ot: aky antivirus?

Dawid Ferenczy ferenczy na volny.cz
Pátek Leden 14 17:17:44 CET 2011


Puvodni  zprava  "Re:  Re[2]:  ot: aky antivirus?" od "Jaroslav Lukesh
(hw-list na list.hw.cz)" z 12. ledna 2011, 19:53:15,
msgid:023901cbb289$f8481b90$6164a8c0 na IBMXP (2247 bajtu):

JL> Webové servery a weby dělám 17 let a nehacknul mi je nikdo. Je ale
JL> fakt,   že  PHP  mi  nesmí  na  stroje,  jinak  používám  výhradně
JL> opensource (kromě Sybase ale ta je taky ve free verzi).

JL> Asi každý používáme poněkud jiné technologie ;-)

To zcela jiste :)

Ale vzdyt, jak jsem psal, to vubec neni o PHP.

Par  napadeji  bylo  pres ukradena hesla k FTP z TC, ktera mel nekdo z
klientu  nebo  dodavatelu  (nebo klidne i nejakeho programatora/kodera
napr. z domova). Slo tedy asi o spatne workflow.

Co  jsme po jednom napadeni zkoumali server, v sekundovych intervalech
se  snazil  nejaky  bot  prihlasit  na  FTP  i  po  dobu nekolika dni,
uzivatelska  jmena  zkousel  evidentne  ze  slovniku.  Toto  je tedy o
kvalite hesel a uzivatelskych jmen a o zabezpeceni beznych uctu (root,
admin apod.) proti prihlaseni z venku.

Dalsi napadeni bylo pres zminene PHPBB, opet ale neslo o zadnou diru v
PHP,  ale  o  diru  v  aplikaci.  Pokud napr. nekontroluji, co posilam
databazi  a  posilam  ji  data,  ktera pochazeji od uzivatele (napr. z
nejakeho  weboveho  formulare), je vcelku jedno, co pouzivam za jazyk.
Od   toho  jsou  spis  vyssi  frameworky,  ktere  to  proste  osetruji
automaticky, kdyz je programator lempl. Takto deravou aplikaci Vam
napisu v libovolnem jazyce :)

Za  tech  6 let to byly opravdu jednotky napadenych webu, ale nikdy to
nebylo  dirou  v  PHP.  A  to  se  PHP  na produkcnich serverech temer
neupdatuje, aby se neco nerozbilo.

Za  dobu  co  programuji  a  co  jsem  si postupne prosel od Basicu na
Didaktiku  M,  pres  Pascal,  assembler, C, C++, Delphi, Adu, PHP az k
Pythonu a mezitim ocuchal jeste ruzne exotictejsi jazyky, jsem dosel k
nazoru,  ze kvalita aplikaci je v mensi mire zavisla na kvalite jazyka
a  ve vetsi na kvalitach programatora. A neexistuje idealni jazyk, jen
k  nemu maji nektere blize a nektere dale, ale hlavne kazdy se hodi na
neco jineho.

Nicmene ikdyz delam rozsahle webove aplikace a intranetu (nejen nejake
firemni  prezentace),  stale  to  delam  trtinu doby, co Vy, tak treba
jeste zmenim nazor :)
 
-- 
 Dawid Ferenczy
 http://www.ferenczy.cz



Další informace o konferenci Hw-list