M-K Опубликовано 26 Января 2007 Жалоба Поделиться Опубликовано 26 Января 2007 Когда-то я слышал. что система является безопасной, если она безупречна. И любая бреш в системе сводит на нет безопасность системы. Но раз например двиг форума является потенциальным "ситом" (не важно 1.Х или 2.Х), то получается, что форум - это самое небезопасное что может быть? Но что-то я не вижу "самописных", "более безопасных" вариантов форумов, чем готовые движки. Если не считать самостоятельное патченье движков форумов и потгонку под свое представление о безопасности. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
vAlex_ Опубликовано 27 Января 2007 Жалоба Поделиться Опубликовано 27 Января 2007 А в чем, собственно, вопрос?Самописные движки они на то и самописные, что ты их не видишь. Другой вопрос, что ты сам вряд ли в разумные сроки напишешь форум, подобный по функционалу готовому, который создавался не год и не два. Более того, любой популярный продукт уже становится под прицел хакеров, хотя бы потому, что он популярный.От разработчика требуется писать код и создавать на 100% правильные проекты, и при этом укладываться в сроки, а это невозможно. Взломщик же может тратить сколько угодно времени, чтобы найти 1 ошибку и затем объявить всему миру, что приложение небезопасно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
M-K Опубликовано 27 Января 2007 Автор Жалоба Поделиться Опубликовано 27 Января 2007 Получается, что самописный движок скорее всего будет ничуть не безопаснее. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Tim Опубликовано 27 Января 2007 Жалоба Поделиться Опубликовано 27 Января 2007 Самописный безопаснее, т.к. взломщик не видит сорцы. Взять, например, fastbb.ru. Насколько я знаю, его еще ни разу не ломали, хотя сервис очень популярный. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
xRay Опубликовано 27 Января 2007 Жалоба Поделиться Опубликовано 27 Января 2007 Самописный безопаснее, т.к. взломщик не видит сорцы.фиг с два это уж как насомописят двиг а отсутсвие сырцов не есть боьшая проблема для тго чтобы отрыть косяк в безопасности. конечно муторнее и скрипткидсы ен займутся этим )) но все же не 100% Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Tim Опубликовано 27 Января 2007 Жалоба Поделиться Опубликовано 27 Января 2007 ну понятно, если кодер криворукий, то тут ничего не спасет)) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
xRay Опубликовано 27 Января 2007 Жалоба Поделиться Опубликовано 27 Января 2007 Нельзя быть увереным на 100% прсото ))элементарные вещи нужно пердусматриватьвообщем если бошка варит то ума хватит написать так чтоыб сломать было очень труднону тогда если кому-то оченьп ирспичит то ломать уже будут пытаться не ваш двиг а ваш сервер Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Arhar Опубликовано 28 Января 2007 Жалоба Поделиться Опубликовано 28 Января 2007 fastbb уже ломалираньше там не было хэширования паролей (они хранились в открытом виде) и проверки вложенных тэговтак что читайте античат.. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Tim Опубликовано 28 Января 2007 Жалоба Поделиться Опубликовано 28 Января 2007 я не считаю xss взломом. Это, скорее, глюк броузера. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Arhar Опубликовано 28 Января 2007 Жалоба Поделиться Опубликовано 28 Января 2007 тем не менее, в случае успеха это дает доступ в админку со всеми вытекающими последствиями Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
xRay Опубликовано 28 Января 2007 Жалоба Поделиться Опубликовано 28 Января 2007 TimXSS точно так же как и другие виды на пример SQL-инклюдинг межсайтовый скириптинг это все виды уязвимостей Arharне всегда ты не забывай про ограничение по IP-шникам и HTTP-авторизацию + сныканая админка Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Song Опубликовано 28 Января 2007 Жалоба Поделиться Опубликовано 28 Января 2007 В админку навряд ли. Только если пароль подобрать. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Tim Опубликовано 28 Января 2007 Жалоба Поделиться Опубликовано 28 Января 2007 (изменено) да, да, xss уязвимость, я не спорю. Меня не раз пытались ею поиметь, но только безуспешно, ибо у меня не IE. Чо сделаешь, если эксплорер настолько продвинутый, что исполняет яваскрипт в любом виде и во всех труднодоступных местах)) Поэтому, ИМХО, xss уязвимость браузера, а не скрипта(оставим случаи когда входные данные в скрипте фильтруются через ж.. ) п.с. я понимаю, что жертве будет все равно чья это уязвимость)) Изменено 28 Января 2007 пользователем Tim Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Arhar Опубликовано 28 Января 2007 Жалоба Поделиться Опубликовано 28 Января 2007 раньше там не было хэширования паролей (они хранились в открытом виде) и проверки вложенных тэгов+тем не менее, в случае успеха это дает доступ в админку со всеми вытекающими последствиямиЯ говорю про тупой фастбб, где админка находится в том же файле, что и индексдостаточно зайти под админом и уже ничего повторно вводить не надоа как ты там сныкаешь админку? З.Ы. не знаю, как сейчас у них, но раньше было так..управление внешним видом там заключалось в изменении хедера и футерадостаточно было вставить в хедер в админке яваскрипт редиректа на другую страницу и на форум не войти Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Denny Опубликовано 2 Февраля 2007 Жалоба Поделиться Опубликовано 2 Февраля 2007 как это не ломали fastbb? А когда сервис лежал пару дней или недель? Что лучше собственная разработка или сторонний дистрибутив? Что безопаснее и функциональнее, то и лучше Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.