|
|
|
| насколько безопасно вообще на форуме приводить код?
Как вы приводите код? Есть ли возможность злоумышленникам, зная код, воспользоваться и навредить сайту | |
|
|
|
|
|
|
|
для: usa
(10.12.2011 в 07:38)
| | ну, допустим, я злоумышленник, как я узнаю где и на каком сайте вы используете приведенный здесь код чтобы вам навредить? | |
|
|
|
|
|
|
|
для: usa
(10.12.2011 в 07:38)
| | - | |
|
|
|
|
|
|
|
для: usa
(10.12.2011 в 07:38)
| | С одной стороны не безопасно, с другой стороны вам наоборот могут указать на дыры. Многие программные проекты целенаправленно открывают код, чтобы исследователи могли обнаружить ошибки и уязвимости. Ведь злоумышленник может воспользоваться уязвимостью и без исходного кода, более того, задачу поиска уязвимостей или подбора эксплоита к ним можно автоматизировать и сокрытие кода не спасет. | |
|
|
|
|
|
|
|
для: cheops
(10.12.2011 в 15:01)
| | Правильно я понимаю, что код лучше приводить измененным? Т.е без указания сайта, с изменением имени базы данных? | |
|
|
|
|
|
|
|
для: usa
(10.12.2011 в 19:01)
| | Это по большому счету не имеет значения, никто не лазит по форумам с целями найти уязвимый код, чтобы сломать сайт - это не продуктивно. Если хотят что-то сломать сразу ломают, опираются на открытые коды, если они доступны прямо на сайте или в дистрибутивах типовых приложений. | |
|
|
|
|
|
|
|
для: cheops
(10.12.2011 в 19:07)
| | А как узнать есть ли открытые коды на сайте? | |
|
|
|
|
|
|
|
для: usa
(10.12.2011 в 20:45)
| | Как правило, ряд CMS вроде Joomla или форумов вроде phpBB довольно популярны и имеют открытый код, если вы видите уши этих приложений (названия идентификаторов, структура папок, функциональность, названия скриптов), то большинство кода будет доступно, даже если они подвергались довольно глубокой модификации. | |
|
|
|
|
|
|
|
для: cheops
(10.12.2011 в 21:50)
| | а вы можете посмотреть протестировать сайт на дыры? или как самому найти дыры? | |
|
|
|
|
|
|
|
для: usa
(11.12.2011 в 04:43)
| | Вообще да, но это очень серьезная работа, требующая изрядного времени. Кроме того, когда идет аудит сайта, профессионалы редко тестируют его с внешней стороны - это еще дольше (для взломщика - это игра, а не работа, они это время спокойно тратят), поэтому анализируют коды, пишут для них тесты, просто рассматривают каналы движения информации. | |
|
|
|
|
|
|
|
для: cheops
(11.12.2011 в 15:56)
| | правильно ли я понимаю, что любой сайт имеет дыры? в т.ч и и ваш? мое мнение основано на том, что периодически в прессе проходит информация, что взломан сайт какой-то корпорации, наверняка, имеющей в штате не пару профессиональных программистов.
Мой вопрос: как максимально защитить свой сайт? Если можно приведите коды, которые нужно прописать на каждой страничке сайта | |
|
|
|
|
|
|
|
для: usa
(11.12.2011 в 18:21)
| | Скажем так, дыры часто появляются на новом ПО или при активной модификации старого. Да у нас дыры были и их находили (как лояльные посетители, так и не очень, парочку даже ловили в реале и судили, так как мы пишем книги в том числе и по безопасности этот вопрос прорабатывался и прорабатывается довольно активно). Поискать дыры можно на нашем сайте, но найти их довольно сложно - тут уже в этом плане стадо слонов прошлось. Однако, есть еще одна составляющая - это сервера. Т.е. можно взломать не только сайт, собственно, профессионалов они не очень интересуют, а сам сервер - это другой уровень, другие методы и другие люди. Можно взломать не сервер, а клиентскую машину, с которой на сервер обращаются по паролю. Можно получить пароль и методами соц.инженерии. Т.е. точек атаки очень много, качественно их закрыть их все - очень дорого. Давление на эти точки возрастает с возрастанием популярности или величины компании. Расходы на защиту растут в несколько раз выше, чем расходы на нападение. Не сложно защитить небольшой сайт, который никому не нужен, сложнее защитить портал, сложнее защитить портал авторов книг по безопасности, крупную компанию защитить - безумно дорого и сложно, там уже нужно думать об архитектуре защиты, о быстром восстановлении после взлома и кучи других вещей. | |
|
|
|
|
|
|
|
для: usa
(11.12.2011 в 18:21)
| | >Мой вопрос: как максимально защитить свой сайт? Если можно приведите коды, которые нужно
>прописать на каждой страничке сайта
Это не совсем корректный вопрос. Чтобы создавать безопасный код, нужно понимать проблематику безопасности достаточно глубоко. По аналогии с программированием, ваш вопрос звучит так: я знаю, что программы состоят из нескольких файлов, если можно приведите, что нужно писать в каждом файле, чтобы получались нужные мне программы. Нельзя просто писать код, который вы не понимаете, который не ваш и верить в то, что он будет защищать ваш код. Нужно четко понимать методы взлома и как им противостоять. Я понимаю, что ломать свой собственный код у вас рука не поднимается, поэтому вы хотите универсальную защиту (которую за вас придумают люди, в этом разбирающиеся). Этого нельзя сделать, но можно сделать из вас специалиста, который будет разбираться пусть не во всех проблемах безопасности, но хотя бы в тех, что имеют место в Web. Поэтому мы в свое время создали задачник по безопасности, которому маркетологи дали дурацкое название "Головоломки на PHP для хакера", а вообще это тренажер безопасности, он проводит вас по разнообразным методам взлома, заставляя ломать чужой код до тех пор, пока вы не будете знать, как ломаются Web-приложения, по каким механизмам, как этому противостоять. Тогда создавая свой код, вы всегда помните о том, как он может быть взломан и проблема безопасности решается не отдельными функциями, она заложена в само приложение, начиная с проектирования, заканчивая самой последней функцией - каждая строка написана с учетом проблемы безопасности. | |
|
|
|
|
|
|
|
для: cheops
(11.12.2011 в 18:40)
| | Благодарю за ответ.
Буду изучать вашу книгу. | |
|
|
|