уничтожение данный
За безопасность придется заплатить
textarea.copypaste { width:60% }
.tipalink { text-decoration: underline; cursor: pointer; cursor: hand; }
РегистрацияВспомнить парольТема недели | События | ТЕЛнюшки | Авторские колонки
Проект информационного агентства REGNUM
Обсудить Отправить Распечатать
Тема недели
Русский подкастинг: второе рождение
Павел Картаев, «Сиськи-письки Шоу»: «Изучив матчасть, любитель станет профи»
Подкастинг для звезд уничтожение данный звезды для подкастинга
Подкастинг: импортное многообразие
Подкастинг уничтожение данный СМИ: неспешная конвергенция
Александр Журба, «Ройбер»: «Подкастинг в Рунете все еще развивается»
Вся тема | Архив тем | Предложить
ТЕЛнюшка дняАрхив | Есть идея! | В блогНовости партнёровЗагрузка...
..asm {font-size: 80%; font-family: Tahoma, Arial, sans-serif;}a.telChartActiveHref:link, a.telChartActiveHref:visited, a.telChartActiveHref:hover {color: #000000; text-decoration: none; font-weight: bold;}..telChartHref, a.telChartHref:link, a.telChartHref:visited, a.telChartHref:hover {text-decoration: none; border-bottom: 1px dotted; cursor: pointer; cursor: hand;}Финам ИТ РБКdiv.marketgid{
padding: 10px 10px 10px 15px;
}
div.marketgid li{
list-style: none;
padding: 5px 0px 5px 0px;
margin: 0;
}
Загрузка ...
За безопасность придется заплатитьОпубликовано: 06.09.2007 | 11:47 Автор: Михаил КепманТематика: «Лаборатория Касперского», Umisoft, "АИСТ", хакеры, Trend Micro, «1C-Битрикс» Читайте по теме:Троян c Monster.com приносит новые жертвыПравительство поддержит шифровальщиковАнтивирус Microsoft не купят даже по дешевкеРусские хакеры «обчистили» шведов на миллион долларов С каждым днем количество сайтов в Сети увеличивается на радость пользователям. Но вместе с тем, к сожалению, неуклонно растет уничтожение данный число желающих эти самые сайты взламывать. Для одних это сомнительное удовольствие, сравнимое с написанием матерных слов на заборе, для других – работа.Но вне зависимости от того, что толкает хакеров на деструктивные действия, их арсенал вполне традиционен. Как раз об этом мы уничтожение данный решили поговорить с экспертами, рассматривая вопросы безопасности в современных массовых CMS.Одним из самых популярных методов взлома по праву считаются SQL-инъекции. О нем рассказывает Виталий Камлюк, старший вирусный аналитик «Лаборатории Касперского»: «Проблема SQL-инъекций весьма реальна уничтожение данный довольно серьезна. Объясню почему. В любой системе есть код уничтожение данный данные. Эволюция информационных систем разделила два этих понятия, уничтожение данный сегодня мы видим, что данные находятся в отдельных хранилищах, называемых базами данных. Что касается веб-систем, то чаще всего наибольшую ценность представляют собой данные, хранимые в них. SQL-инъекции нацелены как раз на то, чтобы атаковать веб-системы уничтожение данный получить доступ к системе управления базами данных (СУБД). С помощью SQL-инъекций злоумышленник может копировать все данные, хранимые в СУБД, получать неавторизованный доступ к системе, выводить систему из строя, уничтожать данные СУБД и, в некоторых случаях, получать полный контроль над сервером. Лучшей защитой от SQL-инъекций является аккуратная проверка тех частей кода, которые обрабатывают данные поступающего на сервер HTTP запроса уничтожение данный подготавливают их для включения в качестве параметров SQL-запроса, отсылаемого далее СУБД. Впрочем, понимая, что на разработчика не всегда можно положиться, создатели современных интерпретаторов (например, самый популярный в сети - PHP) изобретают встроенные защиты от SQL инъекций. Так, например, если включить в конфигурационном файле PHP режим интерпретатора magic_quotes, использование SQL-инъекции становится более сложной задачей уничтожение данный значительно сужает область уязвимого кода».«Это действительно одна из самых популярных уязвимостей на данный момент, - соглашается Сергей Антонинко, технический директор Umisoft, - Решение этой проблемы предельно простое: перед передачей внешних данных в запрос экранировать недопустимые символы, либо использовать плейсхолдеры (при использовании mysqli, например). Вообще, это обычная болезнь начинающих разработчиков. В зрелых проектах я подобных уязвимостей не замечал».Денис Миронов, руководитель отдела информационной безопасности компании «1C-Битрикс», также рассказал нам о классических методах защиты от SQL-инъекций: «Начнём со стадии разработки продукта. Первое, что должны сделать разработчики – обезопасить данные пользователя системы, то есть проверять ВСЕ данные, приходящие от пользователя системы, уничтожение данный также данные, передающиеся различными способами с клиентской системы – cookies, скрытые параметры, POST запросы уничтожение данный т.п. Есть типовые варианты борьбы с инъекциями вредоносного кода методом отсечения(экранирования) кавычек из запроса - стандартная функция mysql_escape_string уничтожение данный ей подобные. Но, это не панацея для разработчика системы так как система будет работать в разных условиях, на разных платформах, уничтожение данный использование типовой функции на некоторых из них будет просто невозможно, уничтожение данный соответственно приведет к уязвимости всей системы в целом.Более грамотный подход, предполагает разработку «оберток», когда параметры запроса «скармливаются» объекту при помощи присваивания значений свойствам или вызовов отдельных методов. Существует немало моментов, которые необходимо предусмотреть при проектировании уничтожение данный разработке «оберточных» функций системы. Вторым этапом является правильная уничтожение данный безопасная интеграция системы на платформу уничтожение данный БД. На этом этапе необходимо отключить функции, которые могут помочь атакующему, правильно сконфигурировать периметр сети, системы IDS уничтожение данный многие другие необходимые мероприятия. На заключительном этапе необходимо сделать независимый аудит безопасности сконфигурированной системы, это позволит выявить уничтожение данный своевременно устранить недочеты безопасности, возникшие в ходе интеграции».«Кроме SQL-инъекций есть уничтожение данный другие популярные уязвимости веб-сайтов, - продолжает Виталий Камлюк. - Например, PHP-including, PHP-injection, XSS (cross site scripting) уничтожение данный другие. Все они имеют разные уровни опасности уничтожение данный разделены на две группы – уязвимости с кодом, исполняемым на стороне клиента, уничтожение данный уязвимости с кодом, исполняемым на стороне сервера. С точки зрения владельцев сайтов, наибольшую опасность представляют уязвимости находящиеся на стороне сервера, поскольку проникновение злоумышленника на сервер может означать полное уничтожение сайта или критичную потерю конфиденциальных данных».Дмитрий Васильев, генеральный директор компании «АИСТ», подчеркивает, что не стоит сбрасывать со счетов уничтожение данный человеческий фактор. В частности, речь идет о небрежном обращении с паролями, от которого страдает масса начинающих сайтостроителей.Несмотря на то, что инструментарий хакеров давно известен, их изобретательность не имеет границ. Они умудряются выдумывать все новые способы взлома, не выходя за рамки вышеописанных слабых мест, уничтожение данный порой разработчики CMS проигрывают в этой гонке, не успевая выпускать очередные заплатки для своих систем. «Существует статистика, которая показывает, что 60% веб-систем, работающих с данными, является уязвимыми для SQL-инъекций. Мы не занимаемся анализом уязвимостей веб-систем уничтожение данный не собираем статистику по числам SQL инъекций, но нам известно, что всякая популярная веб-система так или иначе хотя бы раз попадалась на уязвимости для SQL-инъекций», - подчеркивает Виталий Камлюк. «Думаю, не стоит называть конкретные системы. Где-то год назад мы проводили исследования, уничтожение данный могу сказать, что большинство систем, не входящих в условный «TOP-10», имеют набор легкообнаружимых уязвимостей», - добавляет Сергей Антонинко.«Ни один из существующих на рынке программных продуктов не может считаться абсолютно защищенным, - подчеркивает Дмитрий Васильев. - Составить рейтинг небезопасных CMS невозможно, да уничтожение данный не имеет смысла, потому как дыра дыре рознь: один продукт может содержать множество возможностей несанкционированного чтения закрытых данных, уничтожение данный другой - одну-единственную дыру, но критическую».Казалось бы, с точки зрения безопасности выбор CMS вполне очевиден – популярные платные системы наверняка лучше защищены, нежели менее известные или вовсе бесплатные аналоги. По большому счету, так оно уничтожение данный есть, но у популярности существует уничтожение данный обратная сторона – повышенное внимание хакеров. К счастью, у известности, кроме финансовой составляющей, есть уничтожение данный свои плюсы. «Популярная система вместе с тем, что привлекает внимание злоумышленников, является уничтожение данный объектом внимания множества разработчиков, которые могут указать на имеющиеся уязвимости, - считает Виталий Камлюк, - поэтому, как правило, чем популярнее система, тем меньше в ней брешей. Но не стоит думать о том, что если у злоумышленника нет исходных кодов системы, то он не может применить SQL инъекцию. Сделать это сложнее, но абсолютно реально!».В защиту популярных CMS выступил уничтожение данный Михаил Кондрашин, руководитель Центра компетенций Trend Micro в России уничтожение данный СНГ: «Чем популярнее CMS-система, тем больше злоумышленников ищут в ней уязвимости. Но большое количество обнаруженных уязвимостей популярного продукта не означает его уязвимость в целом. Выбор малоизвестного продукта приведет к определенным рискам, которые могут оказаться гораздо больше рисков взлома. Малоизвестный продукт может не удовлетворить заказчика, уничтожение данный сайт вообще не будет создан, уничтожение данный популярную CMS можно всесторонне протестировать. Можно ознакомиться со сходными проектами, построенными с ее использованием. Главное - это проработать сценарий взлома, так как он может произойти с любой системой. Уточнить, как будет выявляться факт взлома, что, кем уничтожение данный в какие сроки будет делаться для устранения ущерба. Заказчикам нужно узнать, насколько оперативно предоставляются вендором заплаты, насколько сложна процедура их установки. Так как риск взлома нельзя исключить, его нужно учесть. Соответственно, при обнаружении уязвимости необходимо, чтобы установка заплаты не приводила к остановке сайта, уничтожение данный в случае взлома весь сайт можно было бы восстановить из актуальной резервной копии за минимальное время».Благодаря хакерам или, если точнее, - вопреки им, на рынке CMS, наконец, появляется некоторая определенность. Если ранее мы рассматривали возможности opensource-систем, которые по функционалу не уступают коммерческим CMS, то теперь в этом вопросе, наконец, можно поставить точку. Исходя из соображений безопасности, можно предположить, что альтернатив популярным платным системам управления контентом просто не существует. Даже если проект, на первый взгляд, неинтересен хакерам, то от попыток взлома вандалами никто не застрахован. С прискорбием вынуждены сделать вывод, что opensource уничтожение данный безопасность в данном случае вещи практически несовместимые.Оценка материала:(всего голосов: 1) Loading ...
Обсудите статью Загрузка... Загрузка...Загрузка...Последние публикацииАлексей Кузьмин, «ЛитРес»: «Либрусек» своей безбашенностью перебежал дорогу очень многим» «Космическая» регистрация доменов Доменная индустрия: демократия в зоне .RU Регистраторы взялись за молоток День победы онлайн Добавить:Креативные новостиRSS TelNews.ru | О проекте | Об использовании материалов | Реклама | Контакты
Новости создаются системой e-generator.новости
При поддержке «ИА REGNUM»
разделы
купить k800i
книга кремль
доставка ноутбук
shimadzu
цвет гармония
gislaved отзыв
kyiv apartaments rent
предохранитель пкн
этикетировочные машина
искать фотограф
gislaved отзыв
лак orly
вкус цвет
скачать длинный нард
gislaved отзыв
de luxe 5040.11
клеить 88 люкс
сервис alfa laval
ковры резиновый
thuraya
рефрижератор
бахила полиэтиленовый
5440.16 (крышка)
рак щитовидный железа
теплолюкс
флеш презентация
винный холодильник
система видеоконференция
промышленный аккумулятор
southpark
безоперационное прерывание беременность
машина r-600
болен алкоголизмом
холодильник норд
вихревой теплогенераторы
пломбирование
циклон цол
kyiv apartments service
скс
охота быкова
надевание бахила
сенсорный дисплей
винный холодильник
пекарня
блюдо фарфор
dect desktop
бордюр
крановый тележка
электрокамин dimplex model magic (sp8)
билет russia music awards
гостинницы спб
проведение лотерея
эдас-934 аденома предст.ж-зы
дружкова кружка
планирование день
knauf гипсокартон
подбор контрацепция
холодильник либхер
электрокамин dimplex model silver (sp4)
компания сент-люсии
пежо
скрипт рассылка объвлений
облицовка bella italia
thuraya sg 2510
меховой холодильник
мва
кружка
беседка
покраска аэротенк
restart плита
головка винторезный
концепция совершенствование сбыта
дирижабль
меховой холодильник
мрт коленный сустав
юр.адрес
штангенциркуль
крот-95
кэрролл дж. страна смеха
детский лагерь пионер
пломбирование
эрозия шейка матка
гелусил лак
архыз
сканер штрихкодов
напыление ппу
электропечь dimplex model amesbury
акриловый вкладыш
сделать пазл
кулер тихий
тестоделитель
фасадный покрытие
автошкола
задний зеркало
тонировка стекол
фирменный цвет
рефрижератор
lida
проведение анкетирование
эфирный антенна kaasi
квантовый медицина
уничтожение данный