ot: aky antivirus?
Dawid Ferenczy
ferenczy na volny.cz
Pátek Leden 14 17:17:44 CET 2011
Puvodni zprava "Re: Re[2]: ot: aky antivirus?" od "Jaroslav Lukesh
(hw-list na list.hw.cz)" z 12. ledna 2011, 19:53:15,
msgid:023901cbb289$f8481b90$6164a8c0 na IBMXP (2247 bajtu):
JL> Webové servery a weby dělám 17 let a nehacknul mi je nikdo. Je ale
JL> fakt, že PHP mi nesmí na stroje, jinak používám výhradně
JL> opensource (kromě Sybase ale ta je taky ve free verzi).
JL> Asi každý používáme poněkud jiné technologie ;-)
To zcela jiste :)
Ale vzdyt, jak jsem psal, to vubec neni o PHP.
Par napadeji bylo pres ukradena hesla k FTP z TC, ktera mel nekdo z
klientu nebo dodavatelu (nebo klidne i nejakeho programatora/kodera
napr. z domova). Slo tedy asi o spatne workflow.
Co jsme po jednom napadeni zkoumali server, v sekundovych intervalech
se snazil nejaky bot prihlasit na FTP i po dobu nekolika dni,
uzivatelska jmena zkousel evidentne ze slovniku. Toto je tedy o
kvalite hesel a uzivatelskych jmen a o zabezpeceni beznych uctu (root,
admin apod.) proti prihlaseni z venku.
Dalsi napadeni bylo pres zminene PHPBB, opet ale neslo o zadnou diru v
PHP, ale o diru v aplikaci. Pokud napr. nekontroluji, co posilam
databazi a posilam ji data, ktera pochazeji od uzivatele (napr. z
nejakeho weboveho formulare), je vcelku jedno, co pouzivam za jazyk.
Od toho jsou spis vyssi frameworky, ktere to proste osetruji
automaticky, kdyz je programator lempl. Takto deravou aplikaci Vam
napisu v libovolnem jazyce :)
Za tech 6 let to byly opravdu jednotky napadenych webu, ale nikdy to
nebylo dirou v PHP. A to se PHP na produkcnich serverech temer
neupdatuje, aby se neco nerozbilo.
Za dobu co programuji a co jsem si postupne prosel od Basicu na
Didaktiku M, pres Pascal, assembler, C, C++, Delphi, Adu, PHP az k
Pythonu a mezitim ocuchal jeste ruzne exotictejsi jazyky, jsem dosel k
nazoru, ze kvalita aplikaci je v mensi mire zavisla na kvalite jazyka
a ve vetsi na kvalitach programatora. A neexistuje idealni jazyk, jen
k nemu maji nektere blize a nektere dale, ale hlavne kazdy se hodi na
neco jineho.
Nicmene ikdyz delam rozsahle webove aplikace a intranetu (nejen nejake
firemni prezentace), stale to delam trtinu doby, co Vy, tak treba
jeste zmenim nazor :)
--
Dawid Ferenczy
http://www.ferenczy.cz
Další informace o konferenci Hw-list