forum.opennet.ru - "25 самых опасных ошибок при создании программ" (48)

"25 самых опасных ошибок при создании программ"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"25 самых опасных ошибок при создании программ"	+/–
Сообщение от opennews (??), 13-Янв-09, 17:56
Институт SANS (SysAdmin, Audit, Network, Security), совместно с организацией MITRE и ведущими экспертами по компьютерной безопасности, подготовил рейтинг (http://cwe.mitre.org/top25/) 25 самых опасных ошибок, приводящих к возникновению серьезных уязвимостей. Ошибки были отобраны с учетом их распространенности, трудоемкости обнаружения и простоты эксплуатации уязвимости. В опубликованном документе подробно разбирается каждый из 25 видов ошибок, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок. Ниже краткое обобщение списка: - Небезопасное взаимодействие между компонентами , определяет проблемы, вызванные небезопасной отправкой или получением данных между модулями, программами, процессами, нитями или системами. - CWE-20 (http://cwe.mitre.org/top25/#CWE-20): Некорректная проверка входящих данных, например, отсутствие проверки предотвращающей появление спецсимволов в идентификаторах; - CWE-116 (http://cwe... URL: http://www.sans.org/top25errors/ Новость: http://www.opennet.me/opennews/art.shtml?num=19763
Ответить \| Правка \| Cообщить модератору

Оглавление

самая опасная ошибка это программер , cherep (??), 17:56 , 13-Янв-09, (1)
26 Использование заведомо глючной платформы Windows, PHP, и т п , Аноним (-), 18:04 , 13-Янв-09, (2)

и какая же альтернатива ПХП у нас есть , metallic (?), 19:10 , 13-Янв-09, (4)

ой, пхпшника задели, none (??), 19:54 , 13-Янв-09, (6)

а если всё-таки ответить слабо , vitek (??), 22:34 , 13-Янв-09, (10)

Есть рельсы, есть джанго, вполне достойная замена пыхпыху, Аноним (14), 23:14 , 13-Янв-09, (14)

ага есть шпалы -Dа если нужно что-то попроще , vitek (??), 23:35 , 13-Янв-09, (18)
И где примеры достойных приложений на этой достойной замене Ну хоть что-то не по, User294 (ok), 15:20 , 14-Янв-09, (37)

twitter, Alexander Q (?), 09:09 , 15-Янв-09, (45)

не слабо perl , none (??), 07:16 , 14-Янв-09, (27)
Python, PerlА также Java EE Ну а для сильнозагруженных и ресурсоограниченных ест, Eratothene (?), 09:02 , 14-Янв-09, (29)

j2ee - это corba, ejb, jsp, jsf, и без сервера приложений это имеет смысл с , vitek (??), 10:15 , 14-Янв-09, (32)
По наблюдениям - на питоне есть относительно небольшое число довольно уродливых , User294 (ok), 15:23 , 14-Янв-09, (38)

http wiki python org moin ContentManagementSystemshttp www google com Top Co, none (??), 11:12 , 18-Янв-09, (48) –1

aspx , Аноним (14), 09:00 , 14-Янв-09, (28)

и винда с ишаком в наследсво, 999 (ok), 09:42 , 14-Янв-09, (31)
На ЭТОМ почему-то традиционно написаны САМЫЕ УРОДСКИЕ И СТРАШНЫЕ сайты Наприм, User294 (ok), 15:28 , 14-Янв-09, (39)

python, perl, YEG (?), 10:53 , 15-Янв-09, (46)

Не удачный сексуальный опят с PHP Почему у меня нет таких проблем Я считаю боль, RapteR (ok), 20:02 , 13-Янв-09, (7)

Точно даёшь 100 нативный код Каждому веб-сайту по собственному веб-серверу Фр, tesseract (?), 20:20 , 13-Янв-09, (9)
согласился бы, если бы пхп-шники сами не ломали свое поделие, причем у них это у, none (??), 11:30 , 18-Янв-09, (49)

Неспособность,Неспособность,Неспособность они ошибки анализируют по-моему пал, Аноним (14), 18:49 , 13-Янв-09, (3)

А программы флудерасты что-ли пишут ИМХО это ошибки критичны больше как раз для, tesseract (?), 19:24 , 13-Янв-09, (5)

Ага С большой буквы , busik (?), 20:13 , 13-Янв-09, (8)
там они не пишутся там они бесплатным бонусом идут , vitek (??), 22:38 , 13-Янв-09, (11)

все зависит от квалификации специалистаи только частично от средств реализации, Аноним (12), 22:41 , 13-Янв-09, (12)

истину глаголишь хороший спец и проблемы найдет, и пути их решения предложит, vitek (??), 23:26 , 13-Янв-09, (16)
Плохому танцору вечно ноги мешают Простите, то есть, PHP, винды или что там еще , User294 (ok), 15:45 , 14-Янв-09, (40)

gt оверквотинг удален Ну, это жизнь Эволюция Т е видимо биллинг вначале зак, geekkoo (ok), 15:58 , 14-Янв-09, (42)

красиво сказал, pavel_simple (??), 16:11 , 14-Янв-09, (43)

И неправильно Не только GPL , а GPL управление проектом модель разарботки , Andrey Mitrofanov (?), 17:02 , 14-Янв-09, (44)

Особо понравились Может кто подскажет, надежные и не рискованные криптоалгорит, pavlinux (ok), 23:16 , 13-Янв-09, (15)

ну ты даешь стране угля пропал то куда , vitek (??), 23:29 , 13-Янв-09, (17)

Миднайт кодим , pavlinux (ok), 00:23 , 14-Янв-09, (19)

дык это твоя идея при копировании местами полоску менять лучше в mcedit кодировк, vitek (??), 00:40 , 14-Янв-09, (20)

Вы хотите сказать, что ваши фсбшники способны вскрыть данные алгоритмы, в не зав, ll (?), 01:18 , 14-Янв-09, (21)

Дык, они закрыты , pavlinux (ok), 01:25 , 14-Янв-09, (22)

Кстати, многими любимый ГОСТ 2004, на эллептич крывых тоже засада, ла, pavlinux (ok), 01:27 , 14-Янв-09, (23)

слышали уже спи спокойно , vitek (??), 01:46 , 14-Янв-09, (24)
RSA то хоть можно пользоваться Или паника не избежна , ll (?), 01:55 , 14-Янв-09, (25)

неизбежна, уже поступили кластеры на приставках , Аноним (-), 06:06 , 14-Янв-09, (26)

Балабол Каждый может нафантазировать что ФСБ все читает, пишет и следит за кажд, atom (?), 12:37 , 14-Янв-09, (35)

Павлин, скажи пожалуйста - если нечто описывается каким-то уравнением, какое ж о, User294 (ok), 15:54 , 14-Янв-09, (41)

По-моему он специально НЕ выделил и знак вопроса поставил, чтобы отметить, что, xxx (??), 17:12 , 15-Янв-09, (47)

SQL - зло Точнее не зло, а просто инструмент используемый не по назначению Его , Аноним (14), 09:29 , 14-Янв-09, (30)
Это какие такие нормальное API для запросов в БД , Аноним (14), 11:22 , 14-Янв-09, (33)

Как в BerkeleyDB, например , geekkoo (ok), 12:11 , 14-Янв-09, (34)

Где-то так То что SQL изначально не был turing-complete уже четко очерчивает об, Аноним (-), 14:51 , 14-Янв-09, (36)

Сообщения [Сортировка по времени | RSS]

1. "25 самых опасных ошибок при создании программ" +/–

Сообщение от cherep (??), 13-Янв-09, 17:56

самая опасная ошибка это программер :)

Ответить | Правка | Наверх | Cообщить модератору

2. "25 самых опасных ошибок при создании программ" +/–

Сообщение от Аноним (-), 13-Янв-09, 18:04

26. Использование заведомо глючной платформы (Windows, PHP, и т.п.)

Ответить | Правка | Наверх | Cообщить модератору

4. "25 самых опасных ошибок при создании программ" +/–

Сообщение от metallic (?), 13-Янв-09, 19:10

>26. Использование заведомо глючной платформы (Windows, PHP, и т.п.)
и какая же альтернатива ПХП у нас есть?

Ответить | Правка | Наверх | Cообщить модератору

6. "25 самых опасных ошибок при создании программ" +/–

Сообщение от none (??), 13-Янв-09, 19:54

ой, пхпшника задели

Ответить | Правка | Наверх | Cообщить модератору

10. "25 самых опасных ошибок при создании программ" +/–

Сообщение от vitek (??), 13-Янв-09, 22:34

а если всё-таки ответить?
слабо?

Ответить | Правка | Наверх | Cообщить модератору

14. "25 самых опасных ошибок при создании программ" +/–

Сообщение от Аноним (14), 13-Янв-09, 23:14

Есть рельсы, есть джанго, вполне достойная замена пыхпыху

Ответить | Правка | Наверх | Cообщить модератору

18. "25 самых опасных ошибок при создании программ" +/–

Сообщение от vitek (??), 13-Янв-09, 23:35

>Есть рельсы, есть джанго, вполне достойная замена пыхпыху
ага. есть шпалы.. :-D
а если нужно что-то попроще?

Ответить | Правка | Наверх | Cообщить модератору

37. "25 самых опасных ошибок при создании программ" +/–

Сообщение от User294 (ok), 14-Янв-09, 15:20

>Есть рельсы, есть джанго, вполне достойная замена пыхпыху
И где примеры достойных приложений на этой достойной замене?Ну хоть что-то не позорнее PHPBB V3, SMF, WordPress, Joomla, ... - оно, простите, где?А то воплей о крутости много а результата почему-то почти ноль.Есть горстка никому не нужных уродцев написаных на "крутом" языке.На этом все и заканчивается почему-то.У меня такое подозрение что "дело было не в бобине - долбо%# сидел в кабине".То есть облажаться можно на любом языке и в любой системе.Дураки умудряются обойти любую защиту от дурака.В языках программирования - в частности.А специалисты даже на нифига не безопасных сях напишут надежный код который хрен сломаешь.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

45. "25 самых опасных ошибок при создании программ" +/–

Сообщение от Alexander Q (?), 15-Янв-09, 09:09

twitter

Ответить | Правка | Наверх | Cообщить модератору

27. "25 самых опасных ошибок при создании программ" +/–

Сообщение от none (??), 14-Янв-09, 07:16

>а если всё-таки ответить?
>слабо?
не слабо.  perl.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

29. "25 самых опасных ошибок при создании программ" +/–

Сообщение от Eratothene (?), 14-Янв-09, 09:02

Python, Perl
А также Java EE.
Ну а для сильнозагруженных и ресурсоограниченных есть: С++ server pages, KLONE.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

32. "25 самых опасных ошибок при создании программ" +/–

Сообщение от vitek (??), 14-Янв-09, 10:15

j2ee - это corba, ejb, jsp, jsf,...? и без сервера приложений это имеет смысл?
с питоном - может ещё и соглашусь... а вот всё остальное альтернативой можно назвать с большой натяжкой.

Ответить | Правка | Наверх | Cообщить модератору

38. "25 самых опасных ошибок при создании программ" +/–

Сообщение от User294 (ok), 14-Янв-09, 15:23

>Python, Perl
>А также Java EE.
>Ну а для сильнозагруженных и ресурсоограниченных есть: С++ server pages, KLONE.
По наблюдениям - на питоне есть относительно небольшое число довольно уродливых приблуд(назовите плиз аналоги на питоне упомянутых веб-приложений?).Остальное вообще днем с огнем не найдешь (разве что у некоторых корпоративщиков и бизнеса, традиционно падких на всякое дерьмо, лишь бы сделано было побыстрее).

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

48. "25 самых опасных ошибок при создании программ" –1 +/–

Сообщение от none (??), 18-Янв-09, 11:12

>По наблюдениям - на питоне есть относительно небольшое число довольно уродливых приблуд(назовите
>плиз аналоги на питоне упомянутых веб-приложений?).Остальное вообще днем с огнем не
>найдешь (разве что у некоторых корпоративщиков и бизнеса, традиционно падких на
>всякое дерьмо, лишь бы сделано было побыстрее).
http://wiki.python.org/moin/ContentManagementSystems
http://www.google.com/Top/Computers/Programming/Languages/Py.../
http://ru.wikipedia.org/wiki/Использование_Python
1. я не питонщик.
2. вы читали код каких-нибудь CMS на php?, а мне приходилось, хотя я и не php-шник :)
читал Joomla, WordPress, osTube, какие-то отечественные, уж и не помню какие, их нынче тонны, и составлял баг-репорты. osTube в свое время порадовала: бажного кода больше, чем нормального. И давно уже сложилось такое мнение, что все криворукие программеры и пионеры сидят на пхп в силу его легкости освоения, а массовое распространения пхп, этому еще больше поспасобствовало.
Сугубо на мой взгляд, пхп это и есть то дерьмо, на котором можно сделать как попало и побыстрее.

Ответить | Правка | Наверх | Cообщить модератору

28. "25 самых опасных ошибок при создании программ" +/–

Сообщение от Аноним (14), 14-Янв-09, 09:00

aspx :)

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

31. "25 самых опасных ошибок при создании программ" +/–

Сообщение от 999 (ok), 14-Янв-09, 09:42

>aspx :)
и винда с ишаком в наследсво

Ответить | Правка | Наверх | Cообщить модератору

39. "25 самых опасных ошибок при создании программ" +/–

Сообщение от User294 (ok), 14-Янв-09, 15:28

>aspx :)
На ЭТОМ почему-то традиционно написаны... САМЫЕ УРОДСКИЕ И СТРАШНЫЕ сайты.Например ни 1 нормального форума на ЭТОМ я вообще не встречал за всю жизнь.Ну а интернет-магазины на ЭТОМ отличаются по жизни тормозами, глюками и убогостью.Как пример - chip&dip например.Убойно тормозной веб-магазин.Крайне мучителен в использовании - пока заказ оформишь, 7 потов сойдет.Да еще страницы часто загружаются раза с 3-го.Или вебмани с их недоношенным аяксом когда невзирая на мнимую аяксность оно все-равно мелькает и перегружается полностью в половине случаев.Нормальных веб-приложений на aspx которые было бы реально юзать без тошноты я еще не видел честно говоря.Отлично понимаю почему MS в вебе - такие лузеры.Они не умеют его готовить.А aspx в итоге юзают видимо только наиболее убогие мозгом... (ну во всяком случае глядя на результат такой вывод напрашивается)

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

46. "25 самых опасных ошибок при создании программ" +/–

Сообщение от YEG (?), 15-Янв-09, 10:53

python, perl

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "25 самых опасных ошибок при создании программ" +/–

Сообщение от RapteR (ok), 13-Янв-09, 20:02

>26. Использование заведомо глючной платформы (Windows, PHP, и т.п.)
Не удачный сексуальный опят с PHP? Почему у меня нет таких проблем?
Я считаю большинство проблем PHP связанно с тем, что ледивые девелоперы используют всякие фреймворки, библиотеки и прочую не нужную хрень копирую за одно себе ошибки других кодеров. По этому я против всяких там CMS и прочих гадостей "все в одном", зачем нужен бесполезный код?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

9. "25 самых опасных ошибок при создании программ" +/–

Сообщение от tesseract (?), 13-Янв-09, 20:20

Точно даёшь 100% нативный код. Каждому веб-сайту по собственному веб-серверу! Фрэймворки кстати снижают число ошибок, а не повышают их. У каждого программиста свой фрэймворк - в голове. Любой исполнимый файл - уже фрэймворк, он же практически в  ОС исполняется. Хотя это не отменяет дебилизма в использовании  PHP  на крупных порталах, это всё-таки скотч, а не сварка.

Ответить | Правка | Наверх | Cообщить модератору

49. "25 самых опасных ошибок при создании программ" +/–

Сообщение от none (??), 18-Янв-09, 11:30

>Не удачный сексуальный опят с PHP? Почему у меня нет таких проблем?
>
>Я считаю большинство проблем PHP связанно с тем, что ледивые девелоперы используют
>всякие фреймворки, библиотеки и прочую не нужную хрень копирую за одно
>себе ошибки других кодеров. По этому я против всяких там CMS
>и прочих гадостей "все в одном", зачем нужен бесполезный код?
согласился бы, если бы пхп-шники сами не ломали свое поделие, причем у них это удается с завидной частотой и лихачеством. Про 5.2.7 помолчим... а вот в том году, по моему где-то в четвертой ветке (поправте если ошибаюсь) они сломали mkdir, когда толи при отсутствии на конце папки слеша, толи при наличии, папка не создавалась. Откатитываться назад было очень не желательно, т.к. в прошлой версии были критические уязвимости, а исправленной версии еще не предвиделось. До сих пор помню тот чудный секс...

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

3. "25 самых опасных ошибок при создании программ" +/–

Сообщение от Аноним (14), 13-Янв-09, 18:49

Неспособность,Неспособность,Неспособность...
они ошибки анализируют? по-моему пальцем тыкают в недостатки программиста...

Ответить | Правка | Наверх | Cообщить модератору

5. "25 самых опасных ошибок при создании программ" +/–

Сообщение от tesseract (?), 13-Янв-09, 19:24

>Неспособность,Неспособность,Неспособность...
>они ошибки анализируют? по-моему пальцем тыкают в недостатки программиста...
А программы флудерасты что-ли пишут? ИМХО это ошибки критичны больше как раз для *nix систем, в винде баги по другому пишутся :-)

Ответить | Правка | Наверх | Cообщить модератору

8. "25 самых опасных ошибок при создании программ" +/–

Сообщение от busik (?), 13-Янв-09, 20:13

>>Неспособность,Неспособность,Неспособность...
>>они ошибки анализируют? по-моему пальцем тыкают в недостатки программиста...
>
>А программы флудерасты что-ли пишут? ИМХО это ошибки критичны больше как раз
>для *nix систем, в винде баги по другому пишутся :-)
Ага. С большой буквы.

Ответить | Правка | Наверх | Cообщить модератору

11. "25 самых опасных ошибок при создании программ" +/–

Сообщение от vitek (??), 13-Янв-09, 22:38

> в винде баги по другому пишутся :-)
там они не пишутся.. там они бесплатным бонусом идут.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

12. "25 самых опасных ошибок при создании программ" +/–

Сообщение от Аноним (12), 13-Янв-09, 22:41

все зависит от квалификации специалиста
и только частично от средств реализации

Ответить | Правка | Наверх | Cообщить модератору

16. "25 самых опасных ошибок при создании программ" +/–

Сообщение от vitek (??), 13-Янв-09, 23:26

>все зависит от квалификации специалиста
>и только частично от средств реализации
истину глаголишь.... хороший спец и проблемы найдет, и пути их решения предложит.
многих таких встречал... приятно работать.

Ответить | Правка | Наверх | Cообщить модератору

40. "25 самых опасных ошибок при создании программ" +/–

Сообщение от User294 (ok), 14-Янв-09, 15:45

>все зависит от квалификации специалиста
>и только частично от средств реализации
Плохому танцору вечно ноги мешают.Простите, то есть, PHP, винды или что там еще.Хотя в принципе ни винды ни PHP сами по себе не запрещают написать все качественно и по уму.Если чье-то приложение под виндой валидирует все данные - вы и там его не сломаете нифига.И работать оно там как-то будет.Равно как на рельсах и под *nix можно родить уродливое решето запросто.А уж сколько на "безопасной" Java болтается у бизнесменов всякого дырявого фуфла полностью доверяющего входным данным от пользователя и писанного теми кто о шифровании знает только то что если на глаз не понятно что это - значит вроде как секурно... =).А так - например видел несколько смешных логических ошибок в нескольких биллинговых системах очень крупных компаний.При этом вообще пофигу на чем этот биллинг написан.А вот попадание для компании получается нефиговое, особенно когда юзверги (многие из которых не тупее тех кто биллинг писал) находят там смешные логические ляпы и начинается халява.Которая обнаруживается ессно лишь когда орды абонентов начинают откровенно наглеть :)

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

42. "25 самых опасных ошибок при создании программ" +/–

Сообщение от geekkoo (ok), 14-Янв-09, 15:58

>[оверквотинг удален]
>можно родить уродливое решето запросто.А уж сколько на "безопасной" Java болтается
>у бизнесменов всякого дырявого фуфла полностью доверяющего входным данным от пользователя
>и писанного теми кто о шифровании знает только то что если
>на глаз не понятно что это - значит вроде как секурно...
>=).А так - например видел несколько смешных логических ошибок в нескольких
>биллинговых системах очень крупных компаний.При этом вообще пофигу на чем этот
>биллинг написан.А вот попадание для компании получается нефиговое, особенно когда юзверги
>(многие из которых не тупее тех кто биллинг писал) находят там
>смешные логические ляпы и начинается халява.Которая обнаруживается ессно лишь когда орды
>абонентов начинают откровенно наглеть :)
Ну, это жизнь. Эволюция. Т.е. видимо биллинг вначале заказали какому-то одному программеру, он его написал в соотвтествии с техзаданием, получил бабло и свалил. Потом до прова постепенно стало доходить, что в техзадании было заявлено чё-то не то, и они наняли другого программиста (парвый к этому моменту изрядно покрутел и уже начал предлагать предварительно записываться к нему на приём с предложениями о работе), чтобы тот доработала программу в соответствии с новыми веяниями.  Тот не разобравшись, написал решение для конкретного случая не разобрав остальные возможные варианты ... И так далее ...
В этой связи хочется добавить, что только GPL обеспечивает нормальную обратную связь, кторая может предотвратить накопление патогенных мутаций ...

Ответить | Правка | Наверх | Cообщить модератору

43. "25 самых опасных ошибок при создании программ" +/–

Сообщение от pavel_simple (??), 14-Янв-09, 16:11

>В этой связи хочется добавить, что только GPL обеспечивает нормальную обратную связь,
>кторая может предотвратить накопление патогенных мутаций ...
красиво сказал

Ответить | Правка | Наверх | Cообщить модератору

44. "25 самых опасных лицензий" +/–

Сообщение от Andrey Mitrofanov (?), 14-Янв-09, 17:02

>>В этой связи хочется добавить, что только GPL обеспечивает нормальную обратную связь,
>>кторая может предотвратить накопление патогенных мутаций ...
>красиво сказал
И неправильно.
Не "только GPL", а "GPL + управление проектом + модель разарботки + поддерживаемое/-ющее жизнеспособное сообщество + свободные коммуникации + $и.т.д".
Как-то так... :-j "Но и в этом случае сомнения не покидают меня."(ТМ)

Ответить | Правка | Наверх | Cообщить модератору

15. "25 самых опасных ошибок при создании программ" +/–

Сообщение от pavlinux (ok), 13-Янв-09, 23:16

Особо понравились:
> # Использование ненадежных или рискованных криптографических алгоритмов;
> # CWE-330: Использование предсказуемых случайных значений;
Может кто подскажет, надежные и не рискованные криптоалгоритмы?
Наши ФСБшники от слов Camellia и Blowfish ржут как кони, а от AES, ващще,  по полу катаются!!!
А так же, уравнение создания НЕпредсказуемых случайных значений?
Один видел, размером с холодильник, на газоразрядных лампах...

Ответить | Правка | Наверх | Cообщить модератору

17. "25 самых опасных ошибок при создании программ" +/–

Сообщение от vitek (??), 13-Янв-09, 23:29

ну ты даешь стране угля.
пропал то куда?

Ответить | Правка | Наверх | Cообщить модератору

19. "25 самых опасных ошибок при создании программ" +/–

Сообщение от pavlinux (ok), 14-Янв-09, 00:23

Миднайт кодим :)

Ответить | Правка | Наверх | Cообщить модератору

20. "25 самых опасных ошибок при создании программ" +/–

Сообщение от vitek (??), 14-Янв-09, 00:40

дык это твоя идея при копировании местами полоску менять?
лучше в mcedit кодировки вставь... или скажи куда присобачить, то сам вставлю.. через iconv.. ни хрена заявленная не работает:-D
ещё вот хочу через fuse базы данных монтировать и этим mcedit (или ещё чем) править... что-то идеи как это правильно в дереве отразить кончились... что скажешь?

Ответить | Правка | Наверх | Cообщить модератору

21. "25 самых опасных ошибок при создании программ" +/–

Сообщение от ll (?), 14-Янв-09, 01:18

>>Может кто подскажет, надежные и не рискованные криптоалгоритмы?
>>Наши ФСБшники от слов Camellia и Blowfish ржут как кони, а от AES, ващще,  по полу >>катаются!!!
Вы хотите сказать, что ваши фсбшники способны вскрыть данные алгоритмы, в не зависимости от длинны пароля, за разумное время? Батенька, назвали бы тогда уж альтернативу какую :)

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

22. "25 самых опасных ошибок при создании программ" +/–

Сообщение от pavlinux (ok), 14-Янв-09, 01:25

Дык, они закрыты :)

Ответить | Правка | Наверх | Cообщить модератору

23. "25 самых опасных ошибок при создании программ" +/–

Сообщение от pavlinux (ok), 14-Янв-09, 01:27

Кстати, многими любимый ГОСТ 2004, на эллептич крывых... тоже засада, ....... ладно,   и так много наболтал

Ответить | Правка | Наверх | Cообщить модератору

24. "25 самых опасных ошибок при создании программ" +/–

Сообщение от vitek (??), 14-Янв-09, 01:46

слышали уже... спи спокойно.

Ответить | Правка | Наверх | Cообщить модератору

25. "25 самых опасных ошибок при создании программ" +/–

Сообщение от ll (?), 14-Янв-09, 01:55

>Кстати, многими любимый ГОСТ 2004, на эллептич крывых... тоже засада, ....... ладно,
>  и так много наболтал
RSA то хоть можно пользоваться? Или паника не избежна? :)

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

26. "25 самых опасных ошибок при создании программ" +/–

Сообщение от Аноним (-), 14-Янв-09, 06:06

неизбежна, уже поступили кластеры на приставках =))

Ответить | Правка | Наверх | Cообщить модератору

35. "25 самых опасных ошибок при создании программ" +/–

Сообщение от atom (?), 14-Янв-09, 12:37

>Кстати, многими любимый ГОСТ 2004, на эллептич крывых... тоже засада, ....... ладно,
>  и так много наболтал
Балабол. Каждый может нафантазировать что ФСБ все читает, пишет и следит за каждым. А еще в России самые секретистые и стрАААшные разработки, лучшее оружие, спецслужбы и армия. Просто это все на столько секретно, что никто не видел и не увидит никогда. Параноики ,kznm.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

41. "25 самых опасных ошибок при создании программ" +/–

Сообщение от User294 (ok), 14-Янв-09, 15:54

>А так же, уравнение создания НЕпредсказуемых случайных значений?
Павлин, скажи пожалуйста - если нечто описывается каким-то уравнением, какое ж оно тогда, нафиг, случайное?!Хорошая у тебя трава, забористая.Наверное ФСБшники с тобой щедро поделились =)
А так - подсказываю: шум с микрофонного входа звуковухи можно считать до некоторой степени случайным.Тепловой шум - этот вообще качественная штука и вокруг его хоть отбавляй.Усиливай, цифруй, вот тебе и рандом.Хотя и требующий каких-то аппаратных довесков.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

47. "25 самых опасных ошибок при создании программ" +/–

Сообщение от xxx (??), 15-Янв-09, 17:12

>>А так же, уравнение создания НЕпредсказуемых случайных значений?
>
>Павлин, скажи пожалуйста - если нечто описывается каким-то уравнением, какое ж оно
>тогда, нафиг, случайное?!Хорошая у тебя трава, забористая.Наверное ФСБшники с тобой щедро
>поделились =)
По-моему он специально "НЕ" выделил и знак вопроса поставил, чтобы отметить, что уравнения дающие непредсказуемые значения - бред. Другое дело, что где это он видел чтобы говорилось, что уравнения дают случайные значения. В большинстве источников прямо оговорено что последовательность псевдослучайна, и лишь период огромен.
>А так - подсказываю: шум с микрофонного входа звуковухи можно считать до некоторой степени случайным.
Насколько я знаю в /dev/urandom появляются значния сгенерированные на основе поступления прерываний, ввода с клавиатуры, мышки, мусора в памяти и т. д. По-моему тоже достаточно случайно, или как знатоки в ФСБ считают?

Ответить | Правка | Наверх | Cообщить модератору

30. "25 самых опасных ошибок при создании программ" +/–

Сообщение от Аноним (14), 14-Янв-09, 09:29

>>Неспособность сохранения целостной структуры SQL запроса, что может привести к подстановке злоумышленником SQL запроса (SQL Injection);
SQL - зло. Точнее не зло, а просто инструмент используемый не по назначению.
Его ж придумывали для конечного пользователя, в рассчете, что серкретарши будут запросами таскать данные с базы данных. Но в связи с общей деградацией человеческого материала, SQL прихватили себе программисты и понеслась бодяга с бесконечными snprintf и их распарсиванием на сревере.
Вместо того, чтобы юзать нормальное API ...

Ответить | Правка | Наверх | Cообщить модератору

33. "25 самых опасных ошибок при создании программ" +/–

Сообщение от Аноним (14), 14-Янв-09, 11:22

Это какие такие "нормальное API" для запросов в БД ?

Ответить | Правка | Наверх | Cообщить модератору

34. "25 самых опасных ошибок при создании программ" +/–

Сообщение от geekkoo (ok), 14-Янв-09, 12:11

>Это какие такие "нормальное API" для запросов в БД ?
Как в BerkeleyDB, например.

Ответить | Правка | Наверх | Cообщить модератору

36. "25 самых опасных ошибок при создании программ" +/–

Сообщение от Аноним (-), 14-Янв-09, 14:51

Где-то так. То что SQL изначально не был turing-complete уже четко очерчивает область его применения (сравните с sieve, который тоже не полон). Это потом его уже стали раздувать до размеров полноценного языка, откуда и возникли все эти injections. В смысле, выразительной мощи языка уже стало хватать для всяких пакостей.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "25 самых опасных ошибок при создании программ"	+/–
Сообщение от cherep (??), 13-Янв-09, 17:56
самая опасная ошибка это программер :)
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "25 самых опасных ошибок при создании программ"	+/–
Сообщение от Аноним (-), 13-Янв-09, 18:04
26. Использование заведомо глючной платформы (Windows, PHP, и т.п.)
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от metallic (?), 13-Янв-09, 19:10
	>26. Использование заведомо глючной платформы (Windows, PHP, и т.п.) и какая же альтернатива ПХП у нас есть?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от none (??), 13-Янв-09, 19:54
	ой, пхпшника задели
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от vitek (??), 13-Янв-09, 22:34
	а если всё-таки ответить? слабо?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от Аноним (14), 13-Янв-09, 23:14
	Есть рельсы, есть джанго, вполне достойная замена пыхпыху
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от vitek (??), 13-Янв-09, 23:35
	>Есть рельсы, есть джанго, вполне достойная замена пыхпыху ага. есть шпалы.. :-D а если нужно что-то попроще?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от User294 (ok), 14-Янв-09, 15:20
	>Есть рельсы, есть джанго, вполне достойная замена пыхпыху И где примеры достойных приложений на этой достойной замене?Ну хоть что-то не позорнее PHPBB V3, SMF, WordPress, Joomla, ... - оно, простите, где?А то воплей о крутости много а результата почему-то почти ноль.Есть горстка никому не нужных уродцев написаных на "крутом" языке.На этом все и заканчивается почему-то.У меня такое подозрение что "дело было не в бобине - долбо%# сидел в кабине".То есть облажаться можно на любом языке и в любой системе.Дураки умудряются обойти любую защиту от дурака.В языках программирования - в частности.А специалисты даже на нифига не безопасных сях напишут надежный код который хрен сломаешь.
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	45. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от Alexander Q (?), 15-Янв-09, 09:09
	twitter
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от none (??), 14-Янв-09, 07:16
	>а если всё-таки ответить? >слабо? не слабо. perl.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	29. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от Eratothene (?), 14-Янв-09, 09:02
	Python, Perl А также Java EE. Ну а для сильнозагруженных и ресурсоограниченных есть: С++ server pages, KLONE.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	32. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от vitek (??), 14-Янв-09, 10:15
	j2ee - это corba, ejb, jsp, jsf,...? и без сервера приложений это имеет смысл? с питоном - может ещё и соглашусь... а вот всё остальное альтернативой можно назвать с большой натяжкой.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от User294 (ok), 14-Янв-09, 15:23
	>Python, Perl >А также Java EE. >Ну а для сильнозагруженных и ресурсоограниченных есть: С++ server pages, KLONE. По наблюдениям - на питоне есть относительно небольшое число довольно уродливых приблуд(назовите плиз аналоги на питоне упомянутых веб-приложений?).Остальное вообще днем с огнем не найдешь (разве что у некоторых корпоративщиков и бизнеса, традиционно падких на всякое дерьмо, лишь бы сделано было побыстрее).
	Ответить \| Правка \| К родителю #29 \| Наверх \| Cообщить модератору


	48. "25 самых опасных ошибок при создании программ"	–1 +/–
	Сообщение от none (??), 18-Янв-09, 11:12
	>По наблюдениям - на питоне есть относительно небольшое число довольно уродливых приблуд(назовите >плиз аналоги на питоне упомянутых веб-приложений?).Остальное вообще днем с огнем не >найдешь (разве что у некоторых корпоративщиков и бизнеса, традиционно падких на >всякое дерьмо, лишь бы сделано было побыстрее). http://wiki.python.org/moin/ContentManagementSystems http://www.google.com/Top/Computers/Programming/Languages/Py.../ http://ru.wikipedia.org/wiki/Использование_Python 1. я не питонщик. 2. вы читали код каких-нибудь CMS на php?, а мне приходилось, хотя я и не php-шник :) читал Joomla, WordPress, osTube, какие-то отечественные, уж и не помню какие, их нынче тонны, и составлял баг-репорты. osTube в свое время порадовала: бажного кода больше, чем нормального. И давно уже сложилось такое мнение, что все криворукие программеры и пионеры сидят на пхп в силу его легкости освоения, а массовое распространения пхп, этому еще больше поспасобствовало. Сугубо на мой взгляд, пхп это и есть то дерьмо, на котором можно сделать как попало и побыстрее.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от Аноним (14), 14-Янв-09, 09:00
	aspx :)
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	31. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от 999 (ok), 14-Янв-09, 09:42
	>aspx :) и винда с ишаком в наследсво
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от User294 (ok), 14-Янв-09, 15:28
	>aspx :) На ЭТОМ почему-то традиционно написаны... САМЫЕ УРОДСКИЕ И СТРАШНЫЕ сайты.Например ни 1 нормального форума на ЭТОМ я вообще не встречал за всю жизнь.Ну а интернет-магазины на ЭТОМ отличаются по жизни тормозами, глюками и убогостью.Как пример - chip&dip например.Убойно тормозной веб-магазин.Крайне мучителен в использовании - пока заказ оформишь, 7 потов сойдет.Да еще страницы часто загружаются раза с 3-го.Или вебмани с их недоношенным аяксом когда невзирая на мнимую аяксность оно все-равно мелькает и перегружается полностью в половине случаев.Нормальных веб-приложений на aspx которые было бы реально юзать без тошноты я еще не видел честно говоря.Отлично понимаю почему MS в вебе - такие лузеры.Они не умеют его готовить.А aspx в итоге юзают видимо только наиболее убогие мозгом... (ну во всяком случае глядя на результат такой вывод напрашивается)
	Ответить \| Правка \| К родителю #28 \| Наверх \| Cообщить модератору


	46. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от YEG (?), 15-Янв-09, 10:53
	python, perl
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	7. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от RapteR (ok), 13-Янв-09, 20:02
	>26. Использование заведомо глючной платформы (Windows, PHP, и т.п.) Не удачный сексуальный опят с PHP? Почему у меня нет таких проблем? Я считаю большинство проблем PHP связанно с тем, что ледивые девелоперы используют всякие фреймворки, библиотеки и прочую не нужную хрень копирую за одно себе ошибки других кодеров. По этому я против всяких там CMS и прочих гадостей "все в одном", зачем нужен бесполезный код?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	9. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от tesseract (?), 13-Янв-09, 20:20
	Точно даёшь 100% нативный код. Каждому веб-сайту по собственному веб-серверу! Фрэймворки кстати снижают число ошибок, а не повышают их. У каждого программиста свой фрэймворк - в голове. Любой исполнимый файл - уже фрэймворк, он же практически в ОС исполняется. Хотя это не отменяет дебилизма в использовании PHP на крупных порталах, это всё-таки скотч, а не сварка.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от none (??), 18-Янв-09, 11:30
	>Не удачный сексуальный опят с PHP? Почему у меня нет таких проблем? > >Я считаю большинство проблем PHP связанно с тем, что ледивые девелоперы используют >всякие фреймворки, библиотеки и прочую не нужную хрень копирую за одно >себе ошибки других кодеров. По этому я против всяких там CMS >и прочих гадостей "все в одном", зачем нужен бесполезный код? согласился бы, если бы пхп-шники сами не ломали свое поделие, причем у них это удается с завидной частотой и лихачеством. Про 5.2.7 помолчим... а вот в том году, по моему где-то в четвертой ветке (поправте если ошибаюсь) они сломали mkdir, когда толи при отсутствии на конце папки слеша, толи при наличии, папка не создавалась. Откатитываться назад было очень не желательно, т.к. в прошлой версии были критические уязвимости, а исправленной версии еще не предвиделось. До сих пор помню тот чудный секс...
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору

3. "25 самых опасных ошибок при создании программ"	+/–
Сообщение от Аноним (14), 13-Янв-09, 18:49
Неспособность,Неспособность,Неспособность... они ошибки анализируют? по-моему пальцем тыкают в недостатки программиста...
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от tesseract (?), 13-Янв-09, 19:24
	>Неспособность,Неспособность,Неспособность... >они ошибки анализируют? по-моему пальцем тыкают в недостатки программиста... А программы флудерасты что-ли пишут? ИМХО это ошибки критичны больше как раз для *nix систем, в винде баги по другому пишутся :-)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от busik (?), 13-Янв-09, 20:13
	>>Неспособность,Неспособность,Неспособность... >>они ошибки анализируют? по-моему пальцем тыкают в недостатки программиста... > >А программы флудерасты что-ли пишут? ИМХО это ошибки критичны больше как раз >для *nix систем, в винде баги по другому пишутся :-) Ага. С большой буквы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от vitek (??), 13-Янв-09, 22:38
	> в винде баги по другому пишутся :-) там они не пишутся.. там они бесплатным бонусом идут.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору

12. "25 самых опасных ошибок при создании программ"	+/–
Сообщение от Аноним (12), 13-Янв-09, 22:41
все зависит от квалификации специалиста и только частично от средств реализации
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от vitek (??), 13-Янв-09, 23:26
	>все зависит от квалификации специалиста >и только частично от средств реализации истину глаголишь.... хороший спец и проблемы найдет, и пути их решения предложит. многих таких встречал... приятно работать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от User294 (ok), 14-Янв-09, 15:45
	>все зависит от квалификации специалиста >и только частично от средств реализации Плохому танцору вечно ноги мешают.Простите, то есть, PHP, винды или что там еще.Хотя в принципе ни винды ни PHP сами по себе не запрещают написать все качественно и по уму.Если чье-то приложение под виндой валидирует все данные - вы и там его не сломаете нифига.И работать оно там как-то будет.Равно как на рельсах и под *nix можно родить уродливое решето запросто.А уж сколько на "безопасной" Java болтается у бизнесменов всякого дырявого фуфла полностью доверяющего входным данным от пользователя и писанного теми кто о шифровании знает только то что если на глаз не понятно что это - значит вроде как секурно... =).А так - например видел несколько смешных логических ошибок в нескольких биллинговых системах очень крупных компаний.При этом вообще пофигу на чем этот биллинг написан.А вот попадание для компании получается нефиговое, особенно когда юзверги (многие из которых не тупее тех кто биллинг писал) находят там смешные логические ляпы и начинается халява.Которая обнаруживается ессно лишь когда орды абонентов начинают откровенно наглеть :)
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	42. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от geekkoo (ok), 14-Янв-09, 15:58
	>[оверквотинг удален] >можно родить уродливое решето запросто.А уж сколько на "безопасной" Java болтается >у бизнесменов всякого дырявого фуфла полностью доверяющего входным данным от пользователя >и писанного теми кто о шифровании знает только то что если >на глаз не понятно что это - значит вроде как секурно... >=).А так - например видел несколько смешных логических ошибок в нескольких >биллинговых системах очень крупных компаний.При этом вообще пофигу на чем этот >биллинг написан.А вот попадание для компании получается нефиговое, особенно когда юзверги >(многие из которых не тупее тех кто биллинг писал) находят там >смешные логические ляпы и начинается халява.Которая обнаруживается ессно лишь когда орды >абонентов начинают откровенно наглеть :) Ну, это жизнь. Эволюция. Т.е. видимо биллинг вначале заказали какому-то одному программеру, он его написал в соотвтествии с техзаданием, получил бабло и свалил. Потом до прова постепенно стало доходить, что в техзадании было заявлено чё-то не то, и они наняли другого программиста (парвый к этому моменту изрядно покрутел и уже начал предлагать предварительно записываться к нему на приём с предложениями о работе), чтобы тот доработала программу в соответствии с новыми веяниями. Тот не разобравшись, написал решение для конкретного случая не разобрав остальные возможные варианты ... И так далее ... В этой связи хочется добавить, что только GPL обеспечивает нормальную обратную связь, кторая может предотвратить накопление патогенных мутаций ...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "25 самых опасных ошибок при создании программ"	+/–
	Сообщение от pavel_simple (??), 14-Янв-09, 16:11
	>В этой связи хочется добавить, что только GPL обеспечивает нормальную обратную связь, >кторая может предотвратить накопление патогенных мутаций ... красиво сказал
	Ответить \| Правка \| Наверх \| Cообщить модератору