Перейти к контенту

Советы по безопасности форумов и ресурса в целом


Рекомендуемые сообщения

Посвящается моему любимому человечку, с которым мы, надеюсь, что временно в разлуке.

Анют, это для тебя. Да это не стихи и не красивые слова, и для тебя эта статья ровным счетом ничего не значащая :D но делалось это в думах о тебе.

 

Данная статья не претендует на полное и единственно верное освещение проблемы безопасности форумов. Все здесь перечисленное это мой личный опыт.

 

Наверное, сразу стоит сказать, что 100% защиты форума от взлома не существует, и прочитав до конца статью вы поймете почему.

 

Ну что ж, развеем первый миф.

Большинство администраторов думают, что взломать форум можно только через дыры в скрипте. Совсем нет, безопасность начинается уже на сервере, где расположен ваш форум.

 

За сервер отвечает хостер, вывод прост — нужен надежный хостинг. Что такое «надежный»? Я думаю, это должна быть фирма (заметьте, фирма, а не один человек, и даже не группа людей), которая уже не первый год работает на рынке. Но это точно не должны быть хостеры — одиночки (знакомый Вася, с собственным сервером) и хостеры — новички (группа людей, купивших сервер и предоставляющих «дешовый» хостинг).

 

Отдельно хотелось бы сказать про покупку выделенных серверов и колокейшен. При таком раскладе, вся ответственность за ПО сервера лежит на вас, т.е. нужно быть либо профи в *NIX, либо иметь такого профи в команде, ну или платить персоналу, на площадке которого размещен сервер и надеяться на их профессионализм (снова возвращаемся к понятию «надежный» хостинг).

 

У большинства администраторов проект состоит не только из форума, а еще и множества скриптов (CMS, галереи, магазины, и т.п.), выполняющих те или иные функции. Они так же представляют собой угрозу безопасности, и за ними тоже надо следить, во время обновлять, правильно настраивать.

 

Сейчас на примере постараюсь объяснить, почему так происходит. Итак, мы на своем хосте разместили форум и какую-нибудь простенькую систему управления сайтом (CMS). Обе системы работают с MySQL базой, причем база, как это часто бывает, и у форума, и у CMS одна и та же. Все здорово, все работает, но… На некотором сайте опубликовали SQL уязвимость (возможность выполнения вредоносной инструкции в MySQL базе), которая работает на нашей CMS. И в один прекрасный день к нам пришел злоумышленник и выловил все хэши паролей и базу мыл с форума (для спамеров). Как он это сделал, ведь на форуме то дырок не было? Ответ прост — общая база у форума и CMS.

 

Из примера следует совет, если на вашем хостинге имеется возможность создания более одной SQL базы, то для разных скриптов создавайте свои базы. Если такой возможности нет, то используйте не стандартные префиксы для таблиц, это усложнит злоумышленникам задачу по взлому.

 

Продолжая тему скриптов, упомяну еще о категории скриптов административного значения. К ним относятся, например, скрипты для работы с mySQL (phpMyAdmin, MySQLMan, и т.п.) эти скрипты как правило не имеют системы авторизации, а значит могут быть запущены любым пользователем, знающим об их существовании. Поэтому если у вас на сервере есть, такие скрипты, защищайте, хотя бы .htaccess, директории в которых они находятся. Желательно что бы эта защита была не при помощи базовой аутентификации (AuthType Basic), а по IP (deny from all, allow from ips). Теперь непосредственно о форумах.

 

Миф второй: «последняя версия — значит лучшая».

Для начала точно определим, что такое версия и что такое билд, эта моя собственная классификация, так что пользоваться можно, но утверждать, что это истина из истин — нет =]

 

Возьмем, к примеру, нумерацию версии в Invision Power Board:

  • 1.0 — первая персия (первое поколение)
  • 1.1 — вторая версия, нулевой билд
  • 1.1.1 — вторая версия, первый билд
  • 1.1.2 — вторая версия, второй билд
  • 1.2 — третья версия, нулевой билд
  • 1.3 — четвертая версия, нулевой билд
  • 1.3.1 — четвертая версия, первый билд
  • 2.0 — пятая версия (второе поколение)

 

Каждая новая версия содержит новые возможности, а каждый новый билд содержит исправление ошибок текущей версии. Разработчики выпускают новый билд версии, если выпущенный до него билд содержал много ошибок. Самое главное, что стоит понять — в билдах новая функциональность не добавляется. Изменение в первой цифре, говорит о начале новой линейки — новые возможности, новый этап развития движка.

