Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 18.06.2019, 09:00   #41
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,844
Репутация: 1441772

ТопикСтартер Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от RiDDi Посмотреть сообщение
В информационной безопасности в отличии от какой-либо другой важен сам фактор информированности
Надежда на эффект неуловимого Джо в безопасности - одна из самых дорогих ошибок.
__________________
Делаю сайты для людей. Предпочтение коммерческим направлениям.
Топики помощи с ⓌordPress и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 150$ ***
SeVlad вне форума   Ответить с цитированием

Реклама
Старый 18.06.2019, 10:28   #42
LazyBadger
Академик
 
Регистрация: 15.06.2017
Сообщений: 1,328
Репутация: 118886

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Надежда на эффект неуловимого Джо в безопасности - одна из самых дорогих ошибок.
Не мешай "молодому прогрессивному" самостоятельно пробежать по граблям. Товарисч ну очень хочет
__________________
Производство жести методом непрерывного отжига
LazyBadger на форуме   Ответить с цитированием
Старый 18.06.2019, 10:36   #43
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,844
Репутация: 1441772

ТопикСтартер Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от LazyBadger Посмотреть сообщение
Не мешай "молодому прогрессивному" самостоятельно пробежать по граблям.
Ну тут ты не прав. RiDDi достаточно компетентен во многих вопросах.
Ну а ошибки/заблуждения - ну у кого их не бывает
SeVlad вне форума   Ответить с цитированием
Старый 18.06.2019, 10:39   #44
LazyBadger
Академик
 
Регистрация: 15.06.2017
Сообщений: 1,328
Репутация: 118886

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Ну тут ты не прав. RiDDi достаточно компетентен во многих вопросах.
Так я и не стебусь в остальных вопросах, только в том единственном, что инфобезопасник из него так себе (при том, что про физбезопасность излагает достаточно внятно, а прочего - просто не видел и посему не критикую)
LazyBadger на форуме   Ответить с цитированием
Старый 20.06.2019, 23:26   #45
ivan-lev
Академик
 
Регистрация: 20.04.2007
Сообщений: 3,838
Репутация: 867203

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Надежда на эффект неуловимого Джо
Цитата:
Сообщение от SeVlad Посмотреть сообщение
Ну а ошибки/заблуждения - ну у кого их не бывает
При всём уважении.. ))
Цитата:
Сообщение от RiDDi Посмотреть сообщение
важен сам фактор информированности и его вектор
Строго говоря, если обратиться к базовым понятиям ИБ - уязвимость и источник угрозы формируют угрозу. Меры (защитные) направлены на минимизацию или устранение сочетаний уязвимость + источник угрозы..

Т.е. даже если у меня суперстарая версия CMS с кучей уязвимостей в админке, но я в .htaccess ограничил доступ к админке (принял меры) по одному IP (а ещё интереснее - по сочетанию IP + некий хитрый USERAGENT), то с достаточно большой вероятностью уязвимости административного раздела (в том числе и слабого пароля.. там же, кстати и уязвимости различного рода контент-менеджеров и загрузчиков файлов ) источник угрозы (злоумышленник) не достигнет..

p.s. Это не означает, что "лёгким движением руки" удаётся полностью на 100% обезопасить систему (сайт). Это всего лишь подтверждает, что ИБ - понятие комплексное
Цитата:
Сообщение от _SP_ Посмотреть сообщение
Ничего интегрального там нету, почитайте википедию про интегральность
(пожалуй, более уместно, нежели "интегральное", однако, в некотором смысле они близки - можно почитать википедию /в контексте "всех сфер..."), а вовремя не закрытая (доступная для источника угроз - злоумышленника) уязвимость на уровне OS, web-сервера или почтового сервера вполне может свести на нет все ранее принятые защитные меры..
__________________
.. :)
ivan-lev вне форума   Ответить с цитированием
Старый 20.06.2019, 23:56   #46
edogs
Писать: search@ник_тут.ru
 
Аватар для edogs
 
Регистрация: 16.12.2005
Адрес: St.Petersburg, Russia
Сообщений: 8,149
Репутация: 122149
Отправить сообщение для edogs с помощью Skype™

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

У многих в проектах файл с доступом в базу лежит в открытом доступе, вместе со ссылкой на пхпмайадмин для входа в нее, потому что "заказчику так удобнее"©
А тут на полном серьезе рассуждают достаточно ли криптоустойчив sha или надо использовать bcrypt, давайте еще преимущества i++ над ++i обсудим что-ли
__________________
Разработка проектов связанных с криптовалютой. Разумные цены. Хорошее качество. Адекватный подход.
Ищем админа на сервер, в личку: цену установки vdsmanager на hetzner и расстановку ИП.
edogs вне форума   Ответить с цитированием
Сказали спасибо 3 пользователей:
Старый 21.06.2019, 12:52   #47
WapGraf
Академик
 
Аватар для WapGraf
 
Регистрация: 30.09.2009
Адрес: Болгария
Сообщений: 5,277
Репутация: 198812
Отправить сообщение для WapGraf с помощью Skype™
Социальные сети

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Более того, взлом старых CMS возможен не только с использованием админ доступа. Уязвимости находят в совсем не ожидаемых местах.
WapGraf вне форума   Ответить с цитированием
Старый 21.06.2019, 12:58   #48
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,844
Репутация: 1441772

ТопикСтартер Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от ivan-lev Посмотреть сообщение
При всём уважении.. ))
Я про вектор совершено согласен и специально обрезал цитату, чтобы акцентировать даже не RiDDi , а скорее читателей топика именно на этом аспекте "секретности".
Цитата:
Сообщение от ivan-lev Посмотреть сообщение
или почтового сервера вполне может свести на нет все ранее принятые защитные меры..
Вот как раз отличный пример. И взглянув шире (абстрагируясь от конкретики) - он показывает, что можно обойти кучу защит, но никакая "последняя миля" (в контексте топика - пароль) не будет лишней. Тем более что для её реализации не требуется особых усилий и ресурсов.
Цитата:
Сообщение от ivan-lev Посмотреть сообщение
ИБ - понятие комплексное
+100500
"безопасность это долгая и кропотливая работа с яркой систематической составляющей." (с)RiDDi
Цитата:
Сообщение от edogs Посмотреть сообщение
У многих в проектах файл с доступом в базу лежит в открытом доступе, вместе со ссылкой на пхпмайадмин для входа в нее, потому что "заказчику так удобнее"©
Если разраб не может объяснить заказчику опасность таких хотелок - это говноразраб. Об таких и топик.
SeVlad вне форума   Ответить с цитированием
Сказали спасибо:
Старый 05.07.2019, 11:23   #49
Дерн
Цифровое НКВД
 
Аватар для Дерн
 
Регистрация: 30.03.2018
Сообщений: 16
Репутация: -431

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от RiDDi Посмотреть сообщение
И на счет паролей. Если ознакомиться с рынком "логов" то по группировке данных сразу видно, что жертвами, в основном, являются как раз "контейнерщики" - кто хранит в специальных программах для хранения. После открытия контейнера данные становятся доступными для интерфейсного сниффера - который имитируя действия пользователя пробегает по всем спискам копируя оттуда данные.
Можно предметно рассказать, о чем речь? Что за рынок логов и по какому параметру производилась "группировка данных"?
Дерн вне форума   Ответить с цитированием
Старый 13.07.2019, 16:03   #50
livetv
Профессор
 
Регистрация: 10.02.2015
Адрес: Киев
Сообщений: 936
Репутация: 2315

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

А на каких фреймворках писали эти разрабы?
livetv вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны