Schovat backdoor ve webovy aplikaci IMO problem docela je, protoze vetsina takovych aplikaci nepresahne par jednotek tisic radek. Ovsem jsou mezi nami taci, a neni jich zrovna malo, ktery si klido pusti exe kterej jim prijde mailem a bude o sobe tvrdit "ja jsem zly virus". Ostatne, napada me udelat takovy, ktery by jednoduse jen "pingnul" na srv, IMO celkem zajimavy pruzkum poctu idiotu.
Taci programatori obvykle nepobudou v zamestani dyl nez 1/2 roku (to pokud svoji neschopnost umi dobre maskovat). Ostatne, sice se vsude plka jaka je krize, ale temer vsechny IT firmy v mem okoli maji stale vypsane odmeny pro lidi, kteri privedou pouzitelneho cloveka. Takovych totiz zas tak moc neni a levny "takyprogramator", kterej neumi for (poznal sem takoveho osobne) se firme jiste vyplati.
v kombinaci s tim, ze internet prilis snizil (ci spise eliminoval) cenu sireni informaci, tedy, ze je mozne propagovat i informace, ktere jsou pouze subjektivne hodnotne bez patricne penalizace ma za nasledek ze i ta stara reseni budou casto neresenimi
pak to dopada, ze se jedna komunita vychlouba procentem zastoupeni jejich open source weboveho serveru ale eliminovanim stranek gay hasicu z horni dolni se zajmem o tvoreni panenek tranvestitnich japoncu v modrych kimonech od znacky shibaraku se jejich podil ihned vypari.. ale jde samozrejme jinak o hodnoverne informace
1) Každý se spolehl na to, že to udělal někdo jiný.
2) Pokud už to někdo zkoumal, tak nedokázal backdoor najít. To ani nemusí být chyba toho, kdo to zkoumal - schovat backdoor je kvůli požadavkům na kvalifikaci zúčastněných jednodušší než ten backdoor zase najít.
... mě teda rozhodně: Jak je možné že nikdo z té 'silné' komunity bezpečnostní problém neodhalil. Jednou z výhod jakéhokoliv Open Soft souvisejícího s bezpečností je to, že každý se může podívat na možné bezpečnostní problémy. Proč si tady toho nikdo nevšiml? Pokud by back-door část byla například nějak šifrována, aby nebyla jednoduše čitelná, byla by taková operace něco jako šipka 'sem se podívej jestli tu není problém'. Celé se mi to zdá být dost nepravděpodobné.
Tá 5* reštaurácia určite nevlastní pole s paradajkami a obilninami, určite tiež nemá vlastnú farmu s prasatami, kravami a podobne. Využíva to, že farmár sa špecializuje na chov a oni tak majú čas na varenie.
Podobne programátori - môžu sa špecializovať na logiku aplikácie miesto programovania nudných vecí ako trebárs routovanie - už to za nich urobili iní a lepšie.
Je tu ještě jeden problém, všichni své úvahy odvíjí ze stejných dat, těch co jim předhodil google. Takže spíše dojdou ke stejným závěrům. Takže diverzita lidského myšlení klesá, a s tím i klesá pravděpodobnost, že se najde inovativní řešení daného problému.
..že volně šiřitelné PHP-skripty se musí spouště pod PHP-cgi na uživatelské home-stránce. Ale vysvětlujte tuhle věc nějakému tupému správcovi WWW-serveru, aby Vám to umožnil.
Ale mám pocit, že ani autor ani nikdo z diskutujících se to ještě nedoslechl. Podívali jste se alespoň někdy do logu WWW-serveru, kolik útoků na PHP-skripty denně přichází na server. Potom je přece jedno, zda tam autor mezeru vytvořil úmyslně nebo použil nebezpečnou PHP-funkci, o které to ale nevěděl. V čem je tedy pointa článku?
Jojo :), pěkný vtip. Jinak poučení je (když už si to nechci programovat sám), tak používat velké OpenSource projekty (Apache, PHP, WordPress, Gallery,...) , u kterých je jasné, že to není trojský kůň.
Bezva nápad. Hned je třeba založit certifikační organizaci, nejlépe s prezidentem v čele a minimálně 3 dlouhonohými sekretářkami, samozřejmě blondýnami. Každý programátor si zaplatí nelaciné testy na základě nichž dostane certifikát s platností na 1 rok a s obnovou za 98% původního poplatku. Prezident bude vystupovat v televizi ještě častěji, než Tomio Okamura a do roka a do dne u nás bude programátorský ráj :)
Taci programatori jsou ale pomerne lacinni a tudiz velmi zadani. Kde je poptavka je nabidka. A spousta odberatelu bezpecnost zajima jen dokud za ni nemusi priplatit - takze - nakonec dostanou co si objednali.
Melo by se zavest levelovani programatoru ... Od korene tvorby kodu do programovani ci upravovani hotovych scriptu... Protoze mi prijde ze celkove uroven pada a ve vysledcich je to znat... Dneska se za programatora vydava kazde ucho co umi cist read.me
Vsadím se, že dotyčný nezkontroloval, zda software není padělek. Stačí k tomu tyto jednoduché kroky:
Nakupuji u důvěryhodného prodejce?
Je součástí balení certifikát pravosti?
Je součástí balení holografický disk nebo médium pro
obnovení?
Jsou balení produktu a dokumentace vysoce kvalitní?
Je software správně licencován na prodej?
Postup v případě pochybností:
1. Nekupujte software.
2. Odešlete zprávu o padělku na webu www.microsoft.com/howtotell/report nebo ji zašlete na e-mailovou adresu piracy@microsoft.com. Ve své
zprávě vysvětlete, kde jste software našli a co vám připadalo podezřelé.
3. Ujistěte se, že nakupujete z důvěryhodných zdrojů, jako jsou hlavní maloobchodní prodejci nebo jiní uznávaní prodejci.
4. Pokud se chcete podívat, zda je software, který v současné době používáte, originální, přejděte na web www.microsoft.com/genuine a ověřte svou kopii systému Windows.
Někde jsem četl, že 'programováni' na bázi frameworků které jsme si nevytvořili sami je jako vaření z koupených polotovarů a kečupu. Je to rychlé, zažene to hlad, ale nejvyšší celkovou kvalitu výsledku to nepřinese.
V pětihvězdičkové restauraci vám proto jídlo z vegety a kečupu nepřinesou, velký projekt na neznámém frameworku ale zaplatíte u profesionálů klidně :-)
Když už by to měl být článek o bezpečnosti a tak, co tam dělá zmínka o tom abandonwaru. Celý odstavec v kontextu článku (který mi vůbec přijde, že skáče od jednoho k druhému, něčím začal a skončil něčím jiným) je v podstatě zbytečný a je v podstatě jakousi reklamou na daný web...
Poučení je dle mého názoru obecnější. Dostupnost produktů plodů intelektuálního snažení někoho jiného na jednu stranu zrychluje vývoj, na stranu druhou často snižuje nároky na znalosti jednotlivce a člověk tak přestává být samostatnou funkční jednotkou. Bude to znít zvláštně, ale je to vlastně totální socializace skrze totální desocializaci. Dříve bylo programování vysoce individuální zábavou dnes je to ve většině případů kolektivní práce, i když kolektivu virtuálního, ve kterém probíhá spolupráce nevědomě. Dříve bylo běžné a vyžadované, aby měl jednotlivec encyklopedické znalosti, dnes se většina populace spoléhá na to co vygoogluje a je to považováno za standard. Ve světle posledního vývoje už skutečně není jasné, zdali vysoká dostupnost informací na internetu přispívá k rozvoji a osvobození jednotlivce nebo k jeho degradaci. Dříve lidé mnohem více spoléhali na svůj vlastní úsudek, a i když se často mýlili, již jen samotný proces myšlení je dále rozvíjel. Dnes je jednoduší hledat hotové odpovědi na internetu. Nehodnotím jestli je tento vývoj pozitivní či negativní, to stejně ukáže až čas.
Poučení je "důvěřuj ale prověřuj". To, že open source software jde prověřit lépe než closed source, ještě neznamená, že to taky někdo zodpovědně a kvalifikovaně udělá.