайте с 25.11.2006
Offline
1553
#4
Нормальный разраб

Стоит нормальных денег :)

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
Дерн
На сайте с 30.03.2018
Offline
10
#5
SeVlad:
порог входа в java таки выше чем в тот же php.

Давно уже нет, да и почти никогда этого не было. Java исторически собрала раздолбаев, которым не по зубам оказались Си, но хотелось легих денег на жирном энтерпрайзе. Сверху полирнули осколками разбившегося сообщества дельфистов. Короче, вывод 1С-ников на марафете.

Мне вот интересно было бы посмотреть на географические (если не сказать этнические ) характеристики выборки 🚬

-S
На сайте с 10.12.2006
Offline
Модератор1196
#6
Дерн:
Java исторически собрала раздолбаев, которым не по зубам оказались Си

Тут нужна гифка с Вангой и надписью "Вижу, что ты C программист."

Дерн
На сайте с 30.03.2018
Offline
10
#7
-= Serafim =-:
Тут нужна гифка с Вангой и надписью "Вижу, что ты C программист."

Кстати, нет. Упомянутый ранее порог вхождения у джавы объективно ниже, чем у какого-нибудь МФЦ, который примерно во времена взрывного расцвета джавы был на коне с нативной стороны баррикад. Ну и плюс все эти обещания ублажить своей кроссплатформенностью многочисленные эмбеды.... Еще вчера ты должен был знать набор инструкций своей железки, а сегодня пиу-пиу, пиши как под винду, а с остальным мы разберемся (якобы).

Я не пытаюсь задеть чьи-либо профессиональные способности (во всяком случае, по языковому признаку), взрывное упрощение технологий написания кода было объективным требованием прогресса. Это случалось и до джавы, и после нее, да и уже не раз. А вообще, Маркс давно все пояснил 🍾

jpg js.jpg
-S
На сайте с 10.12.2006
Offline
Модератор1196
#8
Дерн:
Упомянутый ранее порог вхождения у джавы объективно ниже

Почему Вас так волнует порог вхождения? :) Боитесь конкуренции? Для хорошего специалиста всегда порог вхождения будет не так важен, ведь все равно нужно постоянно повышать навыки и опыт работы будет расти.

[Удален]
#9
Firesgame:
Если заказывать кодинг у хакера,
то к ресурсу будет иметь доступ:

... абсолютно все ;)

Solmyr
На сайте с 10.09.2007
Offline
495
#10

А почему SHA с salt`ом они считают небезопасным способом? Как его вскрывать?

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий