Перейти к контенту

Про безопасность... в общем


Рекомендуемые сообщения

Когда-то я слышал. что система является безопасной, если она безупречна. И любая бреш в системе сводит на нет безопасность системы. Но раз например двиг форума является потенциальным "ситом" (не важно 1.Х или 2.Х), то получается, что форум - это самое небезопасное что может быть?

 

Но что-то я не вижу "самописных", "более безопасных" вариантов форумов, чем готовые движки. Если не считать самостоятельное патченье движков форумов и потгонку под свое представление о безопасности. :D

Ссылка на комментарий
Поделиться на других сайтах

А в чем, собственно, вопрос?

Самописные движки они на то и самописные, что ты их не видишь. Другой вопрос, что ты сам вряд ли в разумные сроки напишешь форум, подобный по функционалу готовому, который создавался не год и не два. Более того, любой популярный продукт уже становится под прицел хакеров, хотя бы потому, что он популярный.

От разработчика требуется писать код и создавать на 100% правильные проекты, и при этом укладываться в сроки, а это невозможно. Взломщик же может тратить сколько угодно времени, чтобы найти 1 ошибку и затем объявить всему миру, что приложение небезопасно.

Ссылка на комментарий
Поделиться на других сайтах

Получается, что самописный движок скорее всего будет ничуть не безопаснее.
Ссылка на комментарий
Поделиться на других сайтах

Самописный безопаснее, т.к. взломщик не видит сорцы. Взять, например, fastbb.ru. Насколько я знаю, его еще ни разу не ломали, хотя сервис очень популярный.
Ссылка на комментарий
Поделиться на других сайтах

Самописный безопаснее, т.к. взломщик не видит сорцы.

фиг с два это уж как насомописят двиг

 

а отсутсвие сырцов не есть боьшая проблема для тго чтобы отрыть косяк в безопасности. конечно муторнее и скрипткидсы ен займутся этим )) но все же не 100%

Ссылка на комментарий
Поделиться на других сайтах

Нельзя быть увереным на 100% прсото ))

элементарные вещи нужно пердусматривать

вообщем если бошка варит то ума хватит написать так чтоыб сломать было очень трудно

ну тогда если кому-то оченьп ирспичит то ломать уже будут пытаться не ваш двиг а ваш сервер

Ссылка на комментарий
Поделиться на других сайтах

fastbb уже ломали

раньше там не было хэширования паролей (они хранились в открытом виде) и проверки вложенных тэгов

так что читайте античат..

Ссылка на комментарий
Поделиться на других сайтах

Tim

XSS точно так же как и другие виды на пример SQL-инклюдинг межсайтовый скириптинг это все виды уязвимостей

 

Arhar

не всегда :D ты не забывай про ограничение по IP-шникам и HTTP-авторизацию + сныканая админка

Ссылка на комментарий
Поделиться на других сайтах

да, да, xss уязвимость, я не спорю. Меня не раз пытались ею поиметь, но только безуспешно, ибо у меня не IE. Чо сделаешь, если эксплорер настолько продвинутый, что исполняет яваскрипт в любом виде и во всех труднодоступных местах)) Поэтому, ИМХО, xss уязвимость браузера, а не скрипта(оставим случаи когда входные данные в скрипте фильтруются через ж.. :D )

 

п.с. я понимаю, что жертве будет все равно чья это уязвимость))

Изменено пользователем Tim
Ссылка на комментарий
Поделиться на других сайтах

раньше там не было хэширования паролей (они хранились в открытом виде) и проверки вложенных тэгов

+

тем не менее, в случае успеха это дает доступ в админку со всеми вытекающими последствиями

Я говорю про тупой фастбб, где админка находится в том же файле, что и индекс

достаточно зайти под админом и уже ничего повторно вводить не надо

а как ты там сныкаешь админку?

 

З.Ы. не знаю, как сейчас у них, но раньше было так..

управление внешним видом там заключалось в изменении хедера и футера

достаточно было вставить в хедер в админке яваскрипт редиректа на другую страницу и на форум не войти

Ссылка на комментарий
Поделиться на других сайтах

как это не ломали fastbb? А когда сервис лежал пару дней или недель? ;)

 

Что лучше собственная разработка или сторонний дистрибутив? Что безопаснее и функциональнее, то и лучше :D

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.