שרתי GODADDY נפרצו, מילוני אתרים לא עובדים - עמוד 2 - הוסטס

~~shayb~~ · 11-09-12, 22:49

ציטוט:

נכתב במקור על ידי דניאל

הבעיה היא לרוב בתפיסה של האנשים למושג "אבטחת מידע".
יש המון סוגים של לקוחות..

יש לקוח שרוצה אתר מאובטח - אבל רוצה גם שהאחסון יעלה 3 וחצי שקלים ועל בסיס ג'ומלה (בלי שום אפשרות לעדכון גרסאות).
יש לקוח רוצה אתר מאובטח - אבל לא עושה חצי דבר על מנת באמת לבדוק את רמת הקוד, ורמת התשתיות של חברת האחסון.
יש לקוח שרוצה אתר מאובטח - אבל לא רוצה לשלם לביצוע בדיקות וסריקות אבטחת ע"י גורמים חיצוניים (צד שלישי) ובלתי תלויים
יש לקוח שרוצה אתר מאובטח - ומוכן למלא את כל הסעיפים מעלה.. פרט לנושא האחסון ב-3 וחצי שקלים, הרי "הציעו לו בחצי מחיר".

אז מה אנחנו לומדים מזה?

אין 100% אבטחה, יש 100% הבטחה
חברת אחסון טובה יכולה "לכסות על התחת" של מתכנת פחות טוב (ע"י סגירת חורי אבטחה אפליקטיבים ברמת התשתיות)
קשה למצוא חברת אחסון טובה.
קשה למצוא מתכנת טוב.
אסור לעצבן את אנונימוס.

צריך להוסיף לפורום כפתור LIKE

**yonatan** · 11-09-12, 23:06

ציטוט:

נכתב במקור על ידי יונתן

לא כל כך הבנתי את כוונתך, הרי איך ניתן לפרוץ אם אין חור אבטחה שמאפשר זאת?.....

להכנס עם ססמה?
או איך אומרים ב IT , הבעיה בכיסא?

perfeito · 12-09-12, 00:30

ציטוט:

נכתב במקור על ידי יונתן

מבדר...

כנראה שגם אין לך ניסיון בתכנות...
כי אין תוכנה שכותבים מראש ושותלים בה חורי אבטחה...
פירצה בהגדרה, זה מציאת חורי האבטחה.......

1+

חיים אם תגיד את זה בראיון עבודה בגוגל לא יקבלו אותך

perfeito · 12-09-12, 00:36

ציטוט:

נכתב במקור על ידי perfeito

1+
חיים אם תגיד את זה בראיון עבודה בגוגל לא יקבלו אותך

יש לי רק שמות דומיין שמה, לא אמור להשפיע לא ?
אחסון רק בענן rackspace

יונתן · 12-09-12, 07:44

ציטוט:

נכתב במקור על ידי yonatan

להכנס עם ססמה?
או איך אומרים ב IT , הבעיה בכיסא?

מבחנתי זה חור אבטחה
לא יתכן שלמשתמש עם הרשאות כל כך גבוהות לא יהיו אמצעי הגנה נוספים בנוסף לסיסמה...

NextWebs.Net · 12-09-12, 22:11

בואו נסגור את הפינה שכל אתר כל אחסון כל קוד כל דבר פריץ היום ברשת במיוחד על ידי אנונימוס

אדיר · 13-09-12, 15:34

נאמרו כאן הרבה דברים, ביניהם גם הרבה שטויות.

אני לא מכיר אף מתכנת שמפתח משהו לקוי במכוון (גם מבחינת האבטחה).
אם יש ליקוי כלשהו, סביר להניח שאותו מפתח פשוט לא ידע עליו ו/או לא צפה אותו בזמן הפיתוח.

חיים, כשאתה טוען שאתה מאבטח את המערכת תוך כדי הפיתוח או בונה את המערכת בצורה מאובטחת מלכתחילה זה בסדר ומקובל, זאת שיטת עבודה נפוצה.
הבעיה נמצאת במקומות שבהן פספסת משהו ודווקא בהן ניתן לבצע פעולה שלא אמורה להיתבצע. לא כי עשית את זה בכוונה, פשוט כי לא ידעת על קיום הבעיות הללו.