 

Вернемся к вопросу какая версия безопаснее. Очевидно, что последний билд версии, предшествующей текущей версии (трудно уловить на словах, потому привожу пример — версия 1.3.1 будет безопаснее, нежели версия 2.0.0).

 

Почему?

Во-первых, эта версия наиболее стабильна, так как разработчик, выпуская новую версию, с новыми возможностями, уверен в стабильном функционировании уже существующих.

Во-вторых, за время написания новой версии успевают всплыть проблемы в безопасности, и разработчик устраняет их, в итоге при выходе новой версии, предшествующая полностью отлажена.

В-третьих, внимание всех специалистов по нахождению уязвимостей в скриптах всегда приковано к последней версии, оно и логично, в новой версии шанс найти уязвимость куда выше, нежели в старых.

 

Однако не все так просто, и особняком у нас стоит первая версия новой линейки. Конечно, ставить нулевой билд первой версии это, мягко говоря, неправильно, но когда счетчик билда переваливает за цифру 2-а, то такую версию уже можно ставить.

 

Снова привожу пример. Пусть есть версии 2.0.0, 2.0.1. В такой ситуации ставить 2-ю версию форума нецелесообразно, так как она еще нестабильна. Если у нас набор версии таков: 2.0.0, 2.0.1, 2.0.2, 2.0.3, 2.0.4, то можно смело ставить 2.0.4 версию, она действительно самая безопасная во 2-ой линейке.

 

Миф третий: «обновляя в кратчайший срок скрипты, я нахожусь в безопасности».

К сожалению, ни один разработчик не может с полной уверенностью сказать, что его система безопасна на все 100% (сразу оговорюсь, что речь идет про системы с открытым кодом). В любом скрипте остаются ошибки, и не редко результатом исправления старых ошибок является появление новых.

 

Значит, администратору ресурса всегда надо быть в состоянии «готовности к войне», т.е. ежедневное создание бэкапов баз, аудит администраторских паролей (смена паролей хотя бы раз в полгода на администраторских аккаунтах, доступа к хостингу и т.д.), бэкапы жизненно важных конфигурационных файлов. Да это утомительно, но оно того стоит, что бы при любом форс-мажоре ресурс не лежал неделями, а был приведен в работоспособное состояние в считанные часы.

 

В пользу этого так же говорит и следующий опыт, полученный на «темной стороне» сети, при обнаружении уязвимостей в безопасности ее описание не сразу попадает к разработчику, а уж тем более в публичный доступ. Некоторое время, где то 2-3 дня, уязвимость доступна узкому кругу лиц, которые используют ее для своих «темных» нужд, а уж только потом о ней сообщается разработчику и выкладывается в паблик. И как вы можете понять, за эти 2-3 дня никто не дает гарантии, что именно ваш ресурс не станет плацдармом для выполнения «темных» нужд.

 

Миф четвертый: «людям можно доверять».

Часто администраторы не имеют навыков программирования, и им приходится просить написать модификацию у третьих лиц. Есть не чистые на руку люди, которые в модификации напишут вам, кроме основной функциональности еще и бэкдор, который вы своими же руками и поставите.

 

Поэтому все модификации необходимо:

а) тщательно проверять на возможное наличие вредоносного кода (вы можете делать это сами, если умеете, либо консультироваться со специалистами)

б) брать только из достоверных источников

в) в конце концов, заказывать их написание на платной основе

 

Раз уж пошел разговор о модификациях, то плавно перейдем к мифу пятому «модификации не ухудшают безопасность». Скорее, наоборот, с каждой новой модификацией безопасность форума снижается. Посудите сами, модификации в основном пишутся не самими разработчиками скрипта (которые знают его, как свои пять пальцев), а такими же администраторами, как и вы. При написании модификации первым делом стремятся получить функционал, а уж потом, если дойдут руки, обеспечить безопасность работы этой модификации, а практика показывает, что руки обыкновенно не доходят.

 

Что делать, как быть? Здесь выхода только два:

  • первый писать самому с упором на безопасность, либо заказывать у умеющих людей (еще раз перечитываем четвертый миф)
  • второй ставить то, что есть и молить господа Бога, что бы там не было уязвимостей. Сразу перечислю типы модификаций, для форумов, которые могут быть потенциально уязвимы:
    1. все, что добавляют новые BB коды
    2. все, что работают с механизмами авторизации и сессионными механизмами
    3. все модульные модификации, т.е. когда помимо изменений в стандартных файлах форума, добавляются собственные файлы модификаций.

 

Вот вроде бы и все, что хотелось довести до широкой публики. В статье я попытался привести основополагающие принципы построения безопасности своего ресурса, они конечно не являются стандартами дэ-факто, но на их основе гораздо проще строить свою политику безопасности ресурса.

 

Напоследок, хотелось бы привести еще пару советов по обеспечению безопасности, возможно для многих они покажутся прописными истинами, но лучше все же если они будут.

  1. После установки скриптов всегда удаляйте с хоста скрипты установки и обновления. Это касается не только самих скриптов, но так же и скриптов-установщиков модификаций.
  2. Используйте сложные для брута пароли ( к примеру: OlVOm+c7#81, Ob%#-tH8Y-y).
  3. Если регистрируетесь на других ресурсах, никогда не используйте свои администраторские пароли.
  4. Подпишитесь на ежедневные рассылки security сайтов, либо используйте их RSS-фиды.
  5. Если вашему ресурсу требуется несколько администраторов, то администраторскую команду подбирайте очень и очень тщательно. Это должны быть хорошо знакомые люди с опытом администрирования проектов. При таком подходе вы будем уверены, что ваш новоиспеченный администратор не поставит пароль qwert, не снесет пол проекта нажатием кнопки «удалить».
  6. Если проект большой, и вы не справляетесь с его ростом, найдите технического администратора, который бы занимался только поддержкой работоспособности проекта. Требования к такому человеку должны быть жестче, чем ко всем другим администраторам. Он как минимум должен уметь читать код скриптов и разбираться в том, что они делают, иметь огромную мотивацию к развитию проекта, фактор лени должен стремиться к 20% =]
  7. Пароли к хостинг-панели и FTP серверу должны быть известены только вам и вашему технику, если такой имеется.
  8. Не используйте скрипты web-файл менеджеров, без особой необходимости (хотя я плохо представляю ситуацию, когда это столь необходимо. Всегда есть доступ до хоста по FTP)
  9. Если вы по каким то причинам не можете контролировать свой ресурс более недели и не кому оставить его для присмотра, убирайте с сервера скрипты, осуществляющие доступ к администраторской части.
  10. И возвращаясь к тому с чего начал — помните 100% защиты форума от взлома не существует.

Ссылка на комментарий
Поделиться на других сайтах

По хостерам.

Я лично наоборот считаю, чем больше фирма, тем больше утечек.

 

Не раз, были в Инет сведения, о людях которых уволили с работы и они прихватили с собой базы паролей и данных пользователей.

 

Ну а потом начинают мстить.

 

Одиночки хостеры сами себя не уволят. И сами себе мстить не будут.

 

Квалификация хостера другое дело. Но ее тоже трудно оценить пока не поработатешь с ним.

 

так что первый совет, почти бесполезен.

 

Насчет разработчиков, думаю они то явно должны быть впереди всех хакеров, тем более если они выпускают на платной основе товарный продукт.

Так и не понял из статьи, вы что хотите сказать что разработчики не несут ответственность за безопасность своих продуктов?

 

Есть куча программных продуктов, которые никто не может сломать.

Я думаю из за того, что там уделили этому вопросу очень большое внимание и силы.

 

И еще очень странный вывод, о том что более новый продукт менее безопасный.

 

Он ведь не пишется с нуля. И применяют там опыт предыдущих версий. И вообще опыт других стронних продуктов.

 

Вообще очень странная статья.

Ссылка на комментарий
Поделиться на других сайтах

-----------

И еще очень странный вывод, о том что более новый продукт менее безопасный.

-----------

На самом деле так и есть, вспомните сколько дыр было на виндовс 3.1 и на виндовс 2000, чем сложнее система, тем больше в ней багов.

 

---------

Есть куча программных продуктов, которые никто не может сломать.

---------

Такого не бывает, вы знаете почему Неуловимый Джо - неуловим? Потому что он нафиг никому не нужен.

 

-------

разработчики не несут ответственность за безопасность своих продуктов?

-------

Только моральную, как и виндовс например.

Ссылка на комментарий
Поделиться на других сайтах

По хостерам.

Я лично наоборот считаю, чем больше фирма, тем больше утечек.

 

Не раз, были в Инет сведения, о людях которых уволили с работы и они прихватили с собой базы паролей и данных пользователей.

 

Ну а потом начинают мстить.

Мстят то они не взламывая ресурсы, и случаи такие единичны. В общем одно плохое исключение, скорее подтверждающее правило о надежности больших компаний, нежели его опровергающее.

 

Одиночки хостеры сами себя не уволят. И сами себе мстить не будут.

Да они просто могут уйти, свернув весь свой бизнес. Денег вам и бэкапы уже никто не вернет.

 

Насчет разработчиков, думаю они то явно должны быть впереди всех хакеров, тем более если они выпускают на платной основе товарный продукт.

Покажите мне хоть одного такого разработчика.

 

Так и не понял из статьи, вы что хотите сказать что разработчики не несут ответственность за безопасность своих продуктов?

несут, они же исправляют ошибки в безопасности по мере выхода уязвимостей, причем в короткие сроки. Другое дело что в большом продукте поиск уязвимостей вообще задача сложная и нетривиальная.

 

Есть куча программных продуктов, которые никто не может сломать.

Я думаю из за того, что там уделили этому вопросу очень большое внимание и силы.

Я писал же в статье, что в основном мы рассматриваем продукты с открытым текстом. То что разработчик закодировал/скомпилировал версию продукта, не дает злоумышленнику посмотреть код и соответсвено найти уязвимость.

Затем есть продукты которые просто не интересны "хакерам" по той простой причине, что они мало распространены - не пользуются спросом у людей.

 

И еще очень странный вывод, о том что более новый продукт менее безопасный.

логическую цепочку своих рассуждений я привел, можете соглашатся можете нет.

 

Он ведь не пишется с нуля. И применяют там опыт предыдущих версий. И вообще опыт других стронних продуктов.

Давайте возьмем версию 1.3.1 и 2.0.0 и сравним содержимое. Сколько ждет нас нового и переписанного =] Или вы считаете что при переписывании скажем MySQL класса, изменение его принципов работы на cached queries и just on time queries, это не новый подход и "написание с нуля". А ведь изменения хотя бы в MySQL уже влекут за собой изменения в других модулях форума, работающик с MySQL...

 

Вообще очень странная статья.

Напишите свое виденье проблем безопасности, я бы с удовольствием почитал. Не надо в развернутом виде, хотя бы по пунктам.

Ссылка на комментарий
Поделиться на других сайтах

Такое впечатление, что вы не бываете на сайтах типа хостобзор и ему подобные.

Там чаще всего жалуются как раз на большие фирмы.

 

А по поводу ломки, предложу вам сломать маилру, яндекс, гугл и список могу перечислять до бесконечности.

 

А разработчик который продает продукт с дырами, долго на рынке не продержиться.

 

Потому что его клиенты просто не смогут нормально развиваться.

 

Они ведт в курсе, что продают продукт, который будут иметь все в глобальной сети или это для них новость.

 

И требования по безопасноти должны быть повышенными.

Ссылка на комментарий
Поделиться на других сайтах

Такое впечатление, что вы не бываете на сайтах типа хостобзор и ему подобные.

Там чаще всего жалуются как раз на большие фирмы.

Жалуются на что? Правильно на то что там что то не доступно, что то не работает и что то слетает. На безопасность ПО серверов жалуются? Я не видел ни разу.

 

А по поводу ломки, предложу вам сломать маилру, яндекс, гугл и список могу перечислять до бесконечности.

Они продают свои системы?!? Дайте ссылочку пожалуйста, давно хотел купить себе поисковик с логикой гугла и посмотреть как же там все же рейтинги высчитываются...

 

А разработчик который продает продукт с дырами, долго на рынке не продержиться.

 

Потому что его клиенты просто не смогут нормально развиваться.

 

Они ведт в курсе, что продают продукт, который будут иметь все в глобальной сети или это для них новость.

И требования по безопасноти должны быть повышенными.

Быть должны, не продержится... Утопия. Поиметь можно и жирафа, только он грязный. В любом продукте есть ошибки, в безопасности, логике, функциональности. Они есть, это аксиома. Чем больше проект тем больше ошибок. Стандарт в программе на 1000 строк кода 1-на ошибка, в realtime системах стандарт на 10 000 строк кода 1-на ошибка, если это требование выполнено проект считается качественным. Заметьте наличие ошибок допускается! Они были, они есть, они будут, из за несовершенства алгоритмов, из за роста объема кода, из за смены групп разработчиков.

 

Далее. Будет вам известно, что на поддержке продукта софтверные фирмы получают как раз основную прибыль. А что у нас в поддержке заключается, как ни странно вылавливание ошибок, выпуск новых билдов, добавление функционала, снова исправление ошибок в добавленном функционале и так по спирали. Как вы думаете, выгодно ли софтверным фирмам выпускать сразу же продукт без ошибок?

 

Про законы рынка можете забыть, вспомните всеми любимую корпорацию, сколько они в месяц выпускают хот-фиксов? А это прибыль... Так что ваше представление мира, оно утопично или идеально, называйте как хотите.

Ссылка на комментарий
Поделиться на других сайтах

>>>На безопасность ПО серверов жалуются? Я не видел ни разу.

 

А что хостеры, разрабочики уникального кода?

Пользуются тем же открытыми всем скриптами на своих серверах.

 

Почему то логика начала вашего поста не стыкуется с логикой конца вашего поста.

И пользуются они заметьте, не одним каким то продуктом, а большим количеством.

 

>>>В любом продукте есть ошибки, в безопасности, логике, функциональности. Они есть, это аксиома. Чем больше проект тем больше ошибок.

Ссылка на комментарий
Поделиться на других сайтах

>>>На безопасность ПО серверов жалуются? Я не видел ни разу.

 

А что хостеры, разрабочики уникального кода?

Пользуются тем же открытыми всем скриптами на своих серверах.

 

Почему то логика начала вашего поста не стыкуется с логикой конца вашего поста.

 

>>>В любом продукте есть ошибки, в безопасности, логике, функциональности. Они есть, это аксиома. Чем больше проект тем больше ошибок.

А вы не переходите с разработчиков на хостеров. Задача хостера поддерживать свои сервера в работоспособном состоянии 24/7. Под понятием "поддержание работоспособности", да да, я понимаю и установление заплаток на опубликованные уязвимости.

 

А вот теперь давайте сравним где заплатки ставится будут быстрее? У Васи с техническим администратором Петей, или у мастерхоста с техническим отделом, где таких Петь несколько человек?

 

И я плохо почему то представляю как связаны хостеры и разработчики ПО между собой. По этому для меня вывод который сделали вы, несколько странен.

Ссылка на комментарий
Поделиться на других сайтах

>>>Задача хостера поддерживать свои сервера в работоспособном состоянии 24/7.

 

А вы что считаете что у владельца сайта не та же задача?

А заплатки ставят когда их имеют. Не забывайте что хостеры не разработчики и у них стоит не один продукт.

 

Теперь по хакерам.

Вы что считаете, что хакер это большая фирма?

Вы же сделали вывод, что чем крупней хостер, тем он надежней.

 

>>>И я плохо почему то представляю как связаны хостеры и разработчики ПО между собой.

 

Да точно также как вы писали выше.

Разработчики, с хостеров точно так же хотят поиметь денег.

Они для них не хостеры, а обычные такие же пользователи, как и в случае с Invision

 

 

В общем тоже самое, ничем не отличается.

Ссылка на комментарий
Поделиться на других сайтах

>>>Задача хостера поддерживать свои сервера в работоспособном состоянии 24/7.

 

А вы что считаете что у владельца сайта не та же задача?

А заплатки ставят когда их имеют. Не забывайте что хостеры не разработчики и у них стоит не один продукт.

Грубейшая ошибка... Большинство серверов вертится под *NIX. Это система с открытым кодом. Будьте уверены, что в техническом отделе сидят люди, умеющие писать на C, а это значит что ОС которая вертится на серверах в конторах уже давно как переписана умельцами технического отдела под свои нужды и требования. В любом случае там сидят специалисты, их задача поддерживать работоспособность серверов, они за это получают деньги и если нет заплатки от разработчиков, значит они должны будут сесть и написать сами.

 

Теперь по хакерам.

Вы что считаете, что хакер это большая фирма?

Вы же сделали вывод, что чем крупней хостер, тем он надежней.

Причем тут хакер и хостер, вы что курите по утрам? Я не говорил что крупнее - надежнее. Я говорил что если он на рынке услуг уже давно, то это не с проста. А фирмы дядей Васей и Ко, существующие на рынке 2-3 месяца, они тоже могут быть надежными, но в виде исключения.

 

Да точно также как вы писали выше.

Разработчики, с хостеров точно так же хотят поиметь денег.

Они для них не хостеры, а обычные такие же пользователи, как и в случае с Invision

Разработчики чего? IIS от Microsoft, там да. Но в 70% там GNU, при которой как не трясись денег не получишь.

Ссылка на комментарий
Поделиться на других сайтах

Ладно закруглюсь.

Вы очень плохо представляете работу хостера, на голой ОС не поработаешь.

 

И в первый раз слышу что кто то из хостеров ОС переписал под себя.

 

Вижу бегают по всему инет билинг ищят халявный.

да дизайн друг у друга экспроприируют.

А давно ли их досили то?

Вызывали спецов по безопасности и платили им кучу денег.

 

Кстати что сайт у вас тормозит.

Вроде и пользователей не много.

 

Что у нас с вами разные представления, почти по всем вопросам.

Ссылка на комментарий
Поделиться на других сайтах

Вижу бегают по всему инет билинг ищят халявный.

да дизайн друг у друга экспроприируют.

А давно ли их досили то?

Вызывали спецов по безопасности и платили им кучу денег.

ага мастерхост бегает ищет, агава бегает ищет, караван, зенон все бегают ищут...

 

смишно...

 

Вы очень плохо представляете работу хостера, на голой ОС не поработаешь.

 

И в первый раз слышу что кто то из хостеров ОС переписал под себя.

тьфу блин, я писал такое что они работают на голой ОС, ну что вы придумываете то.

"Переписана под нужды", вас смущает это утверждение... К сожалению ничем не могу помочь, раз так.

Ссылка на комментарий
Поделиться на других сайтах

--------

предложу вам сломать маилру

--------

Вы недавно в инете, и не знаете о том что мыльный сервис майла.ру взламывали.

Насчет Гугла и яндекса, что там ломать? Вычислительный кластер из нескольких десятков, сотен компов? :D Во первых, это не форум васи пупкина, за это могут и посадить, а во вторых я думаю там нет ничего такого что могло бы заинтересовать хакеров.

 

------------

А разработчик который продает продукт с дырами, долго на рынке не продержиться.

Потому что его клиенты просто не смогут нормально развиваться.

------------

Во первых, на момент продажи разработчик о дырах ничего на знает, иначе он не продавал заведомо некачественный продукт, а во вторых посмотрите на фирму майкрософт... ;) Сколько лет они успешно продают свои программные продукты в которых всегда находят дыры и всегда будут находить.

Самое главное, в максимально короткие сроки выпускать патчи и информировать об этом клиентов.

Ссылка на комментарий
Поделиться на других сайтах

Я не недавно в Инет и даже знаю, что домен иаилру был куплен за 50000$ и даже знаю у кого.

 

Гугл состоит из десятков тысяч компов.

А насчет майкрософт, локалка и есть локалка.

Ну сломают тебя в одиночку, типа троян пошлют, это же мелочи.

 

Не разу не слышал, чтобы хакер полностью смог контролировать твой комп. Ну и на всеообщий позор тебя не выставит.

Ссылка на комментарий
Поделиться на других сайтах

Извините что встреваю, но ИМХО ваша дисскусия напоминет разговор глухого со слепым....

 

Alex не хочу Вас обижать, но Вы как-то очень странно интерпретируете посты остальных. Может Вам стоит повнимательнее их читать?

 

Еще раз сорри, что встрял. :D

Ссылка на комментарий
Поделиться на других сайтах

--------

Гугл состоит из десятков тысяч компов.

--------

Причем обслуживают их сервера, специалисты высочайшего уровня...

Но это не мешает хакерам ломать гугл...

--------------

В субботу поисковая система Google на короткое время оказалась недоступной для пользователей всего мира, сообщает New Scientist. Приблизительно в 22:45 по Гринвичу 7 мая (около двух часов ночи по московскому времени) сайт Google.com "исчез из эфира", а его многочисленные сервисы, включая почту Gmail.com и баннерную систему также работали с перебоями (по некоторым данным, более продолжительными, нежели у поисковика).

 

New Scientist отмечает, что некоторые пользователи оказывались переадресованными на поисковик SoGoSearch.com, что вызывало у многих предположения о хакерской атаке. Однако в самой компании Google это начисто отрицают.

 

По словам представителя компании, проблема была связана с некими проблемами в глобальной системе доменных имён (DNS), переводящей доменные имена в цифровые IP-адреса (например, имени Google.com соответствует IP-адрес 66.102.9.104)

 

Все индивидуальные DNS-серверы в мире связаны с 13 "корневыми" DNS-серверами, хранящими информацию о доменных номерах всех серверов в мире. По мнению специалистов компании Netcraft, инцидент с Google означает, что сбой произошёл на DNS-сервере, оператором которого выступает сам Google. В результате сбоя сервер не смог соотнести доменное имя с доменным номером, и начал искать похожие варианты. К таковым относится www.google.com.net, с которого как раз и идёт переадресация на SoGoSearch. Кстати, на данный момент SoGoSearch не открывается, и браузер сообщает об отсутствии DNS-записи для этого сайта.

 

Как бы там ни было, данный инцидент снова вызывает вопросы относительно стабильности системы DNS как таковой. Напомним, что в 2002 году исключительной мощности DDoS-атака вывела из строя 7 из 13 корневых серверов интернета, и уже тогда стало очевидно, что система DNS не представляет собой образец надёжности.

----------

 

 

Как видите дыры есть везде, главное их хорошо поискать! :D:);)

[1122042288:1122042646]-----------

Не разу не слышал, чтобы хакер полностью смог контролировать твой комп.

-----------

 

На работе наша инет сеть входить в состав "домовой" сети... И случаев когда 15-16 летний подросток находил эскплойты (ставил на чужой комп свой софт), и юзал чужой траффик сотни!!! :):):) (тут и подделка ip и мак адреса, и эмуляция работы своего компьютера что бы не нашли)

Ссылка на комментарий
Поделиться на других сайтах

Сорри за оффтоп. Где то пол года назад к нам в школу (Не Российскую) приезжали два друга, создателя гугла. Один из них говорил по русский. Но речь, они, понятно толкали на инглише.
Ссылка на комментарий
Поделиться на других сайтах

Сорри за оффтоп. Где то пол года назад к нам в школу (Не Российскую) приезжали два друга, создателя гугла. Один из них говорил по русский. Но речь, они, понятно толкали на инглише.

А что в этом удивительного? Один из создателей поисковой системы Google - русский. Эти два друга - Сергей Брин и Лари Пейдж.

 

Хотя, я, конечно, не понимаю - к чему это в этой теме.

Ссылка на комментарий
Поделиться на других сайтах

Сорри за флейм, а о чем они говорили?

 

Вообщем им задавали разные глупые вопросы типа есть ли у них ICQ и знакомы ли они с Билом Гейтсом :D)

 

*к теме это никакого отнашения не имеет.

Ссылка на комментарий
Поделиться на других сайтах

(тут и подделка ip и мак адреса, и эмуляция работы своего компьютера что бы не нашли)

А про эмуляцию подробнее можно?

форумы на telenet.ru информацию ищите там

Ссылка на комментарий
Поделиться на других сайтах

  • 1 год спустя...

Можно прошлогодний топик апну..

Желательно что бы эта защита была не при помощи базовой аутентификации (AuthType Basic), а по IP (deny from all, allow from ips).

Разве можно каким-то иным образом обойти AuthType Basic кроме как брутфорсом?

Ссылка на комментарий
Поделиться на других сайтах

Именно, AuthType Basic - можно обойти, а проверку по IP - нельзя. Хотя надо будет проверить, как он отрегаирует на X_FORWARDED_FOR и прочую лабуду.

 

Подпишитесь на ежедневные рассылки security сайтов, либо используйте их RSS-фиды.

Это всё верно, осталось только привести людям список сайтов :D

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.