Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
PHP Puzzles. Авторы: Кузнецов М.В., Симдянов И.В. PHP. Практика создания Web-сайтов (второе издание). Авторы: Кузнецов М.В., Симдянов И.В. Объектно-ориентированное программирование на PHP. Авторы: Кузнецов М.В., Симдянов И.В. Программирование. Ступени успешной карьеры. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель PHP 5 / 6 (3 издание). Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: Насколько безопасно вообще на форуме приводить код?
 
 автор: usa   (10.12.2011 в 07:38)   письмо автору
 
 

насколько безопасно вообще на форуме приводить код?
Как вы приводите код? Есть ли возможность злоумышленникам, зная код, воспользоваться и навредить сайту

  Ответить  
 
 автор: lightning.say   (10.12.2011 в 08:28)   письмо автору
 
   для: usa   (10.12.2011 в 07:38)
 

ну, допустим, я злоумышленник, как я узнаю где и на каком сайте вы используете приведенный здесь код чтобы вам навредить?

  Ответить  
 
 автор: lightning.say   (10.12.2011 в 08:28)   письмо автору
 
   для: usa   (10.12.2011 в 07:38)
 

-

  Ответить  
 
 автор: cheops   (10.12.2011 в 15:01)   письмо автору
 
   для: usa   (10.12.2011 в 07:38)
 

С одной стороны не безопасно, с другой стороны вам наоборот могут указать на дыры. Многие программные проекты целенаправленно открывают код, чтобы исследователи могли обнаружить ошибки и уязвимости. Ведь злоумышленник может воспользоваться уязвимостью и без исходного кода, более того, задачу поиска уязвимостей или подбора эксплоита к ним можно автоматизировать и сокрытие кода не спасет.

  Ответить  
 
 автор: usa   (10.12.2011 в 19:01)   письмо автору
 
   для: cheops   (10.12.2011 в 15:01)
 

Правильно я понимаю, что код лучше приводить измененным? Т.е без указания сайта, с изменением имени базы данных?

  Ответить  
 
 автор: cheops   (10.12.2011 в 19:07)   письмо автору
 
   для: usa   (10.12.2011 в 19:01)
 

Это по большому счету не имеет значения, никто не лазит по форумам с целями найти уязвимый код, чтобы сломать сайт - это не продуктивно. Если хотят что-то сломать сразу ломают, опираются на открытые коды, если они доступны прямо на сайте или в дистрибутивах типовых приложений.

  Ответить  
 
 автор: usa   (10.12.2011 в 20:45)   письмо автору
 
   для: cheops   (10.12.2011 в 19:07)
 

А как узнать есть ли открытые коды на сайте?

  Ответить  
 
 автор: cheops   (10.12.2011 в 21:50)   письмо автору
 
   для: usa   (10.12.2011 в 20:45)
 

Как правило, ряд CMS вроде Joomla или форумов вроде phpBB довольно популярны и имеют открытый код, если вы видите уши этих приложений (названия идентификаторов, структура папок, функциональность, названия скриптов), то большинство кода будет доступно, даже если они подвергались довольно глубокой модификации.

  Ответить  
 
 автор: usa   (11.12.2011 в 04:43)   письмо автору
 
   для: cheops   (10.12.2011 в 21:50)
 

а вы можете посмотреть протестировать сайт на дыры? или как самому найти дыры?

  Ответить  
 
 автор: cheops   (11.12.2011 в 15:56)   письмо автору
 
   для: usa   (11.12.2011 в 04:43)
 

Вообще да, но это очень серьезная работа, требующая изрядного времени. Кроме того, когда идет аудит сайта, профессионалы редко тестируют его с внешней стороны - это еще дольше (для взломщика - это игра, а не работа, они это время спокойно тратят), поэтому анализируют коды, пишут для них тесты, просто рассматривают каналы движения информации.

  Ответить  
 
 автор: usa   (11.12.2011 в 18:21)   письмо автору
 
   для: cheops   (11.12.2011 в 15:56)
 

правильно ли я понимаю, что любой сайт имеет дыры? в т.ч и и ваш? мое мнение основано на том, что периодически в прессе проходит информация, что взломан сайт какой-то корпорации, наверняка, имеющей в штате не пару профессиональных программистов.

Мой вопрос: как максимально защитить свой сайт? Если можно приведите коды, которые нужно прописать на каждой страничке сайта

  Ответить  
 
 автор: cheops   (11.12.2011 в 18:30)   письмо автору
 
   для: usa   (11.12.2011 в 18:21)
 

Скажем так, дыры часто появляются на новом ПО или при активной модификации старого. Да у нас дыры были и их находили (как лояльные посетители, так и не очень, парочку даже ловили в реале и судили, так как мы пишем книги в том числе и по безопасности этот вопрос прорабатывался и прорабатывается довольно активно). Поискать дыры можно на нашем сайте, но найти их довольно сложно - тут уже в этом плане стадо слонов прошлось. Однако, есть еще одна составляющая - это сервера. Т.е. можно взломать не только сайт, собственно, профессионалов они не очень интересуют, а сам сервер - это другой уровень, другие методы и другие люди. Можно взломать не сервер, а клиентскую машину, с которой на сервер обращаются по паролю. Можно получить пароль и методами соц.инженерии. Т.е. точек атаки очень много, качественно их закрыть их все - очень дорого. Давление на эти точки возрастает с возрастанием популярности или величины компании. Расходы на защиту растут в несколько раз выше, чем расходы на нападение. Не сложно защитить небольшой сайт, который никому не нужен, сложнее защитить портал, сложнее защитить портал авторов книг по безопасности, крупную компанию защитить - безумно дорого и сложно, там уже нужно думать об архитектуре защиты, о быстром восстановлении после взлома и кучи других вещей.

  Ответить  
 
 автор: cheops   (11.12.2011 в 18:40)   письмо автору
 
   для: usa   (11.12.2011 в 18:21)
 

>Мой вопрос: как максимально защитить свой сайт? Если можно приведите коды, которые нужно
>прописать на каждой страничке сайта
Это не совсем корректный вопрос. Чтобы создавать безопасный код, нужно понимать проблематику безопасности достаточно глубоко. По аналогии с программированием, ваш вопрос звучит так: я знаю, что программы состоят из нескольких файлов, если можно приведите, что нужно писать в каждом файле, чтобы получались нужные мне программы. Нельзя просто писать код, который вы не понимаете, который не ваш и верить в то, что он будет защищать ваш код. Нужно четко понимать методы взлома и как им противостоять. Я понимаю, что ломать свой собственный код у вас рука не поднимается, поэтому вы хотите универсальную защиту (которую за вас придумают люди, в этом разбирающиеся). Этого нельзя сделать, но можно сделать из вас специалиста, который будет разбираться пусть не во всех проблемах безопасности, но хотя бы в тех, что имеют место в Web. Поэтому мы в свое время создали задачник по безопасности, которому маркетологи дали дурацкое название "Головоломки на PHP для хакера", а вообще это тренажер безопасности, он проводит вас по разнообразным методам взлома, заставляя ломать чужой код до тех пор, пока вы не будете знать, как ломаются Web-приложения, по каким механизмам, как этому противостоять. Тогда создавая свой код, вы всегда помните о том, как он может быть взломан и проблема безопасности решается не отдельными функциями, она заложена в само приложение, начиная с проектирования, заканчивая самой последней функцией - каждая строка написана с учетом проблемы безопасности.

  Ответить  
 
 автор: usa   (12.12.2011 в 08:35)   письмо автору
 
   для: cheops   (11.12.2011 в 18:40)
 

Благодарю за ответ.
Буду изучать вашу книгу.

  Ответить  
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования