Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 24.05.2019, 11:09   #31
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,685
Репутация: 1432637

ТопикСтартер Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от ivan-lev Посмотреть сообщение
А Iteration - это параметр, указывающий количество итераций, использованных при хэшировании.
Да, я таки его не правильно понял.
Цитата:
Сообщение от ivan-lev Посмотреть сообщение
К вопросу о DOS атаке при использовании функции хэширования с большой вычислительной сложностью - одновременная аутентификация большого количества пользователей может занять значительную часть вычислительных мощностей сервера. В уме держим по HTTP-соединению на пользователя, подключение к БД, активную сессию.. и всё это висит и ждёт, пока "нас посчитают", отъедая ресурсы у "обычных" пользователей (доступность)
Нууу.... тут связывать зависимости применяемого метода криптования с атакой совсем не корректно. С таким же успехом можно говорить об успешности ДДОСа при использовании проектом базы данных.

Цитата:
Сообщение от _SP_ Посмотреть сообщение
Много писать,
В таком случае лучше бы ты держал своё обещание не раскрывать рта в мою сторону. А то только дурно пахнущий ветер создаётся.
__________________
Делаю сайты для людей. Предпочтение коммерческим направлениям.
Топики помощи с ⓌordPress и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 150$ ***
SeVlad на форуме   Ответить с цитированием

Реклама
Старый 07.06.2019, 11:52   #32
Дерн
Цифровое НКВД
 
Аватар для Дерн
 
Регистрация: 30.03.2018
Сообщений: 16
Репутация: -431

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Лет за 10 до рождения джавы точно.
А если посчитать goto, то да, в 70е.
Понятненько. В середине восьмидесятых, значит. Ну да, ведь именно тогда в индии случилась IT-революция, приведшая, помимо прочего, к взрывному росту аутсорса.

Хватит юлить, это смешно.
Дерн вне форума   Ответить с цитированием
Старый 17.06.2019, 10:17   #33
RiDDi
Академик
 
Аватар для RiDDi
 
Регистрация: 06.06.2010
Сообщений: 2,677
Репутация: 540437

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Ой-ой.

Во-первых, шифрование, внезапно, мало имеет отношения к безопасности. Безопасность это интегральная характеристика всей системы целиком да ещё, нередко, в контексте смежных систем.

Например снаружи двери супер-пупер крутой биометрический ультразвуковой сканер со всеми шифрованиями и самоуничтожением при вскрытии. А от него идут два провода внутрь двери сразу на реле

Это, кстати, из вопросов которыми я проверяю разработчиков на логику и понимание безопасности. И правильный ответ как раз не шифровать управляющий сигнал от сканера, нет. Правильный ответ - передавать только сырые данные и проводить анализ в достаточно защищенном месте - которое, собственно, охраняется этой дверью, - внутри.

Во-вторых, программисты без конкретного указания использовали ресурсоемкие способы шифрования и Вы это считаете достоинством? Серьезно? Я бы назвал это недостатком и недостатком серьезным: нет ничего хуже чем излишняя инициативность особенно в наше время высокоуровнев0й разработки. Кто-то добавил шифрование от себя, а пол города без света осталось

И на счет паролей. Если ознакомиться с рынком "логов" то по группировке данных сразу видно, что жертвами, в основном, являются как раз "контейнерщики" - кто хранит в специальных программах для хранения. После открытия контейнера данные становятся доступными для интерфейсного сниффера - который имитируя действия пользователя пробегает по всем спискам копируя оттуда данные.
__________________
Вебмастер отдыхает на бережках морей. Заработок в интернете - дело техники.

Последний раз редактировалось RiDDi; 17.06.2019 в 10:34..
RiDDi вне форума   Ответить с цитированием
Старый 17.06.2019, 10:59   #34
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,685
Репутация: 1432637

ТопикСтартер Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от RiDDi Посмотреть сообщение
Во-первых, шифрование, внезапно, мало имеет отношения к безопасности.
Тут ты и прав и не прав одновременно Шифрование действительно мелочь в системе безопасности. НО! шифрование паролей (как хранимых, так и при передаче) - первичное требование безопасности. И (возвращаться к топику) показывает ответственность/квалификацию разрабов.
SeVlad на форуме   Ответить с цитированием
Старый 17.06.2019, 15:03   #35
_SP_
Академик
 
Регистрация: 24.03.2008
Адрес: MSK
Сообщений: 3,594
Репутация: 359125

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от RiDDi Посмотреть сообщение
Безопасность это интегральная характеристика всей системы целиком да ещё, нередко, в контексте смежных систем.
Ничего интегрального там нету, почитайте википедию про интегральность если уж в школе прогуливали.

