- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Надежда на эффект неуловимого Джо в безопасности - одна из самых дорогих ошибок.
Не мешай "молодому прогрессивному" самостоятельно пробежать по граблям. Товарисч ну очень хочет
Не мешай "молодому прогрессивному" самостоятельно пробежать по граблям.
Ну тут ты не прав. RiDDi достаточно компетентен во многих вопросах.
Ну а ошибки/заблуждения - ну у кого их не бывает ;)
Ну тут ты не прав. RiDDi достаточно компетентен во многих вопросах.
Так я и не стебусь в остальных вопросах, только в том единственном, что инфобезопасник из него так себе (при том, что про физбезопасность излагает достаточно внятно, а прочего - просто не видел и посему не критикую)
Надежда на эффект неуловимого Джо
Ну а ошибки/заблуждения - ну у кого их не бывает
При всём уважении.. ))
важен сам фактор информированности и его вектор
Строго говоря, если обратиться к базовым понятиям ИБ - уязвимость и источник угрозы формируют угрозу. Меры (защитные) направлены на минимизацию или устранение сочетаний уязвимость + источник угрозы..
Т.е. даже если у меня суперстарая версия CMS с кучей уязвимостей в админке, но я в .htaccess ограничил доступ к админке (принял меры) по одному IP (а ещё интереснее - по сочетанию IP + некий хитрый USERAGENT), то с достаточно большой вероятностью уязвимости административного раздела (в том числе и слабого пароля.. там же, кстати и уязвимости различного рода контент-менеджеров и загрузчиков файлов ) источник угрозы (злоумышленник) не достигнет..
p.s. Это не означает, что "лёгким движением руки" удаётся полностью на 100% обезопасить систему (сайт). Это всего лишь подтверждает, что ИБ - понятие комплексное
Ничего интегрального там нету, почитайте википедию про интегральность
(пожалуй, более уместно, нежели "интегральное", однако, в некотором смысле они близки - можно почитать википедию /в контексте "всех сфер..."), а вовремя не закрытая (доступная для источника угроз - злоумышленника) уязвимость на уровне OS, web-сервера или почтового сервера вполне может свести на нет все ранее принятые защитные меры..
У многих в проектах файл с доступом в базу лежит в открытом доступе, вместе со ссылкой на пхпмайадмин для входа в нее, потому что "заказчику так удобнее"©
А тут на полном серьезе рассуждают достаточно ли криптоустойчив sha или надо использовать bcrypt, давайте еще преимущества i++ над ++i обсудим что-ли 😂
Более того, взлом старых CMS возможен не только с использованием админ доступа. Уязвимости находят в совсем не ожидаемых местах.
При всём уважении.. ))
Я про вектор совершено согласен и специально обрезал цитату, чтобы акцентировать даже не RiDDi , а скорее читателей топика именно на этом аспекте "секретности".
или почтового сервера вполне может свести на нет все ранее принятые защитные меры..
Вот как раз отличный пример. И взглянув шире (абстрагируясь от конкретики) - он показывает, что можно обойти кучу защит, но никакая "последняя миля" (в контексте топика - пароль) не будет лишней. Тем более что для её реализации не требуется особых усилий и ресурсов.
ИБ - понятие комплексное
+100500
"безопасность это долгая и кропотливая работа с яркой систематической составляющей." (с)RiDDi :)
У многих в проектах файл с доступом в базу лежит в открытом доступе, вместе со ссылкой на пхпмайадмин для входа в нее, потому что "заказчику так удобнее"©
Если разраб не может объяснить заказчику опасность таких хотелок - это говноразраб. Об таких и топик.
И на счет паролей. Если ознакомиться с рынком "логов" то по группировке данных сразу видно, что жертвами, в основном, являются как раз "контейнерщики" - кто хранит в специальных программах для хранения. После открытия контейнера данные становятся доступными для интерфейсного сниффера - который имитируя действия пользователя пробегает по всем спискам копируя оттуда данные.
Можно предметно рассказать, о чем речь? Что за рынок логов и по какому параметру производилась "группировка данных"?
А на каких фреймворках писали эти разрабы?
А такие вот ласточки от таких разработчиков
Утечка 28 млн записей, используемых в платформе биометрической идентификации BioStar 2 :