Веб-разработчики пишут небезопасный код по умолчанию

1 2345 6
Дерн
На сайте с 30.03.2018
Offline
10
#31
SeVlad:
Лет за 10 до рождения джавы точно.
А если посчитать goto, то да, в 70е.

Понятненько. В середине восьмидесятых, значит. Ну да, ведь именно тогда в индии случилась IT-революция, приведшая, помимо прочего, к взрывному росту аутсорса.

Хватит юлить, это смешно.

RiDDi
На сайте с 06.06.2010
Offline
257
#32

Ой-ой.

Во-первых, шифрование, внезапно, мало имеет отношения к безопасности. Безопасность это интегральная характеристика всей системы целиком да ещё, нередко, в контексте смежных систем.

Например снаружи двери супер-пупер крутой биометрический ультразвуковой сканер со всеми шифрованиями и самоуничтожением при вскрытии. А от него идут два провода внутрь двери сразу на реле :)

Это, кстати, из вопросов которыми я проверяю разработчиков на логику и понимание безопасности. И правильный ответ как раз не шифровать управляющий сигнал от сканера, нет. Правильный ответ - передавать только сырые данные и проводить анализ в достаточно защищенном месте - которое, собственно, охраняется этой дверью, - внутри.

Во-вторых, программисты без конкретного указания использовали ресурсоемкие способы шифрования и Вы это считаете достоинством? Серьезно? Я бы назвал это недостатком и недостатком серьезным: нет ничего хуже чем излишняя инициативность особенно в наше время высокоуровнев0й разработки. Кто-то добавил шифрование от себя, а пол города без света осталось 🤣

И на счет паролей. Если ознакомиться с рынком "логов" то по группировке данных сразу видно, что жертвами, в основном, являются как раз "контейнерщики" - кто хранит в специальных программах для хранения. После открытия контейнера данные становятся доступными для интерфейсного сниффера - который имитируя действия пользователя пробегает по всем спискам копируя оттуда данные.

Вебмастер отдыхает на бережках морей. Заработок в интернете - дело техники.
SV
На сайте с 03.11.2008
Online
1348
#33
RiDDi:
Во-первых, шифрование, внезапно, мало имеет отношения к безопасности.

Тут ты и прав и не прав одновременно ;) Шифрование действительно мелочь в системе безопасности. НО! шифрование паролей (как хранимых, так и при передаче) - первичное требование безопасности. И (возвращаться к топику) показывает ответственность/квалификацию разрабов.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
_
На сайте с 24.03.2008
Offline
357
#34
RiDDi:
Безопасность это интегральная характеристика всей системы целиком да ещё, нередко, в контексте смежных систем.

Ничего интегрального там нету, почитайте википедию про интегральность :) если уж в школе прогуливали.

Безопасность системы вовсе не сумма чего-либо, она равна безопасности самой небезопасной части.

IL
На сайте с 20.04.2007
Offline
412
#35
_SP_:
Безопасность системы вовсе не сумма чего-либо, она равна безопасности самой небезопасной части.

А есть формула простенькая, так чтоб не слишком заморачиваться?)))

---------- Добавлено 17.06.2019 в 15:14 ----------

_SP_:
она равна безопасности самой небезопасной части

Если представить совсем небезопасный пароль на винду 123 (без сетки.. или за каким-нибудь сетевым экраном без доступа внутрь) в сочетании с супер-ограниченным доступом к компьютеру (охрана, персонализированный доступ, закрытое помещение без окон без дверей, с генераторами шума и прочими), справедливо ли считать, что безопасность системы сводится к безопасности пароля?

_
На сайте с 24.03.2008
Offline
357
#36
ivan-lev:
А есть формула простенькая, так чтоб не слишком заморачиваться?)))

Security = MIN( sec1, ... secn)

IL
На сайте с 20.04.2007
Offline
412
#37
_SP_:
Security = MIN( sec1, ... secn)

А как sec рассчитать?
И в чём измерять?

RiDDi
На сайте с 06.06.2010
Offline
257
#38
_SP_:
Ничего интегрального там нету, почитайте википедию про интегральность :) если уж в школе прогуливали.

Безопасность системы вовсе не сумма чего-либо, она равна безопасности самой небезопасной части.

Нет, неверно. В информационной безопасности в отличии от какой-либо другой важен сам фактор информированности и его вектор. Это сложно объяснить не имеющим профильного образования вроде Вас, - приведу пример: это как если бы безопасность автомобиля оценивалась бы с точки зрения его вероятного полёта и плаванья и волочения на крыше, кувырканья кубарем и т.п. Несложно понять, что в итоге дело упрется в некоторое соотношение угроз и возможных способов противостояния и "небезопасные" части будут повсюду так как решается задача именно держать сумму угроз примерно равной сумме защиты.

В моем примере с дверью очевидно, что при передаче сырых данных возможна установка сниффера на этот канал или брут данными анализатора. И нужно учитывать состояние всех смежных систем где так же есть "небезопасные части" по вашей примитивной логике.

Именно через смежные зависимости чаще всего и происходят атаки. Там, где разработчики рассуждали как Вы или вообще не имели доступа и информации: я такое постоянно наблюдаю, например, в военной сфере где права выдаются "линейно" без учета зависимостей системы и проблемы решаются как раз по "слабому месту": а, зачем дополнительные модули для кодирования декодирования, давайте тут просто часового поставим и всего делов-то.

suffix
На сайте с 26.08.2010
Offline
257
#39
RiDDi:
давайте тут просто часового поставим и всего делов-то.

Если у часового родственники находятся у системы в заложниках (то есть часовой неподкупен), то почему бы и нет :)

Клуб любителей хрюш (https://www.babai.ru)
SV
На сайте с 03.11.2008
Online
1348
#40
RiDDi:
В информационной безопасности в отличии от какой-либо другой важен сам фактор информированности

Надежда на эффект неуловимого Джо в безопасности - одна из самых дорогих ошибок.

1 2345 6

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий