Hlavní navigace

Vlákno názorů k článku Jak jsem ukradl sezení administrátorovi a objednal ruskou vodku za kvintiliardu od Jirka - je diskutabilní - předpokládám, že vždycky se najde...

  • Článek je starý, nové názory již nelze přidávat.
  • 7. 11. 2013 19:31

    Jirka (neregistrovaný) 81.19.13.---

    je diskutabilní - předpokládám, že vždycky se najde nějaký větší "machr", než ten, co dělá eshop (nebo využívá služby 3 strany na klíč). Pokud je drobný živnostník, který chce rozjet eshop, limitován pár tisícovkami, které do toho může vrazit, tak co má dělat - bere co je. A má (pokud vůbec trochu ví, o co jde) vůbec šanci to myšlenkově obsáhnout? Nemá, prostě vše je poměr cana/výkon. Stejně tak můžou specialisti na zabezpečení diskutovat např. o zabazpečení domu, někdo má jen jednu fabku ve dveřích, jiný pancéřové dveře, alarmy, kamerové systémy, napojení na pult centrální ochrany ... co budete psát o tom s tou fabkou ve dveřích? Odsoudit, zastřelit? Prostě na víc nemá.... stejně tak levné eshopy .... odváží se někdo na 100% garantovat, že se mu i do drahého, dokonale zabezpečeného eshopu nikdo nenabourá? Jsou známé úniky dat velkých nadnárodních společností, které do toho vrazili miliony dolarů - a taky pohořely.... prostě tak to je a jinak nikdy nebude :-)

  • 7. 11. 2013 22:19

    carphatia (neregistrovaný) ---.cust.selfnet.cz

    V oblasti vývoje eshopů se tedy moc neorientuji, ale předpokládal bych, že silné firmy vytvářející eshopy mají natolik schopné programátory, že si zásadní věcí dokáží pohlídat, případně zjištěné bezpečnostní díry ihned odstraňovat.
    Pro malé eshopy snad může být řešením nějaký open source shop se silnou a aktivní komunitou, která dokáže rovněž rychle řešit problémy a kde se zároveň může projevit výhoda otevřeného kódu, může v něm hledat chyby kdokoli, což snižuje pravděpodobnost toho, že si nikdo nevšimne otevřených vrátek.

  • 7. 11. 2013 20:22

    carphatia (neregistrovaný) ---.cust.selfnet.cz

    Tady ty případy nejsou ani tak o dokonalosti nebo "větších machrech", ale spíše o laxnosti a neopatrnosti. Principy XSS a SQL innjection jsou známy už řadu let a obrana proti nim nemusí být nijak zvlášť složitá. Většinou stačí, když se CMS eshopu bude vždy a ke všem datům, která získává z http hlaviček, URL a všemožných vyhledávacích, registračních a objednávkových formulářů chovat jako k potencionálně nebezpečným. Stačí řádně ošetřit všechny vstupy a útočník má hned o hodně těžší pozici.

  • 7. 11. 2013 20:52

    Jirka (neregistrovaný) 81.19.13.---

    Jasné, já to chápu - to jsem psal ;-) ... ale beru to z pozice uživatele (a takových je podle mě drtivá většina - řekněme, že si chci pořídit eshop), souseda či studenta vyloučím, na individuální naprogramování nemám peníze, tak sáhnu po nějakém systému měsičního pronájmu. Po čem mám sáhnout? Webnode? Inpage? Eshoprychle? desítky dalších?... Kde mám vzít jistotu, že jsou ošetřeny proti "XSS a SQL injection"? A dalším možným útokům, které tu nebyly zmíněny? To prostě nejsem schopen ani při nejlepší vůli ani hledání googlem posoudit (dobře - vyloučím Banán :-) ... tak že z programátorského hlediska je určitě článek přínosný a zajímavý. Ale sám píšete "má hned o hodně těžší pozici", ale ne že je to neprůstřelné - což ale neznamená, že nevyjde za měsíc další článek, který najde díru v mém draze zaplaceném eshopu, který si vybral "větší machr" na test ... samozřejmě to není proti autorovi, to považuji za podnětné. Tak jsem to myslel ...

  • 8. 11. 2013 8:18

    Ondřej Bouda (neregistrovaný) 193.86.153.---

    >> předpokládal bych, že silné firmy vytvářející eshopy mají natolik schopné programátory, že si zásadní věcí dokáží pohlídat

    Silné firmy jsou silné proto, že dokáží optimalizovat poměr výnosy/náklady. A realita je bohužel taková, že investovat do bezpečnosti je dnes zbytečné až nevýhodné (náklady velké, ale zákazníci tomu nerozumí => nedocení to => koupí spíš levnější produkt od konkurence).

    >> výhoda otevřeného kódu, může v něm hledat chyby kdokoli, což snižuje pravděpodobnost toho, že si nikdo nevšimne otevřených vrátek

    To je dvojsečná zbraň - větší šanci na nalezení chyby totiž mají i ti zlí hoši (a k tomu mají větší motivaci). A i zásadní chyby mohou v kódu vydržet dlouhá léta - viz např. aktuální odhalení vážné zranitelnosti v jádru Linuxu:
    http://blog.nic.cz/2013/11/04/laboratore-cz-nic-odhalily-zavaznou-zranitelnost-linuxoveho-jadra/
    Zrovna u téhle zranitelnosti nevěřím tomu, že o ní "zlí hoši" nevěděli - spíš ji nevyužili, protože se nedá použít k ovládnutí vzdáleného systému (jen k jeho shození).