форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Международная статистика уязвимостей WEB-приложений за 2008 ..."		+/–
Сообщение от opennews (ok) on 20-Окт-09, 16:25
Международная организация Web Application Security Consortium опубликовала (http://projects.webappsec.org/Web-Application-Security-Stati...) (перевод на русский язык (http://www.securitylab.ru/analytics/386759.php)) статистику уязвимостей WEB-приложений за прошедший год. Обзорная статистика содержит данные, полученные в ходе тестирований на проникновение, аудитов безопасности и других работ, проведенных компаниями, входящими в WASC: Blueinfy, Cenzic, dns, encription limited, HP Application Security Center, Positive Technologies, Veracode и WhiteHat Security. Статистика получена на основе анализа данных 12-ти тысяч Web-приложений, в которых, в общей сложности, было обнаружено более 97 тысяч уязвимостей различной степени риска. Как оказалось, более 13% исследованных сайтов могут быть полностью скомпрометировано автоматически, 49% Web-приложений содержат уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем, при детальной ручной и... URL: http://www.securitylab.ru/analytics/386759.php Новость: http://www.opennet.me/opennews/art.shtml?num=23915
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Международная статистика уязвимостей WEB-приложений за 2008 ..."		+1 +/–
Сообщение от Блуд (ok) on 20-Окт-09, 16:25
Web катится в качестве кода как и весь другой разрабатываемый софт: "надо быстренько сделать, чтобы выглядело, будто работает, а когда время будет, поправлю". Ну а времени нет никогда, то работа, то БОР.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Международная статистика уязвимостей WEB-приложений за 2008 ..."		+2 +/–
Сообщение от аноним on 20-Окт-09, 23:32
один из модераторов ну просто ярый защитник пхп, все посты киляет...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Международная статистика уязвимостей WEB-приложений за 2008 ..."		+1 +/–
	Сообщение от Maxim Chirkov (ok) on 20-Окт-09, 23:53
	>один из модераторов ну просто ярый защитник пхп, все посты киляет... Как не удалить идеально нарушающие все правила сообщения, представляющие смесь бульварной лексики, попытки разжигания флейма и необоснованных утверждений. PS. http://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi?az=he...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Международная статистика уязвимостей WEB-приложений за 2008 ..."		–1 +/–
	Сообщение от аноним on 21-Окт-09, 08:45
	имхо не требует аргументации, да и так всем понятно, что пхп очень простой язык, осваивается буквально за день, что порождает толпу кодеров севших писать сайты изучив вчера вечером пхп и не имеющих хоть какого-то достаточного опыта в программировании, проектировании сетевых структур, глубокого понимания работы тех или иных функций и настроек горяче любимого ими пхп, что приводит, как по отдельности, так и в совокупности к брешам в безопасности. ситуацию осложняет еще и кривость рук самих разработчиков пхп, и еще ладно когда их кривые руки и недостаточное тестирование приводят к тому, что какие-то функции начинают работать странным образом, так ведь бывает ломают сайты из-за их ошибок, сам напарывался на такой (в то время совершенно новый и еще не известный) косяк в пхп, благо хоть по баг репорту закрыли недели через две, но что мне сказать владельцу сайта с похеренными данными и бекапом недельной давности, как объяснить, что это не мои кривые ручки как админа, и даже не кривые руки разработчика его сайта, а косяк в неправильно выбранном инструменте разработчика? да ошибки есть везде, но столько, сколько их в пхп... просто ужас.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Международная статистика уязвимостей WEB-приложений за 2008 ..."		+/–
	Сообщение от dmsuslov (??) on 21-Окт-09, 11:22
	>имхо не требует аргументации, да и так всем понятно, что пхп очень >простой язык, осваивается буквально за день, что порождает толпу кодеров севших >писать сайты изучив вчера вечером пхп и не имеющих хоть какого-то >достаточного опыта в программировании, проектировании сетевых структур, глубокого понимания работы тех >или иных функций и настроек горяче любимого ими пхп Из Вашего утверждения следует, что простой в изучении язык плох именно своей простотой? Т.е. для того, чтобы налить воду в стакан надо обязательно прежде изучить гидродинамику?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Международная статистика уязвимостей WEB-приложений за 2008 ..."		+/–
	Сообщение от аноним on 21-Окт-09, 12:15
	>Из Вашего утверждения следует, что простой в изучении язык плох именно своей простотой? да, если он используется в продакшне и при этом не предусматривает защиту самого себя от быдло-кодеров, какой смысл давать пистолет дураку, если заранее известно что он либо себя покалечит либо кого-нибудь другого? >Т.е. для того, чтобы налить воду в стакан надо обязательно прежде изучить гидродинамику? плохой пример, лучше так: прежде чем сесть за руль автомобиля нужно изучить пдд, общий принцип работы автомобиля и покататься на полигоне с десяток часов.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Международная статистика уязвимостей WEB-приложений за 2008 ..."		+/–
	Сообщение от dmsuslov (??) on 21-Окт-09, 12:26
	>>Из Вашего утверждения следует, что простой в изучении язык плох именно своей простотой? > >да, если он используется в продакшне и при этом не предусматривает защиту >самого себя от быдло-кодеров, какой смысл давать пистолет дураку, если заранее >известно что он либо себя покалечит либо кого-нибудь другого? > Получается, язык-то сам по себе неплох. Его надо бы усложнить - добавить в синтаксис что-нибудь от Perl'a , например, поубивать форумы с обсуждениями на тему программирования на PHP и т.д. Другими словами: программист не может начать что-то писать не проштудировав как следует теорию. У каждого программиста должен быть нимб над головой. Если я правильно понял. Но что же займет образовавшийся вакуум? Как насчет "природа не терпит пустоты"? >>Т.е. для того, чтобы налить воду в стакан надо обязательно прежде изучить гидродинамику? > >плохой пример, лучше так: прежде чем сесть за руль автомобиля нужно изучить >пдд, общий принцип работы автомобиля и покататься на полигоне с десяток >часов. Если человек садится за руль не зная ПДД, то он может покалечить себя/других. А кого калечит плохой программист? (не обязательно PHP-программист)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Международная статистика уязвимостей WEB-приложений за 2008 ..."		+/–
	Сообщение от аноним on 21-Окт-09, 13:19
	>Другими словами: программист не >может начать что-то писать не проштудировав как следует теорию. У каждого >программиста должен быть нимб над головой. Если я правильно понял. >Но что же займет образовавшийся вакуум? Как насчет "природа не терпит пустоты"? да, либо ты знаешь, умеешь и несешь ответственность за свой код, либо идешь в подмастерья, твой код будут проверять и за твой код кто-то там будет нести ответственность. >Если человек садится за руль не зная ПДД, то он может покалечить >себя/других. А кого калечит плохой программист? (не обязательно PHP-программист) есть такое понятие как: деньги. плохой программист может очень сильно кого-то подставить. цепочку событий из-за кривого когда можете сами развернуть, пофантазируйте. я бы даже сказал что отдельно взятый дурак за рулем иной раз менее страшен чем халатный программист.   помните историю LXLabs и vaserv.com?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Международная статистика уязвимостей WEB-приложений за 2008 ..."		+/–
	Сообщение от dmsuslov (??) on 21-Окт-09, 20:11
	>да, либо ты знаешь, умеешь и несешь ответственность за свой код, либо >идешь в подмастерья, твой код будут проверять и за твой код >кто-то там будет нести ответственность. Моя мысль такова: PHP действительно легкий в изучении язык. Я считаю это его достоинство. Да, действительно порог вхождения в него очень низкий. Но разве это недостаток? Наверное, не поддается счету число людей, которые отвернулись от программирования, начав изучать это ремесло, например, с Perl'a (ничего личного к перлу!!!) >>Если человек садится за руль не зная ПДД, то он может покалечить >>себя/других. А кого калечит плохой программист? (не обязательно PHP-программист) > >есть такое понятие как: деньги. плохой программист может очень сильно кого-то подставить. >цепочку событий из-за кривого когда можете сами развернуть, пофантазируйте. я бы >даже сказал что отдельно взятый дурак за рулем иной раз менее >страшен чем халатный программист. >помните историю LXLabs и vaserv.com? Ну так и в чем проблема? Только в деньгах? Ну так ведь это дело взаимоотношений заказчик/подрядчик. Что? Сервисом пользуются другие люди и они этим сервисом недовольны? Ну так не пользуйтесь! Найдите другой сервис... Кстати, про vaserv.com: он был взломан из за уязвимости в гипервизоре. Не думаю, что он написан на PHP. Язык, на котором написан гипервизор автоматически объявим плохим? Ведь если его осилили даже индийские программисты, то порог вхождения в язык низкий - значит это "быдлоязык" Резюме: пока еще я не услышал объективных доводов в пользу мысли о том, что на PHP нельзя писать качественные программы.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Международная статистика уязвимостей WEB-приложений за 2008 ..."		+/–
	Сообщение от аноним on 21-Окт-09, 22:04
	>Моя мысль такова: PHP действительно легкий в изучении язык. Я считаю это >его достоинство. Да, действительно порог вхождения в него очень низкий. Но >разве это недостаток? Наверное, не поддается счету число людей, которые отвернулись >от программирования, начав изучать это ремесло, например, с Perl'a (ничего личного >к перлу!!!) о, я вижу что вы есть пхпшник. да, при текущей реализации самого языка - недостаток. все аргумены выше. >[оверквотинг удален] >>страшен чем халатный программист. >>помните историю LXLabs и vaserv.com? > >Ну так и в чем проблема? Только в деньгах? Ну так ведь >это дело взаимоотношений заказчик/подрядчик. Что? Сервисом пользуются другие люди и они >этим сервисом недовольны? Ну так не пользуйтесь! Найдите другой сервис... >Кстати, про vaserv.com: он был взломан из за уязвимости в гипервизоре. Не >думаю, что он написан на PHP. Язык, на котором написан гипервизор >автоматически объявим плохим? Ведь если его осилили даже индийские программисты, то >порог вхождения в язык низкий - значит это "быдлоязык" вы за линей своей же мысли хотя бы следите. вы сказали, что не видите кого может покалечить плохой программист, я вам привел яркий пример из последних случаев. если вы не видите проблемы в ошибках приводящих к взлому сайтов, хищению, модифицированию, уничтожению данных, и/или считаете что в этом виноват в первую очередь заказчик, то вы и есть тот самый быдло кодер и вас, на работу к себе, я бы не взял. >Резюме: пока еще я не услышал объективных доводов в пользу мысли о >том, что на PHP нельзя писать качественные программы. а фанатики ничего обычно не слышат.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "Международная статистика уязвимостей WEB-приложений за 2008 ..."		+/–
	Сообщение от аноним on 21-Окт-09, 22:12
	>Резюме: пока еще я не услышал объективных доводов в пользу мысли о >том, что на PHP нельзя писать качественные программы. и да, качественные программы можно писать на чем угодно, и замете я не утверждал обратного. но вот зависимость кол-ва хороших программистов по отношению к плохим программистам очень сильно разнится от языка к языку.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "Международная статистика уязвимостей WEB-приложений за 2008 ..."		+/–
	Сообщение от Аноним (??) on 24-Окт-09, 14:31
	Какую же околесицу вы все тут несете! Проблема безопасности в WEB на 99% вытекает от ее понимания горе-менеджерами (и прежде всего хозяевами сайтов). Эти люди пока в большинстве своем не разобрались в простой истине. Уровень безопасности сайта напрямую зависит от человеко-часов потраченных на обеспечение той самой безопасности. Если в бюджете проекта не заложена соответствующая сумма, то о каком ПоХаПэ вы здесь втираете? На чем еще, кроме этого великого и могучего языка вы реализуете проект для WEB? ASP? JSP? Python? Ruby? Не смешите мои тапочки. Где вы потом разыщете человека, на доработку? И во сколько обойдется такой проект в окончательных цифрах? И самое главное: какого качества программу вы приобретете, заплатив разработчику на 1,5% больше, чем получает слесарь у нас на машиностроительном? Не ищите соломинку - ищите слона! И научитесь наконец разбираться в причинно-следственных связях. Будучи ПоХаПе-быдлокодером вот уже 7 с гаком лет, я приложил немало усилий и потратил еще больше времени на достижение понимания того, как не надо писать программы на PHP. За всю свою практику встретил только двух работодателей, понявших, что за отсутствие уязвимостей в программе надо платить, и платить больше...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема