Веб-разработчики пишут небезопасный код по умолчанию

Lazy Badger
На сайте с 14.06.2017
Offline
167
#41
SeVlad:
Надежда на эффект неуловимого Джо в безопасности - одна из самых дорогих ошибок.

Не мешай "молодому прогрессивному" самостоятельно пробежать по граблям. Товарисч ну очень хочет

Производство жести методом непрерывного отжига
SV
На сайте с 03.11.2008
Online
1346
#42
LazyBadger:
Не мешай "молодому прогрессивному" самостоятельно пробежать по граблям.

Ну тут ты не прав. RiDDi достаточно компетентен во многих вопросах.

Ну а ошибки/заблуждения - ну у кого их не бывает ;)

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
Lazy Badger
На сайте с 14.06.2017
Offline
167
#43
SeVlad:
Ну тут ты не прав. RiDDi достаточно компетентен во многих вопросах.

Так я и не стебусь в остальных вопросах, только в том единственном, что инфобезопасник из него так себе (при том, что про физбезопасность излагает достаточно внятно, а прочего - просто не видел и посему не критикую)

IL
На сайте с 20.04.2007
Offline
412
#44
SeVlad:
Надежда на эффект неуловимого Джо
SeVlad:
Ну а ошибки/заблуждения - ну у кого их не бывает

При всём уважении.. ))

RiDDi:
важен сам фактор информированности и его вектор

Строго говоря, если обратиться к базовым понятиям ИБ - уязвимость и источник угрозы формируют угрозу. Меры (защитные) направлены на минимизацию или устранение сочетаний уязвимость + источник угрозы..

Т.е. даже если у меня суперстарая версия CMS с кучей уязвимостей в админке, но я в .htaccess ограничил доступ к админке (принял меры) по одному IP (а ещё интереснее - по сочетанию IP + некий хитрый USERAGENT), то с достаточно большой вероятностью уязвимости административного раздела (в том числе и слабого пароля.. там же, кстати и уязвимости различного рода контент-менеджеров и загрузчиков файлов ) источник угрозы (злоумышленник) не достигнет..

p.s. Это не означает, что "лёгким движением руки" удаётся полностью на 100% обезопасить систему (сайт). Это всего лишь подтверждает, что ИБ - понятие комплексное

_SP_:
Ничего интегрального там нету, почитайте википедию про интегральность

(пожалуй, более уместно, нежели "интегральное", однако, в некотором смысле они близки - можно почитать википедию /в контексте "всех сфер..."), а вовремя не закрытая (доступная для источника угроз - злоумышленника) уязвимость на уровне OS, web-сервера или почтового сервера вполне может свести на нет все ранее принятые защитные меры..

edogs software
На сайте с 15.12.2005
Offline
714
#45

У многих в проектах файл с доступом в базу лежит в открытом доступе, вместе со ссылкой на пхпмайадмин для входа в нее, потому что "заказчику так удобнее"©

А тут на полном серьезе рассуждают достаточно ли криптоустойчив sha или надо использовать bcrypt, давайте еще преимущества i++ над ++i обсудим что-ли 😂

Разработка крупных и средних проектов. Можно с криптой. Разумные цены. Хорошее качество. Адекватный подход.
WapGraf
На сайте с 30.09.2009
Offline
451
#46

Более того, взлом старых CMS возможен не только с использованием админ доступа. Уязвимости находят в совсем не ожидаемых местах.

EuroHoster.org ( https://eurohoster.org/link.php?id=42 ) - территория быстрых серверов. Intel Xeon E-2278G (8 ядер, 16 потоков, 3.40 GHz, 5.00GHz Turbo) Поддержим ваш бизнес - 40% скидка на VPS ( https://eurohoster.org/index.php?rp=/announcements/321/Поддержим-ваш-бизнес.html )
SV
На сайте с 03.11.2008
Online
1346
#47
ivan-lev:
При всём уважении.. ))

Я про вектор совершено согласен и специально обрезал цитату, чтобы акцентировать даже не RiDDi , а скорее читателей топика именно на этом аспекте "секретности".

ivan-lev:
или почтового сервера вполне может свести на нет все ранее принятые защитные меры..

Вот как раз отличный пример. И взглянув шире (абстрагируясь от конкретики) - он показывает, что можно обойти кучу защит, но никакая "последняя миля" (в контексте топика - пароль) не будет лишней. Тем более что для её реализации не требуется особых усилий и ресурсов.

ivan-lev:
ИБ - понятие комплексное

+100500

"безопасность это долгая и кропотливая работа с яркой систематической составляющей." (с)RiDDi :)

edogs:
У многих в проектах файл с доступом в базу лежит в открытом доступе, вместе со ссылкой на пхпмайадмин для входа в нее, потому что "заказчику так удобнее"©

Если разраб не может объяснить заказчику опасность таких хотелок - это говноразраб. Об таких и топик.

Дерн
На сайте с 30.03.2018
Offline
10
#48
RiDDi:

И на счет паролей. Если ознакомиться с рынком "логов" то по группировке данных сразу видно, что жертвами, в основном, являются как раз "контейнерщики" - кто хранит в специальных программах для хранения. После открытия контейнера данные становятся доступными для интерфейсного сниффера - который имитируя действия пользователя пробегает по всем спискам копируя оттуда данные.

Можно предметно рассказать, о чем речь? Что за рынок логов и по какому параметру производилась "группировка данных"?

L
На сайте с 10.02.2015
Offline
117
#49

А на каких фреймворках писали эти разрабы?

SV
На сайте с 03.11.2008
Online
1346
#50

А такие вот ласточки от таких разработчиков

Утечка 28 млн записей, используемых в платформе биометрической идентификации BioStar 2 :

открытых паролей (без хэширования

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий