|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от opennews on 17-Фев-10, 23:13 | ||
Институт SANS (SysAdmin, Audit, Network, Security), совместно с организацией MITRE и ведущими экспертами по компьютерной безопасности, подготовил (http://cwe.mitre.org/top25/) новую редакцию рейтинга 25 самых опасных ошибок, приводящих к возникновению серьезных уязвимостей. Ошибки были отобраны с учетом их распространенности, трудоемкости обнаружения и простоты эксплуатации уязвимости. В опубликованном документе подробно разбирается каждый из 25 видов ошибок, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | –4 +/– | |
Сообщение от Zenitur on 17-Фев-10, 23:13 | ||
Анализ был составлен по данным статистики обновлений безопасности MS Windows XP-7. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
2. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от XoRe (ok) on 17-Фев-10, 23:22 | ||
>Анализ был составлен по данным статистики обновлений безопасности MS Windows XP-7. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
5. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | –2 +/– | |
Сообщение от Zenitur on 18-Фев-10, 00:56 | ||
Вы забыли про сотни обновлений для IE, WMP и .NET. Достаточно окинуть взглядом список исправленных уязвимостей в версии 3.5 SP1, чтобы невольно вздрогнуть от ужаса | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
18. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от XoRe (ok) on 18-Фев-10, 10:08 | ||
>Вы забыли про сотни обновлений для IE, WMP и .NET. Достаточно окинуть | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
64. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Трухин_Юрий_Владимирович (ok) on 20-Фев-10, 12:19 | ||
И какие сотни обновлений была для поддерживаемых на сегодня ОС MS? В 2009 году Vista - 28 уязвимостей http://secunia.com/advisories/product/13223/?task=statistics... | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
65. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Аноним (??) on 20-Фев-10, 20:18 | ||
>И какие сотни обновлений была для поддерживаемых на сегодня ОС MS? В | ||
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору |
67. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Трухин_Юрий_Владимирович (ok) on 20-Фев-10, 22:09 | ||
Только по ядру Linux: 38! уязвимостей только в ядре!!! за 2009 год. Это без всяких Xов, графической оболочки и др. А значит - присутствовали во всех! дистрибутивах Linux в 2009 году на ядре 2.6.... http://secunia.com/advisories/product/2719/?task=statistics_... | ||
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору |
70. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +1 +/– | |
Сообщение от Глеб В on 20-Фев-10, 23:49 | ||
>Только по ядру Linux: 38! уязвимостей только в ядре!!! за 2009 год. | ||
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору |
66. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Глеб В on 20-Фев-10, 20:22 | ||
28 дыр дающих удаленно права администратора и 135 Cross Site Scriptirng дыр в web-приложениях это вы мощно сравнили. | ||
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору |
68. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Трухин_Юрий_Владимирович (ok) on 20-Фев-10, 22:10 | ||
>28 дыр дающих удаленно права администратора и 135 Cross Site Scriptirng дыр | ||
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору |
69. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Трухин_Юрий_Владимирович (ok) on 20-Фев-10, 22:11 | ||
это все я пишу в ответ на заявления человека о многих сотнях дыр в виндах в 2009 году... | ||
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору |
71. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Глеб В on 20-Фев-10, 23:52 | ||
>это все я пишу в ответ на заявления человека о многих сотнях | ||
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору |
3. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +6 +/– | |
Сообщение от Tav (ok) on 17-Фев-10, 23:39 | ||
Часть из этих ошибок — причина порочной практики программирования, которая связанна с использованием непоследовательного и непродуманного языка PHP: построение SQL-запросов путем конкатенации, смешивание html-кода и программной логики, скрипты и файлы с данными вперемешку, изначальное отсутствие пространств имен, "magic quotes hell" (убрали, но каким местом раньше думали), register_globals (понятно, что обычно выключено, но как вообще можно было в здравом уме до такого додуматься). | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
4. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Cobold (??) on 18-Фев-10, 00:51 | ||
хорошо сказано :) | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
8. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от vbv (ok) on 18-Фев-10, 02:49 | ||
А Oracle не хочет приобрести php??? | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
7. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +1 +/– | |
Сообщение от Deffic on 18-Фев-10, 02:48 | ||
"..которая связанна с использованием непоследовательного и непродуманного языка PHP.." | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
12. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +1 +/– | |
Сообщение от polymorphm1 (ok) on 18-Фев-10, 03:40 | ||
самая больная проблема в PHP -- это mod_php , который ПООЩРЯЕТ помещщение (и выполнение) php-файлов в тойже самой директории что и статические media-файлы.. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
22. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Tav (ok) on 18-Фев-10, 10:42 | ||
Проблема не в SQL. Все нормальные API для работы с SQL работают так: запрос с параметрами (например "SELECT * FROM table WHERE id = ?") сначала компилируется, а значения параметров подставляются уже при выполнении запроса. Такой подход избавляет от необходимости каждый раз выполнять разбор SQL и делает инъекции невозможными. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
26. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Cobold (??) on 18-Фев-10, 11:50 | ||
эта норма пришла скорее от mysql, потому что там изначально небыло компиляции запросов, и любая прослойка позволявшая пользоваться переменными по сути ничего кроме конкатенации не делала. А ещё php во все времена имел очень низенькую планочку для IQ разработчика, поэтому им пользуются столько людей которые даже слова "фреймворк" не знают. В принципе, как windows - своей убогостью создал себе огромный рынок. | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
29. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Deffic on 18-Фев-10, 12:19 | ||
>Проблема не в SQL. Все нормальные API для работы с SQL работают | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
38. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Tav (ok) on 18-Фев-10, 14:22 | ||
>А если логика запроса посложнее и состоит из 100 вложений ("инъекций") | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
35. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay on 18-Фев-10, 13:25 | ||
>Проблема не в SQL. Все нормальные API для работы с SQL работают | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
39. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Tav (ok) on 18-Фев-10, 14:27 | ||
> Все бы было хорошо если бы плейсхолдеры можно было применять в любой части запроса, но это не так, ибо тогда нарушается его план, "select * from ? where..." а такое относительно часто бывает нужно. | ||
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору |
41. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay on 18-Фев-10, 14:50 | ||
> Имя таблицы — это данные пришедшие из вне? Если такое часто нужно, у вас какие-то принципиальные проблемы с моделью данных. | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
43. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +1 +/– | |
Сообщение от Tav (ok) on 18-Фев-10, 15:34 | ||
> есть необходимость динамического построения сложных аналитических запросов по всей базе, в зависимости от текущих желаний пользователя, построитель у него есть. | ||
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору |
45. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay on 18-Фев-10, 16:03 | ||
> Речь о том, что использование запросов с параметрами — норма, а манипуляции со строками — для исключительных случаев | ||
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору |
51. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Deffic on 18-Фев-10, 18:25 | ||
>> есть необходимость динамического построения сложных аналитических запросов по всей базе, в зависимости от текущих желаний пользователя, построитель у него есть. | ||
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору |
73. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от AlexAT (ok) on 12-Май-10, 13:47 | ||
>> есть необходимость динамического построения сложных аналитических запросов по всей базе, в зависимости от текущих желаний пользователя, построитель у него есть. | ||
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору |
42. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Cobold (??) on 18-Фев-10, 14:57 | ||
>Проблема безопасности заключается в первую очередь не в языках или технологиях, а | ||
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору |
44. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay on 18-Фев-10, 15:40 | ||
И на перл можно каждый раз собирать строку запроса, препарить ее а потом исполнять, тыщу раз такое видел и сам делал, говорю вам не в инструменте дело, точнее не в первую очередь в инструменте. Качественный продукт к сожалению таки требует дополнительных трудозатрат. А вот про культуру вы хорошо заметили, все прекрасно, но это только в идеальном сферическом мире, а на практике все под елочку ходят когда приспичит. | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
47. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Cobold (??) on 18-Фев-10, 17:29 | ||
я не о том что на перле это невозможно, я о том что там в отличии от php при работе с базой наиболее лёгкий и удобный способ одновременно является и более безопасным, и при этом приучает делать более качественный код. Может быть в этом главная слабость php - он реализует очень много функциональности на уровне языка вместо того чтобы стимулировать развитие более качественных фреймворков, а все эти стандартные расширения практически монополизируют свою функцию, какому-то конкурирующему решению очень сложно пробиться. | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
52. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay on 18-Фев-10, 18:35 | ||
а я вам про то что я например, при освоении DBI был весьма озадачен таким подходом, особенно когда узнал что mysql не поддерживал хранимых запросов, и в результате чтобы не выписывать каждый раз такие кренделя написал функцию execute_query() в которую передавал динамически собираемую строку запроса. Даже если бы mysql поддерживал то всеравно бы написал, ибо в результате проще, кода меньше, на тот момент я был таков, писал кода в день в три раза больше чем сейчас и просил за это крохи, а теперь что, пока доку три раза прочтешь, пока подумаешь, спланируешь, ошибки обработаешь и т.п. пацан молодой какой нить уже 10 раз все сделает за в три раза меньшие деньги, вот и подумайте кого выберет современный массовый работодатель производитель всякого ширпотреба ? Незнаю, возможно я и не прав, можете убеждать меня дальше, но считаю что инструменты тут дело далеко десятое. | ||
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору |
49. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Cobold (??) on 18-Фев-10, 17:39 | ||
а по поводу безопасности - всё зависит от вашей клиентской группы, в некоторых местах водятся очень даже культурные клиенты которые готовы доплатить небольшой бонус за качество чтобы потом не потерять бóльшие деньги | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
50. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay on 18-Фев-10, 18:04 | ||
это всеже не мэйнстрим, в основном то ПО впаривается, посмотрите на туже винду или офис, куча красочных перделок, мало кому нужных и зачастую даже бесплатных. | ||
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору |
9. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Deffic on 18-Фев-10, 02:51 | ||
"..смешивание html-кода и программной логики.." | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
10. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +1 +/– | |
Сообщение от Ян Злобин on 18-Фев-10, 03:34 | ||
>"..смешивание html-кода и программной логики.." | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
13. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | –2 +/– | |
Сообщение от Deffic on 18-Фев-10, 03:50 | ||
>>"..смешивание html-кода и программной логики.." | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
15. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +3 +/– | |
Сообщение от polymorphm1 (ok) on 18-Фев-10, 04:06 | ||
> Неправильно - смешивание данных и кода. | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
16. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | –1 +/– | |
Сообщение от Deffic on 18-Фев-10, 04:35 | ||
>> Неправильно - смешивание данных и кода. | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
17. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +1 +/– | |
Сообщение от Аноним (??) on 18-Фев-10, 09:30 | ||
> \t \n и др. это не код, а просто невидимые символы | ||
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору |
24. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Deffic on 18-Фев-10, 11:25 | ||
>> \t \n и др. это не код, а просто невидимые символы | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
20. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от XoRe (ok) on 18-Фев-10, 10:26 | ||
>IMHO это не нужно рассматривать как правило. | ||
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору |
32. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | –2 +/– | |
Сообщение от thirteensmay on 18-Фев-10, 12:42 | ||
Есть мнение что впендюривание новых шаблонов и тем - туфта гламурных домохозяек, плюсы конечно есть, но это не общеупотребимо, а вот сложность при этом увеличивается, само понятие шаблона, их язык, производительность опять таки. А чем сложнее система тем больше в ней уязвимостей ;) Нет, я не хочу сказать что рассматриваемый подход зло, всему свое место, зачастую простейший вариант с формированием ответа в одном скрипте оптимален, как уже сказали выше все зависит от задачи. | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
23. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Tav (ok) on 18-Фев-10, 11:00 | ||
Это противоречит архитектурному шаблону Model–View–Controller, затрудняет модификацию кода и контроль его корректности. | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
27. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Cobold (??) on 18-Фев-10, 12:03 | ||
а сколько господ даже здесь рассуждают о языке без намёка на MVC в своих текстах? | ||
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору |
30. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Deffic on 18-Фев-10, 12:23 | ||
>а сколько господ даже здесь рассуждают о языке без намёка на MVC | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
33. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay on 18-Фев-10, 12:51 | ||
НеMVC тоже ;) | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
34. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Deffic on 18-Фев-10, 12:57 | ||
>НеMVC тоже ;) | ||
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору |
40. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Cobold (??) on 18-Фев-10, 14:29 | ||
> MVC никто не отменял. | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
74. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от AlexAT (ok) on 12-Май-10, 13:50 | ||
>> MVC никто не отменял. | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
14. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +1 +/– | |
Сообщение от polymorphm1 (ok) on 18-Фев-10, 03:57 | ||
> Часть из этих ошибок — причина порочной практики программирования, которая связанна с использованием непоследовательного и непродуманного языка PHP ... | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
21. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от XoRe (ok) on 18-Фев-10, 10:34 | ||
>[оверквотинг удален] | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
25. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Deffic on 18-Фев-10, 11:47 | ||
>[оверквотинг удален] | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
62. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от polymorphm1 (ok) on 20-Фев-10, 03:20 | ||
> | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
11. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от polymorphm1 (ok) on 18-Фев-10, 03:35 | ||
больше всего нанавижу что люди (разработчики функциональных web-страниц) -- недооценивают возможность Cross-Site Request Forgery (CSRF) при разработке своих страничек ... | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
28. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay on 18-Фев-10, 12:15 | ||
А чем перехват и подмена кук и ip отличается от подмены HTTP_REFERER ? | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
31. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Аноним (??) on 18-Фев-10, 12:35 | ||
От подмены IP защитит протокол TCP/IP. (если вы не внедрились в канал связи) | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
36. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay on 18-Фев-10, 13:31 | ||
В т.ч. может быть сформирован запрос с необходимым HTTP_REFERER ? И для этого даже не придется прослушивать канал связи ? | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
46. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Аноним (??) on 18-Фев-10, 16:36 | ||
>В т.ч. может быть сформирован запрос с необходимым HTTP_REFERER ? | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
48. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay on 18-Фев-10, 17:36 | ||
Какая дыра в браузере ? Запрос отправляется не из браузера а с сайта злоумышленника. Я не понимаю почему человек считает что если у него перехватили куку то он сможет защититься реферером, он же в плане безопасности по сравнению с куками сопля полная, светиться всем. | ||
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору |
53. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Аноним (??) on 18-Фев-10, 19:04 | ||
>Запрос отправляется не из браузера а с сайта злоумышленника. | ||
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору |
54. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay on 18-Фев-10, 19:33 | ||
> Куку не перехватили | ||
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору |
55. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Аноним (??) on 18-Фев-10, 19:57 | ||
>клиент установленный на сайте злоумышленника | ||
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору |
56. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay on 18-Фев-10, 20:44 | ||
> Referer может подменить клиент, но не другой сайт | ||
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору |
57. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Аноним (??) on 18-Фев-10, 21:17 | ||
>За тем злоклиент на злосайте и нужен чтобы отправить запрос с подмененным реферером | ||
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору |
58. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay on 18-Фев-10, 21:39 | ||
>Отправлять запрос злосайт не будет. Он показывает страницу. | ||
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору |
59. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Аноним (??) on 18-Фев-10, 22:13 | ||
>Да злосайт сайтом называется только ради красоты | ||
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору |
60. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | –1 +/– | |
Сообщение от thirteensmay on 18-Фев-10, 22:32 | ||
Ооо ! кажись понял, автор имел ввиду использование его кук в рамках понятия CSRF, т.е. не их перехват и запрос с подставного сайта, а склонение пользовательского браузера к отправке запроса на оригинальный сайт но с измененными параметрами, не теми что ввел пользователь. Т.е. автор просто неверно сформулировал часть предложения, вместо: | ||
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору |
61. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Аноним (??) on 18-Фев-10, 22:40 | ||
>так ??? | ||
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору |
63. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от polymorphm1 (ok) on 20-Фев-10, 03:37 | ||
> так ??? | ||
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору |
37. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от luzers on 18-Фев-10, 14:14 | ||
Распечатать и большим плакатом в программерских развесить. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
75. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от gHg on 04-Июл-11, 09:15 | ||
админам составьте пожалуйста ПОЛНЫЙ список из инета, обязательно по категорям (языки, назначение программ/алгоритмов,....). | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |