Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"77% из 433 тысяч изученных сайтов использую уязвимые ве..." | +/– | |
Сообщение от opennews on 23-Ноя-17, 13:09 | ||
Изучив 433 тысячи сайтов, информация о которых собрана в рамках проекта HTTP Archive (http://httparchive.org/) и доступа для анализа при помощи интерфейса BigQuery (https://bigquery.cloud.google.com/), исследователи обнаружили (https://snyk.io/blog/77-percent-of-sites-still-vulnerable/), что 77% из изученных сайтов используют как минимум одну JavaScript-библиотеку, содержащую известные уязвимости. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +37 +/– | |
Сообщение от Аномномномнимус on 23-Ноя-17, 13:09 | ||
Потому что в вебе всё работает на "хоть бы прокатило" и если там хоть что-то обновить - всё развалится, ведь все эти хипстерские фреймворки забили на обратную совместимость. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
3. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +2 +/– | |
Сообщение от нах on 23-Ноя-17, 13:11 | ||
> Потому что в вебе всё работает на "хоть бы прокатило" | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
5. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +3 +/– | |
Сообщение от Аномномномнимус on 23-Ноя-17, 13:32 | ||
Потому что в вебе если что-то сломалось, народ узнаёт об этом в последнюю очередь, уже когда вот конкретно нужная фича умерла. Никто не матерится "Чувак, у ты чё-то поменял и у тебя проект не собирается вообще", браузеру пофиг, он как-нибудь выживет. Ну и автотесты там это из ряда "недавно случился праздник". Плюс ещё море фреймворков на фреймворках, которые тоже никогда не будут спешить обновляться | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
12. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | –8 +/– | |
Сообщение от Аноним (??) on 23-Ноя-17, 14:13 | ||
Нет совместимости, переходите на новую версию, это и есть прогресс. Если бы в жизни все было иначе, то и колеса бы наверное не было. Уже столько утилит для различных тестов, один раз написал тест, и проверяй что все не развалилось при переходе от версии к версии | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
17. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +5 +/– | |
Сообщение от Аномномномнимус on 23-Ноя-17, 15:52 | ||
Ок, давай перенесём твой посыл в любимую тобой терминологию колёс. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
20. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +6 +/– | |
Сообщение от Аноним84701 (ok) on 23-Ноя-17, 16:11 | ||
> Нет совместимости, переходите на новую версию, это и есть прогресс. Если бы | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
21. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | –5 +/– | |
Сообщение от Аноним (??) on 23-Ноя-17, 16:52 | ||
а что в linux kernel не так? | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
31. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +4 +/– | |
Сообщение от angra (ok) on 23-Ноя-17, 22:17 | ||
Нет. Если продолжить аналогию с колесами, то в колесе могут произойти внутренние изменения, например другой рисунок или состав резины, но новое колесо по прежнему можно поставить на старое авто. | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
33. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +/– | |
Сообщение от gaga (ok) on 23-Ноя-17, 22:35 | ||
Так, но темп не тот и есть более-менее "железная рука" (Линус, редхат, интересы Ынтерпрайза и т.д.) которые поддерживают относительный порядок в генеральной линии. | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
34. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +/– | |
Сообщение от gaga (ok) on 23-Ноя-17, 22:35 | ||
Так, но темп не тот и есть более-менее "железная рука" (Линус, редхат, интересы Ынтерпрайза и т.д.) которые поддерживают относительный порядок в генеральной линии. | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
39. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +/– | |
Сообщение от Аноним (??) on 24-Ноя-17, 07:00 | ||
> а что в linux kernel не так? | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
56. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +/– | |
Сообщение от Аноним (??) on 25-Ноя-17, 12:55 | ||
> Ну, блин, поменять ядро 3.15 на 4.14 я могу. | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
16. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | –2 +/– | |
Сообщение от ввв on 23-Ноя-17, 15:45 | ||
Ты за обновление и поддрержку всех этих тыщ сайтов готов заплатить? Нет? | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
18. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +4 +/– | |
Сообщение от Аномномномнимус on 23-Ноя-17, 15:53 | ||
Видимо поэтому вебдевелоперам меньше платят, т.к. поддерживать всё равно не смогут, проще новых потом нанять | ||
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору |
40. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | –1 +/– | |
Сообщение от Аноним (??) on 24-Ноя-17, 07:03 | ||
> Видимо поэтому вебдевелоперам меньше платят, т.к. поддерживать всё равно не смогут, проще | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
53. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | –2 +/– | |
Сообщение от user455 on 24-Ноя-17, 21:03 | ||
во-первых одеска давно нет. во-вторых индусы, которые делают за_бись и просят за_бись. как только индус понимает, что он делает круто, его не заставишь работать за 10 баксов. это правда не отменяет огромного количества исполнителей с 10-баксовыми ценами, с соответствующим качеством правда. | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
19. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +/– | |
Сообщение от Аноним (??) on 23-Ноя-17, 15:55 | ||
> Опычно платят 10 тыщ за "сайт" | ||
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору |
4. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +2 +/– | |
Сообщение от Аноним (??) on 23-Ноя-17, 13:26 | ||
> И это пошло ещё дальше, во всякие руби на рельсах | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
29. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +/– | |
Сообщение от dep on 23-Ноя-17, 21:31 | ||
Причем тут виртуаленв? Просто на поддержке сайта должны работать инженеры, которые должны работать над обновлениями версий. Не стоить кого-то винить, если заказчик жлоб и всех уволил после релиза. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
47. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +/– | |
Сообщение от Аноним (??) on 24-Ноя-17, 11:59 | ||
Если бы строители строили дома также как программисты пишут | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
2. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +1 +/– | |
Сообщение от бивис on 23-Ноя-17, 13:11 | ||
хмг, узнал что существует каталог методов атаки на уязвимости, который называется КАПЕЦ (CAPEC) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
6. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | +6 +/– | |
Сообщение от mickvav on 23-Ноя-17, 13:33 | ||
Гхм, большинство уязвимостей в jQuery - это когда пользователю дают возможность запихать от имени сервера какую-нибудь бяку в вызовы самого jQuery (происходящие от имени другого пользователя). То есть уязвим не сам jQuery как таковой, а приложение, которое его криво использует. А версии в которых такие "уязвимости" устранены - это когда авторы jQuery подложили соломки таким горе-разработчикам в конкретном месте. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
13. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..." | –3 +/– | |
Сообщение от нах on 23-Ноя-17, 14:37 | ||
> Написать универсальный эксплоит под это дело крайне сложно - нужно в каждом сайте искать XSS, | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
7. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +1 +/– | |
Сообщение от тоже Аноним (ok) on 23-Ноя-17, 13:40 | ||
Признаться, был уверен, что во фронтенде может быть только одна уязвимость. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
15. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +1 +/– | |
Сообщение от Аноним84701 (ok) on 23-Ноя-17, 15:41 | ||
> Но вроде бы любой грамотный разработчик в курсе, что на бэк извне | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
22. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от Stop on 23-Ноя-17, 16:59 | ||
А слить твои данные на сторону заходя на сервер это не уже не уязвимость? It's school time... | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
24. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | –2 +/– | |
Сообщение от тоже Аноним (ok) on 23-Ноя-17, 18:24 | ||
Понимаю, растопыренными пальчиками писать неудобно. | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
32. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от angra (ok) on 23-Ноя-17, 22:31 | ||
Ну ты же большой мальчик, возьми и загугли XSS и CSRF или просто пройди по ссылкам на википедию в новости. | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
42. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от тоже Аноним (ok) on 24-Ноя-17, 08:11 | ||
Я, видимо, недостаточно большой мальчик, чтобы нагуглить, как можно защититься от того и другого обновлением jQuery. Просветите, отцы и старцы!.. | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
37. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | –1 +/– | |
Сообщение от Аноним (??) on 24-Ноя-17, 05:48 | ||
Аналогично. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
9. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +3 +/– | |
Сообщение от Аноним (??) on 23-Ноя-17, 13:52 | ||
Странно, что только 77%, если учитывать, как делается большинство сайтов - организация заказала сайт "веб-студии", состоящей из одного выпускника месячных курсов, тот слепил сайт на жумле или друпале, засунул на шаред хостинг и - в продакшон. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
11. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | –4 +/– | |
Сообщение от 0x0 on 23-Ноя-17, 14:11 | ||
А в нашу эпоху главное, что? Чтобы все участвующие чего-нибудь поимели (не исключая друг-друга)) | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
26. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | –1 +/– | |
Сообщение от Ордоним on 23-Ноя-17, 21:11 | ||
Сколько заплатили, столько и получили. Пилить крутой и правильный продакшон оно, конечно, круто, но кто ж за него заплатит? | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
27. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от ДевопсЛокалхостаКубернетыОпенстеки on 23-Ноя-17, 21:18 | ||
Кто ж вас научит делать правильный прод? опять все построите на костылях и синей изоленте, неудачники. | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
28. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | –1 +/– | |
Сообщение от Аноним (??) on 23-Ноя-17, 21:26 | ||
Да разрабы есть, но вот аналитиков нанимать не принято, между бизнесом и технарями плохая согласованность. Поэтому из гна и веток | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
10. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от Аноним (??) on 23-Ноя-17, 14:06 | ||
уязвимые версии еще ладно ,вы лучше вспомнити как отвалилась полинтернета после npm leftpad | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
30. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от animonous on 23-Ноя-17, 22:16 | ||
Бесконтрольный апдейт с хипстерских реп - вообще зло и ц. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
38. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от Аноним (??) on 24-Ноя-17, 05:49 | ||
> уязвимые версии еще ладно ,вы лучше вспомнити как отвалилась полинтернета после npm | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
35. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +3 +/– | |
Сообщение от Аноним (??) on 23-Ноя-17, 22:41 | ||
Потому что, как написано в статье http://www.opennet.me/opennews/art.shtml?num=47596 | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
36. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | –2 +/– | |
Сообщение от Аноним (??) on 24-Ноя-17, 02:28 | ||
Вот чёт реально не понял.. в js можно наклеить уязвимостей?? Где можно почитать подробней? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
41. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | –1 +/– | |
Сообщение от EuPhobos (ok) on 24-Ноя-17, 07:37 | ||
Что значит "уязвимые JS-библиотеки"?? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
43. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | –2 +/– | |
Сообщение от Аноним (??) on 24-Ноя-17, 10:14 | ||
Объясните чем страшна уязвимость в клинтской библиотеке? Она же все одно на клиенте выполняется и на сервер никак не влияет? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
44. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от Аноним (??) on 24-Ноя-17, 10:38 | ||
> Объясните чем страшна уязвимость в клинтской библиотеке? Она же все одно на | ||
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору |
46. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | –1 +/– | |
Сообщение от тоже Аноним (ok) on 24-Ноя-17, 11:28 | ||
Джентльмены, давайте не витать в теориях. | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
50. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +2 +/– | |
Сообщение от ойой on 24-Ноя-17, 16:13 | ||
>Предположим, что здесь, на Опеннете, используется древняя библиотека - тот же jQuery. | ||
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору |
51. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +1 +/– | |
Сообщение от ойой on 24-Ноя-17, 16:14 | ||
Прошу прощения, кнопка выглядит как "[показать]", а не "развернуть" | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
52. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +1 +/– | |
Сообщение от тоже Аноним (ok) on 24-Ноя-17, 17:08 | ||
Какой же дурак делает экранирование - на клиенте? | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
54. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от angra (ok) on 25-Ноя-17, 00:33 | ||
> Какой же дурак делает экранирование - на клиенте? | ||
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору |
55. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от тоже Аноним (ok) on 25-Ноя-17, 12:14 | ||
И какое сколь угодно RESTFUL API требует от вас, приняв произвольный комментарий от пользователя, сохранять его в неприкосновенности, надеясь на то, что при выводе его что-то на клиенте проэкранирует? А если, не дай бог, админка наваяна на коленке и в ней забудут проэкранировать тот же комментарий и аккуратно выведут его администратору - этот дятел таки порушит всю вашу цивилизацию? | ||
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору |
60. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от Аноним (??) on 26-Ноя-17, 09:02 | ||
Если у апологетов уязвимостей в на фронтенде закончились аргументы, то даже не смешно, люди всерьез не понимают о чем говорят. Весь отчет похоже сделали те, кто решил заработать на аудит безопасности фронтенда, дело бестолковое, но менеджерам можно продемонстрировать длинный список уязвимостей на странице их корпоративного сайта, расцветить все красным, нагнать жути и продать свои услуги. | ||
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору |
48. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от anonymous (??) on 24-Ноя-17, 13:50 | ||
но ведь для этого нужно как то войти в клиента? как это сделать если в код на сервере ничего нового добавить не получиться? | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
45. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от Аноним (??) on 24-Ноя-17, 10:46 | ||
А на клиенте что, воровать нечего? Явки/пароли, например. С которыми уже идти на сервер. | ||
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору |
49. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от anonymous (??) on 24-Ноя-17, 13:56 | ||
как зайти на клиента если ничего нового в том что лежит на сервере не добавить? | ||
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору |
57. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от Аноним (??) on 25-Ноя-17, 15:46 | ||
Меня одного шокирует сложившая сегодня ситуация, что недостаточно образованные верстальщики за типовые сайты с кривоватой версткой и уязвимыми JS библиотеками (фреймворками) получают в разы больше чем люди закончившие профильные университеты (а то и несколько) и работающие по профессии годами с опытом в десятки лет? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
59. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от Аноним (??) on 26-Ноя-17, 08:47 | ||
Я, как и многие тут, не понимаю про опасность уязвимостей фронтенд библиотеках. Сам я бекендщик, фронтенд это всегда не доверенная среда, кто угодно может поменять дом (пользователь, аддон в броузере и т.д.), модицицироваь запрос к серверу, потому все XSS и некорректные запросы фильтруется на сервере. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
62. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от Аноним (??) on 26-Ноя-17, 20:22 | ||
Атака на фронтэнд, это не атака на сервер/инфраструктуру проекта, а атака на пользователя и его данные. Например, если удастся выполнить javascript в web-интерфейсе при его просмотре администратором (самый тривиальный случай - script injection из-за проблемы с валидацией комментариев) много чего можно натворить. | ||
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору |
63. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от Аноним (??) on 26-Ноя-17, 21:03 | ||
Но ведь XSS всегда экранируется на сервере. Не придет ничего клиенту. | ||
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору |
61. "77% из 433 тысяч изученных сайтов используют уязвимые версии..." | +/– | |
Сообщение от qwerty_qwerty1 on 26-Ноя-17, 13:32 | ||
Дело не вот что программисты не хотят переходить на новые версии. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |