Komentarze:

  • ~Dariusz P.

    Tak

    15-04-2011, 14:04

    Odpowiedz
    odpowiedz
  • ~Grucha

    Witaj,
    studiujesz może na PRz?

    16-12-2010, 18:08

    Odpowiedz
    odpowiedz
  • thek
    m
    Użytkownik DI thek (461)

    To ja tylko nieco dodam od siebie. Też jestem webmasterem i dodam, że komunikat, że strona jest niebezpieczna nie musi wynikać z faktu, że komuś cokolwiek zrobiła. Zdarzyło mi się to bowiem już, że google założyło mi ten komunikat prewencyjnie. Powodem był jeden ze skryptów dołączanych, który miał pewną lukę bezpieczeństwa. Mimo faktu takiego, że nie można jej było użyć do ataku na bazę serwisu, to wykrycie go w kodzie przez robota indeksującego skończyło się komplikacjami. Musiałem kod usunąć i zgłosić sprawdzenie ponowne do google by zdjęli blokadę.

    A wracając do gotowych frameworków i rozwiązań... Myślisz, że używając ich masz gwarancję bezpieczeństwa? Sam musiałem komercyjne skrypty poprawiać nieraz, bo były zbugowane. Nie będę rzucał nazwami firm, ale niektóre pisząc soft webowy o problemie ataków wiedzą tyle co kot napłakał. Ktoś tutaj rzucił mysql_escape_string zamiast mysql_real_escape_string. Fajnie, ale jeśli strona nie ma połączenia z bazą to funkcji nie można użyć, bo używa ona kodowania bazy a inne funkcje są zawodne o wiele bardziej. Żadne addslashes, htmlspecialchars czy htmlentities nie dadzą takiego bezpieczeństwa.

    Zresztą bezpieczeństwo skryptów to temat rzeka na kilka książek :)

    06-12-2010, 12:33

    Odpowiedz
    odpowiedz
  • ~leszlo

    @AnonimAnus bardzo się cieszę że programujesz w Python'ie. Ale zaraz zaczniesz tutaj świętą wojnę języków programowania.
    Jakość i bezpieczeństwo aplikacji nie zależy od języka(framework-a) ale od umiejętności programisty który ją pisze.
    W każdym języku i w każdym frameworku da się "skopać" program.

    06-12-2010, 11:54

    Odpowiedz
    odpowiedz
  • DariuszP
    m
    Użytkownik DI DariuszP (15)

    @AnonimAnus, po pierwsze ktoś takowego frameworka musi napisać. Po drugie frameworki nie mają wszystkiego. Zawsze będziesz coś musiał napisać od podstaw, dodać nowe biblioteki do już istniejących itp.
    Co w tedy ? Oddawanie się w ręce magii gotowych rozwiązań to rzecz wygodna do czasu gdy sami tej magii nie musimy tworzyć. A jak już się za tworzenie magii bierzemy to tego typu i inne podstawy wracają.

    05-12-2010, 15:38

    Odpowiedz
    odpowiedz