חשוב להבין שכשאתה מאבטח מערכת, אתה למעשה מאבטח אותה בהתאם למה שאתה יודע, בהתאם למה שאתה חושב שניתן יהיה לנצל, לתקוף, לחדור או כל דבר כזה או אחר.
מה שאתה לא עושה מן הסתם זה לאבטח מפני דברים שאתה לא מכיר או לאבטח דרכים שבהן לא חשבת שישתמשו,
לא כי אתה לא רוצה לאבטח גם אותם, אתה הרי רוצה לאבטח הכל - אתה פשוט לא יודע הכל או לא בהכרח חושב על הכל באותו רגע.

לצאת בהצהרה שמערכת כלשהי מאובטחת לחלוטין לרוב תהיה שגויה.
לאו דווקא כי אותו בן אדם לא עשה את העבודה שלו כמו שצריך, פשוט כי הוא פעל בהתאם למה שהוא יודע וצופה שיקרה, מה עם מה שהוא לא יודע או לא צופה שיקרה? שם בדיוק יתקפו אותו.

~~SubMovie~~ · 13-09-12, 15:41

ציטוט:

נכתב במקור על ידי HHaim

זה שהם לא מאובטחים לא אומר שאנחנו לא..

מה זה משנה גם ככה אתה לא תגיע בחיים שלך ל 0.000000000001 ממה שהם מאובטחים. אם אני זוכר נכון פרסמו בפורום השני חורים בפורום שלך לא?

Haimz · 13-09-12, 16:32

אדיר אתה צודק, זה לא משהו שלקחתי בחשבון :P

ציטוט:

נכתב במקור על ידי SubMovie

מה זה משנה גם ככה אתה לא תגיע בחיים שלך ל 0.000000000001 ממה שהם מאובטחים. אם אני זוכר נכון פרסמו בפורום השני חורים בפורום שלך לא?

שוב פעם דיברתי על המערכות, ועד עכשיו לא מצאו פריצה אחת במערכות שלי.
בקשר לפורום, דבר ראשון, זו לא מערכת שלי, זה שדרוג שלי למערכת קיימת,
דבר שני, זה לא היה חור, זו הייתה שגיאה, תלמד את ההבדל.

13-09-12, 15:34	# 17
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	נאמרו כאן הרבה דברים, ביניהם גם הרבה שטויות. אני לא מכיר אף מתכנת שמפתח משהו לקוי במכוון (גם מבחינת האבטחה). אם יש ליקוי כלשהו, סביר להניח שאותו מפתח פשוט לא ידע עליו ו/או לא צפה אותו בזמן הפיתוח. חיים, כשאתה טוען שאתה מאבטח את המערכת תוך כדי הפיתוח או בונה את המערכת בצורה מאובטחת מלכתחילה זה בסדר ומקובל, זאת שיטת עבודה נפוצה. הבעיה נמצאת במקומות שבהן פספסת משהו ודווקא בהן ניתן לבצע פעולה שלא אמורה להיתבצע. לא כי עשית את זה בכוונה, פשוט כי לא ידעת על קיום הבעיות הללו. חשוב להבין שכשאתה מאבטח מערכת, אתה למעשה מאבטח אותה בהתאם למה שאתה יודע, בהתאם למה שאתה חושב שניתן יהיה לנצל, לתקוף, לחדור או כל דבר כזה או אחר. מה שאתה לא עושה מן הסתם זה לאבטח מפני דברים שאתה לא מכיר או לאבטח דרכים שבהן לא חשבת שישתמשו, לא כי אתה לא רוצה לאבטח גם אותם, אתה הרי רוצה לאבטח הכל - אתה פשוט לא יודע הכל או לא בהכרח חושב על הכל באותו רגע. לצאת בהצהרה שמערכת כלשהי מאובטחת לחלוטין לרוב תהיה שגויה. לאו דווקא כי אותו בן אדם לא עשה את העבודה שלו כמו שצריך, פשוט כי הוא פעל בהתאם למה שהוא יודע וצופה שיקרה, מה עם מה שהוא לא יודע או לא צופה שיקרה? שם בדיוק יתקפו אותו. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

12-09-12, 22:11	# 16
NextWebs.Net חבר בקהילה מיני פרופיל תאריך הצטרפות: Apr 2009 הודעות: 313	בואו נסגור את הפינה שכל אתר כל אחסון כל קוד כל דבר פריץ היום ברשת במיוחד על ידי אנונימוס

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)