Безопасность системы вовсе не сумма чего-либо, она равна безопасности самой небезопасной части.
_SP_ вне форума   Ответить с цитированием
Старый 17.06.2019, 15:08   #36
ivan-lev
Академик
 
Регистрация: 20.04.2007
Сообщений: 3,732
Репутация: 848865

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от _SP_ Посмотреть сообщение
Безопасность системы вовсе не сумма чего-либо, она равна безопасности самой небезопасной части.
А есть формула простенькая, так чтоб не слишком заморачиваться?)))

---------- Добавлено 17.06.2019 в 15:14 ----------

Цитата:
Сообщение от _SP_ Посмотреть сообщение
она равна безопасности самой небезопасной части
Если представить совсем небезопасный пароль на винду 123 (без сетки.. или за каким-нибудь сетевым экраном без доступа внутрь) в сочетании с супер-ограниченным доступом к компьютеру (охрана, персонализированный доступ, закрытое помещение без окон без дверей, с генераторами шума и прочими), справедливо ли считать, что безопасность системы сводится к безопасности пароля?
__________________
.. :)
ivan-lev вне форума   Ответить с цитированием
Сказали спасибо:
Старый 17.06.2019, 15:18   #37
_SP_
Академик
 
Регистрация: 24.03.2008
Адрес: MSK
Сообщений: 3,594
Репутация: 359125

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от ivan-lev Посмотреть сообщение
А есть формула простенькая, так чтоб не слишком заморачиваться?)))
Security = MIN( sec1, ... secn)
_SP_ вне форума   Ответить с цитированием
Старый 17.06.2019, 15:24   #38
ivan-lev
Академик
 
Регистрация: 20.04.2007
Сообщений: 3,732
Репутация: 848865

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от _SP_ Посмотреть сообщение
Security = MIN( sec1, ... secn)
А как sec[i] рассчитать?
И в чём измерять?
ivan-lev вне форума   Ответить с цитированием
Старый 17.06.2019, 22:04   #39
RiDDi
Академик
 
Аватар для RiDDi
 
Регистрация: 06.06.2010
Сообщений: 2,677
Репутация: 540437

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от _SP_ Посмотреть сообщение
Ничего интегрального там нету, почитайте википедию про интегральность если уж в школе прогуливали.

Безопасность системы вовсе не сумма чего-либо, она равна безопасности самой небезопасной части.
Нет, неверно. В информационной безопасности в отличии от какой-либо другой важен сам фактор информированности и его вектор. Это сложно объяснить не имеющим профильного образования вроде Вас, - приведу пример: это как если бы безопасность автомобиля оценивалась бы с точки зрения его вероятного полёта и плаванья и волочения на крыше, кувырканья кубарем и т.п. Несложно понять, что в итоге дело упрется в некоторое соотношение угроз и возможных способов противостояния и "небезопасные" части будут повсюду так как решается задача именно держать сумму угроз примерно равной сумме защиты.

В моем примере с дверью очевидно, что при передаче сырых данных возможна установка сниффера на этот канал или брут данными анализатора. И нужно учитывать состояние всех смежных систем где так же есть "небезопасные части" по вашей примитивной логике.

Именно через смежные зависимости чаще всего и происходят атаки. Там, где разработчики рассуждали как Вы или вообще не имели доступа и информации: я такое постоянно наблюдаю, например, в военной сфере где права выдаются "линейно" без учета зависимостей системы и проблемы решаются как раз по "слабому месту": а, зачем дополнительные модули для кодирования декодирования, давайте тут просто часового поставим и всего делов-то.
RiDDi вне форума   Ответить с цитированием
Старый 17.06.2019, 22:32   #40
suffix
Люблю жену
 
Аватар для suffix
 
Регистрация: 26.08.2010
Сообщений: 1,449
Репутация: 102721
Социальные сети Страница в Одноклассниках Профиль в ВКонтакте Профиль в LinkedIn

По умолчанию

Цитата:
Сообщение от RiDDi Посмотреть сообщение
давайте тут просто часового поставим и всего делов-то.
Если у часового родственники находятся у системы в заложниках (то есть часовой неподкупен), то почему бы и нет
suffix на форуме   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны