Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 26.04.2019, 16:29   #1
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,862
Репутация: 1446772

По умолчанию Веб-разработчики пишут небезопасный код по умолчанию

Довольно занимательные циферки как по мне приведены в исследовании Университета Бонна (Германия).
В данном случае речь о java-фрилансерах, но мне думается, что такая картина повсеместно, если не хуже - порог входа в java таки выше чем в тот же php.

Цитата:
Среди тех, кому не были предоставлены инструкции, 15 из 18 хранили пароли открытым текстом
Три человека из тех, кому поручили использовать защищённое хранилище, также хранили свои пароли в виде открытого текста.
Программисты, которые зашифровали пароли, использовали небезопасные методы: 31 программист использовал для шифрования такие методы, как Base64, MD5, SHA-1 и т. д.
Только 12 фрилансеров применили безопасные методы, такие как bcrypt и PBKDF2.


8 человек использовали для шифрования Base64
10 – MD5
1 – SHA-1
3 – 3DES
3 – AES
5 – SHA-256
1 – HMAC/SHA1
5 – PBKDF2
7 – Bcrypt
Пруф https://habr.com/ru/company/globalsign/blog/449452/
__________________
Делаю сайты для людей. Предпочтение коммерческим направлениям.
Топики помощи с ⓌordPress и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 150$ ***
SeVlad на форуме   Ответить с цитированием

Реклама
Старый 26.04.2019, 17:57   #2
_SP_
Академик
 
Регистрация: 24.03.2008
Адрес: MSK
Сообщений: 3,685
Репутация: 368192

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Вопрос не в пороге вхождения, а в том, кому за что платят.
Когда ко мне в руки попадает какой-то проект, и в нём пароли юзеров хранятся в файле user.txt в формате nameassword, я обычно сообщаю о данном факте тому с кем имею дело. Заказчику. Покупателю. Нанимателю.

Менее 10%(да даже менее 5%, да может и трех...) просят сделать что-нибудь, кроме того, что "не иметь мне мозги, да какая нахрен разница, у нас тут картинка вместо синей ЗЕЛЕНАЯ, ты понимаешь КАРТИНКАААААА !!!!"

И нет, никакие разговоры не имеют смысла.
Ни думать, ни платить тем кто думает средний заказчик не в состоянии.

При этом в целом... да хранятся и хрен с ними. В общем-то это беда небольшая.
Объективно есть вещи ГОРАЗДО хуже. И даже они никогда не бывают исправлены.

ЗЫ. Я вообще знаю только двух человек, которые делают резервные копии...
_SP_ вне форума   Ответить с цитированием
Сказали спасибо:
Старый 26.04.2019, 18:05   #3
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,862
Репутация: 1446772

ТопикСтартер Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от _SP_ Посмотреть сообщение
Вопрос не в пороге вхождения, а в том, кому за что платят.
Не, у и это конечно тоже. Особенно "кому".
Нормальный разраб во первых знает такие элементарные вещи, а во вторых не будет специально так косячить потому что ему-де мало заплатили. Мало - просто не возьмётся. А взявшись должен сделать как положено. ЯЩЕТАЮ.
SeVlad на форуме   Ответить с цитированием
Старый 26.04.2019, 18:13   #4
_SP_
Академик
 
Регистрация: 24.03.2008
Адрес: MSK
Сообщений: 3,685
Репутация: 368192

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Еще раз намекну: даже когда результаты "бесплатного аудита" показывают подобного рода косяки, >90% заказчиков склонны "заметать их под ковёр".

А что ВСЕ пишут небезопасный код - это как-бы первая вещь, которую стоит понимать... весь вопрос в том, насколько он небезопасен и каковы могут быть последствия.
_SP_ вне форума   Ответить с цитированием
Сказали спасибо:
Старый 26.04.2019, 18:16   #5
LEOnidUKG
『 Работаем 』
 
Аватар для LEOnidUKG
 
Регистрация: 25.11.2006
Адрес: Интернет
Сообщений: 22,684
Репутация: 1994137
Отправить сообщение для LEOnidUKG с помощью ICQ

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Нормальный разраб
Стоит нормальных денег
LEOnidUKG вне форума   Ответить с цитированием
Старый 13.05.2019, 23:57   #6
Дерн
Цифровое НКВД
 
Аватар для Дерн
 
Регистрация: 30.03.2018
Сообщений: 16
Репутация: -431

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от SeVlad Посмотреть сообщение
порог входа в java таки выше чем в тот же php.
Давно уже нет, да и почти никогда этого не было. Java исторически собрала раздолбаев, которым не по зубам оказались Си, но хотелось легих денег на жирном энтерпрайзе. Сверху полирнули осколками разбившегося сообщества дельфистов. Короче, вывод 1С-ников на марафете.

Мне вот интересно было бы посмотреть на географические (если не сказать этнические ) характеристики выборки
Дерн вне форума   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 14.05.2019, 00:07   #7
-= Serafim =-
Moderator
 
Регистрация: 10.12.2006
Сообщений: 21,756
Репутация: 2034030

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от Дерн
Java исторически собрала раздолбаев, которым не по зубам оказались Си
Тут нужна гифка с Вангой и надписью "Вижу, что ты C программист."
-= Serafim =- вне форума   Ответить с цитированием
Старый 14.05.2019, 00:47   #8
Дерн
Цифровое НКВД
 
Аватар для Дерн
 
Регистрация: 30.03.2018
Сообщений: 16
Репутация: -431

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от -= Serafim =- Посмотреть сообщение
Тут нужна гифка с Вангой и надписью "Вижу, что ты C программист."
Кстати, нет. Упомянутый ранее порог вхождения у джавы объективно ниже, чем у какого-нибудь МФЦ, который примерно во времена взрывного расцвета джавы был на коне с нативной стороны баррикад. Ну и плюс все эти обещания ублажить своей кроссплатформенностью многочисленные эмбеды.... Еще вчера ты должен был знать набор инструкций своей железки, а сегодня пиу-пиу, пиши как под винду, а с остальным мы разберемся (якобы).

Я не пытаюсь задеть чьи-либо профессиональные способности (во всяком случае, по языковому признаку), взрывное упрощение технологий написания кода было объективным требованием прогресса. Это случалось и до джавы, и после нее, да и уже не раз. А вообще, Маркс давно все пояснил
Изображения
 
Дерн вне форума   Ответить с цитированием
Старый 14.05.2019, 01:24   #9
-= Serafim =-
Moderator
 
Регистрация: 10.12.2006
Сообщений: 21,756
Репутация: 2034030

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от Дерн
Упомянутый ранее порог вхождения у джавы объективно ниже
Почему Вас так волнует порог вхождения? Боитесь конкуренции? Для хорошего специалиста всегда порог вхождения будет не так важен, ведь все равно нужно постоянно повышать навыки и опыт работы будет расти.
-= Serafim =- вне форума   Ответить с цитированием
Старый 14.05.2019, 02:03   #10
burunduk
Super Moderator
 
Аватар для burunduk
 
Регистрация: 09.01.2007
Сообщений: 18,035
Репутация: 2325832

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от Firesgame Посмотреть сообщение
Если заказывать кодинг у хакера,
то к ресурсу будет иметь доступ:
... абсолютно все
__________________
По многочисленным просьбам шаблон для сайта оптимизированный для продвижения
правильный конструктор сайтов
burunduk вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны