|
שרתי GODADDY נפרצו, מילוני אתרים לא עובדים
http://www.ynet.co.il/articles/0,7340,L-4279697,00.html
אם פרצו לחברה כה גדולה, האם אנחנו בשרתים הקטנים והפרטים מוגנים? |
צודק,
אתמול, אני לא זוכר בדיוק באיזו שעה, נכנסתי לGoDaddy על מנת לעדכן DNS והאתר לא פעל, הייתי בשוק טוטאלי, אך לאחר מספר דקות הכל חזר. |
ציטוט:
|
חח חיים הרגת אותי, תאמין לי הם מאובטחים ברמה גבוה מאוד
אם האקרים ירצו לפרוץ עליך הם יפרצו עליך לא משנה כמה מאובטח אתה. |
ציטוט:
פשוט כשאני מתכנת מערכות משלי, אני לא בונה אותם פריצות ואז מאבטח, פשוט מאבטח תוך כדי, ככה שאני לא רואה סיבה שהן יפרצו. |
ציטוט:
כנראה שגם אין לך ניסיון בתכנות... כי אין תוכנה שכותבים מראש ושותלים בה חורי אבטחה... פירצה בהגדרה, זה מציאת חורי האבטחה....... |
ציטוט:
איך אתה מסיק כזו מסקנה הזויה.. חיים מתכנת מעולה יצא לי לראות עבודות שלו. פירצה אינה מציאת חורי אבטחה, אלה שימוש בחורי האבטחה. כתיבת קוד חכם עם מחשבה מראש על אפשרות של חורי אבטחה זה לא משהו שכל מפתח אתרים עושה כמו שצריך או בכלל . לעניין מציאת חורי אבטחה, זה כבר נושא אחר ולא קשור לפרצה, פרצה יכולה לבוא גם ללא חורי אבטחה קלאסיים. |
ציטוט:
רשמתי שיש כאלה שבונים תוכנה בלי לחשוב על ההאבטחה, כל חלק שאני מקשר אליו צד שני במערכת, אני חושב פעמיים איך להעביר אותו. וכמו שרשמתי אין לי שמץ של מושג איך זה עובד בשרתים,פשוט לאבטח את כל מה שאתה בונה בשרת, אבל שם זה קצת מסובך מן הסתם כי PHP זה משהו מוכן וכו'.. אבל שוב פעם, אין לי מושג בזה.. ויונתן, תודה :) ואני לא בטוח שבכלל מדובר בבפירצה לגודדי, זו הייתה הפלה לדעתי.. |
ציטוט:
יש המון סוגים של לקוחות.. יש לקוח שרוצה אתר מאובטח - אבל רוצה גם שהאחסון יעלה 3 וחצי שקלים ועל בסיס ג'ומלה (בלי שום אפשרות לעדכון גרסאות). יש לקוח רוצה אתר מאובטח - אבל לא עושה חצי דבר על מנת באמת לבדוק את רמת הקוד, ורמת התשתיות של חברת האחסון. יש לקוח שרוצה אתר מאובטח - אבל לא רוצה לשלם לביצוע בדיקות וסריקות אבטחת ע"י גורמים חיצוניים (צד שלישי) ובלתי תלויים יש לקוח שרוצה אתר מאובטח - ומוכן למלא את כל הסעיפים מעלה.. פרט לנושא האחסון ב-3 וחצי שקלים, הרי "הציעו לו בחצי מחיר". אז מה אנחנו לומדים מזה?
:) |
ציטוט:
לפני שמעלים אותי לגרדום.. לא זלזלתי באדם וצר לי שכך הבנת... לא כל כך הבנתי את כוונתך, הרי איך ניתן לפרוץ אם אין חור אבטחה שמאפשר זאת?..... |
ציטוט:
|
ציטוט:
או איך אומרים ב IT , הבעיה בכיסא? |שותק קטן| |
ציטוט:
חיים אם תגיד את זה בראיון עבודה בגוגל לא יקבלו אותך |
ציטוט:
אחסון רק בענן rackspace |
ציטוט:
לא יתכן שלמשתמש עם הרשאות כל כך גבוהות לא יהיו אמצעי הגנה נוספים בנוסף לסיסמה... |
בואו נסגור את הפינה שכל אתר כל אחסון כל קוד כל דבר פריץ היום ברשת במיוחד על ידי אנונימוס :)
|
נאמרו כאן הרבה דברים, ביניהם גם הרבה שטויות.
אני לא מכיר אף מתכנת שמפתח משהו לקוי במכוון (גם מבחינת האבטחה). אם יש ליקוי כלשהו, סביר להניח שאותו מפתח פשוט לא ידע עליו ו/או לא צפה אותו בזמן הפיתוח. חיים, כשאתה טוען שאתה מאבטח את המערכת תוך כדי הפיתוח או בונה את המערכת בצורה מאובטחת מלכתחילה זה בסדר ומקובל, זאת שיטת עבודה נפוצה. הבעיה נמצאת במקומות שבהן פספסת משהו ודווקא בהן ניתן לבצע פעולה שלא אמורה להיתבצע. לא כי עשית את זה בכוונה, פשוט כי לא ידעת על קיום הבעיות הללו. חשוב להבין שכשאתה מאבטח מערכת, אתה למעשה מאבטח אותה בהתאם למה שאתה יודע, בהתאם למה שאתה חושב שניתן יהיה לנצל, לתקוף, לחדור או כל דבר כזה או אחר. מה שאתה לא עושה מן הסתם זה לאבטח מפני דברים שאתה לא מכיר או לאבטח דרכים שבהן לא חשבת שישתמשו, לא כי אתה לא רוצה לאבטח גם אותם, אתה הרי רוצה לאבטח הכל - אתה פשוט לא יודע הכל או לא בהכרח חושב על הכל באותו רגע. לצאת בהצהרה שמערכת כלשהי מאובטחת לחלוטין לרוב תהיה שגויה. לאו דווקא כי אותו בן אדם לא עשה את העבודה שלו כמו שצריך, פשוט כי הוא פעל בהתאם למה שהוא יודע וצופה שיקרה, מה עם מה שהוא לא יודע או לא צופה שיקרה? שם בדיוק יתקפו אותו. |
ציטוט:
|
אדיר אתה צודק, זה לא משהו שלקחתי בחשבון :P
ציטוט:
בקשר לפורום, דבר ראשון, זו לא מערכת שלי, זה שדרוג שלי למערכת קיימת, דבר שני, זה לא היה חור, זו הייתה שגיאה, תלמד את ההבדל. |
| כל הזמנים הם GMT +2. הזמן כעת הוא 01:32. |
מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