Опрос владельцам бизнеса, защищенность веб-приложений

[Rebz]

Цитата:

Сообщение от qkowlew

Обобщаете (выделение моё).
Причём на демонстративно малом статистическом материале деллаете решительные выводы.

Я написал "Пока лидирует" такой-то вариант. Это не решительный вывод, а промежуточный итог с целью подстегнуть голосование в опросе.

Цитата:

Сообщение от qkowlew

Уже по этим двум цитатам я бы не смог бы рекомендовать Вас никому из знакомых клиентов как возможного специалиста по аудиту безопасности.

Моя практика говорит несколько другое.

Поторопились c цитатами.
А Вы думаете, что выводы у всех должны быть одни и под копирку? Популярные опенсорсовые CMS уже более менее защищены, ломают в основном через их плагины, кривые настройки, брутфорс пароля и проч.

Цитата:

Сообщение от badimao

соглашусь.
Самопис ломается только при очевидных косяках.
целенаправлено взламывать сайтик на неизвестной cms ни кто не будет. это не выгодно.
ну а если уж все таки стоит цель сломать конкретный сайт - ни кто и ни что не остановит злоумышленика.

Взломать можно все. Вопрос лишь в одном - сколько времени на это уйдет. Как я понял, у Вас представление о взломщике как о каком-то скрипт-киддисе, который без готовых эксплоитов и взломать-то толком ничего не может. Анализ кода наше все
А уж выгодно или нет - можно подсчитать. В СЕО и партнерках очень высокая конкуренция, действуют грязными методами впоть до заказа сайтов (сразу оговорюсь, мы этим не занимаемся принципиально, хотя предложения такие поступали). Компании-конкуренты нанимают хакеров для взлома вашей БД, потом пишут "письма счастья" по этой базе. Переход клиентов от вас к конкурентам может ощутимо сказаться на ваших финансовых показателях, это все риски и аудит их покрывает в определенной степени. Я хочу сказать о том, что взлом - это не обязательно ифрейм и перенаправление траффика, вы даже можете не узнать о взломе, просто будет слита БД с клиентами, но ведь она составляет основу всего бизнеса для многих интернет-компаний.

[Клон]

Цитата:

Сообщение от Rebz

Я написал "Пока лидирует" такой-то вариант.

если будет по всем вариантам по сотне ответов а по одному сотни полторы-две хотя бы - тогда еще можно писать про какое-то там лидерство, при 9 ответах даже Чуров не взялся бы пророчить лидерство в голосовании =)))

[Rebz]

Клон,
Раздел специфичен, это же не Курилка, ожидать сотни вариантов по-моему не стоит. В Курилке можно было бы ожидать, но боюсь там мало целевой аудитории, мне лучше меньше, но голосовали те, к кому адресован опрос (это не проверить, но надежда есть ).

Цитата:

Сообщение от Asterada

Многим не нужна лишняя прокладка между собой и своими ресурсами. Аналогичной прокладкой являются риэлторы.

Безопасность - это не прокладка, имхо. Разработчики ведь не являются прокладкой между Вами и Вашими сайтами.

[qkowlew]

Цитата:

Сообщение от Rebz

Популярные опенсорсовые CMS уже более менее защищены

...

Анализ кода наше все

Взаимоисключающие параграфы.

Как раз код популярных опенсорсовых CMS проанализировать и взломать очередную необновлённую вовремя CMS легко - у меня лично на хостинге таких попыток десятки в день.

Я ради этого даже парочку honey pot держу, по хождению на которые немедленно баню IP посетителя. В формате "если он поверил, что у меня именно такая версия этого движка и попытался применить подходящий эксплойт - значит пошёл нафиг".

Насколько мне известно, из "популярных CMS" такой метод борьбы со взломщиками применяет только битрикс на специализированном хостинге, но я могу ошибаться в обе стороны.

Анализ же кода самописного движка левым хакером-посетителем как минимум существенно затруднён, и такой хакер вынужден применять при попытках взлома только "общие соображения о стандартных приёмах написания говнокода говнопрограммистом".

Да, такие общие соображения натурально порой срабатывают (у меня на хостинге такое бывало), а столь очевидное Г из основного кода опенсорсных CMS обычно всё-таки довольно быстро устраняется. Что совершенно не мешает массовым дежурным взломам через недоплагины и права 777.

Против и тех и других приёмов я лично применяю один довольно жёсткий метод - деление движка сайта на несколько частей на разных доменах и предоставление им разного доступа к MySQL базе. Незалогиненному посетителю - только на чтение, например. Админу через другой домен - полный доступ.

Хоть обвзламывайся.

[badimao]

именно об этом я и говорю.

Цитата:

Сообщение от Rebz

Вопрос лишь в одном - сколько времени на это уйдет.

Цитата:

Сообщение от Rebz

В СЕО и партнерках очень высокая конкуренция, действуют грязными методами впоть до заказа сайтов (сразу оговорюсь, мы этим не занимаемся принципиально, хотя предложения такие поступали). Компании-конкуренты нанимают хакеров для взлома вашей БД, потом пишут "письма счастья" по этой базе. Переход клиентов от вас к конкурентам может ощутимо сказаться на ваших финансовых показателях, это все риски и аудит их покрывает в определенной степени.

Давай обойдемся без космических короблей бороздящих... даю 100 вперед здесь нет таких вот владельцев партнерок и бизнесов.

а вот типичный лом сеток внутри одного хоста / cms / etc
вполне себе местная проблема. насущная и животрепещущая.
подобным ломом занимаются все кому ни лень. а последствия для саповебмастеров весьма плачевны. Поэтому уж если говорить о чем либо и устраивать опросы, то стоит лишь в таком вот контексте.

Цитата:

Сообщение от Rebz

Взломать можно все. .... Я хочу сказать о том, что взлом - это не обязательно ифрейм и перенаправление траффика, вы даже можете не узнать о взломе, просто будет слита БД с клиентами, но ведь она составляет основу всего бизнеса для многих интернет-компаний.

Могу предложить такую замануху

поставлю визитку на своей мини cms , скажу на каком хостинге, дам хост базы данных, дам юзера для хоста и sql + неделю сроку. расчитываю на дефейс ну или смену номеров телефона и текстов.

[qkowlew]

Цитата:

Сообщение от Rebz

Безопасность - это не прокладка, имхо. Разработчики ведь не являются прокладкой между Вами и Вашими сайтами.

Всегда считал, что правильный набор (разработчик+вебмастер) есть именно "прокладка между компанией и её вебсайтом", эффективный инструмент для превращения:
- представления бизнесмена "я хочу чтобы было так-то и так-то"
- сначала в правильно написанное техзадание формата "компания помещает на сайт такие-то материалы, таким-то способом, посетитель может совершать такие-то действия таким-то способом"
- потом в набор из работающего программного кода, набитых в базу данных и инструкций для сотрудников
- и, наконец, в работающую систему на "боевом" хостинге под запланированной нагрузкой и налаженным механизмом багрепортов разработчику (и-или вебмастеру).

Ессно, для статик html сайта на 10 страничек это всё упрощается до вырожденного минимума, но все эти этапы при правильном подходе просматриваются и в этом случае.

[Rebz]

Цитата:

Сообщение от badimao

Могу предложить такую замануху

Я не собираюсь никому ничего доказывать.
Мы как-то свалились к обсуждению моего бизнеса, я бы не хотел на себе заострять внимание, мне больше интересны выводы по сабжу.

Кстати, про сапу если, то вполне себе вариант - взломать сайт и изменить код сапы на свой. Вариантов масса, у кого какая фантазия.

badimao, про взлом сеток - спасибо, интересное предложение. Правильно ли я понял, интересует насколько можно взломать не напрямую Ваш сайт, а сайт соседей, а через них - уже ваш? Это больная тема для многих. Тут уже не с кодом надо копаться, а с сервером, который чаще всего саппортит хостер. Выделенный сервер с толковым админом решают эту проблему.
Да, возможно опрос не отражает некоторой специфики. Но я в целом для того и написал, чтобы выявить специфику.

Цитата:

Сообщение от qkowlew

Всегда считал, что правильный набор (разработчик+вебмастер) есть именно "прокладка между компанией и её вебсайтом", эффективный инструмент для превращения

Полностью с Вами согласен, возможно у нас просто разные понятия о "прокладке". Именно схему разработчик+вебмастер я считаю не прокладкой, а необходимой вещью, которой надо руководствоваться при создании сайта и его дальнейшего сопровождения. Прокладка в моем понимании - это что-то дополнительное, необязательное, на что могут тратиться доп.ресурсы.

[Клон]

Цитата:

Сообщение от Rebz

я бы не хотел на себе заострять внимание

ну так сотрите сайт из профиля и не пишите тут =)
это вам не посиделки старых дев за чаем, пишете на форуме - получите заострения

[badimao]

Цитата:

Сообщение от Rebz

Я не собираюсь никому ничего доказывать.
Мы как-то свалились ...

Вы как то решили что ваши выводы более болеестые

а меж тем сслыки на если да кабы.. о чем речь вообще?

Цитата:

Сообщение от Rebz

тут уже не с кодом надо копаться, а в грамотной настройке ОС хостера

все бы так и делали если бы хостеры давали такую возможность. ага.

Цитата:

Сообщение от Rebz

Выделенный сервер с толковым админом решают эту проблему.

ага. для среднего саповца. ага. может уже тогда и на ночь выключать его? от греха подальше.

Цитата:

Сообщение от Rebz

Да, возможно опрос не отражает некоторой специфики. Но я в целом для того и написал, чтобы выявить специфику.

Ты дядя или пришел не туда. или вопросы не те задаешь. или одно из двух

[Rebz]

badimao, создавал темы на разных форумах, первое, что требуют -а ты докажи что "мужик", сделай-ка мне аудит за отзыв или пройди проверку. Надоело, честное слово. Я не мальчик, который только что пришел показать какой "крутой хацкир", для сомневающихся есть отзывы и страница с клиентами, с кем я работал. За просто так я не собираюсь ничего делать, уверен, что вы бы на моем месте поступили точно так же.

Да, хостер не дает возможности самим настривать ОС, т.к. он её саппортит и разгребает проблемы. Средний саповец? Тема адресована владельцам бизнеса, разве не так? По-моему вопросы я задаю вполне себе в рамках деловых вопросов, а не в рамках курилки среднестатистических саповцев.