Вопрос, какие аспекты безопасности необходимо учесть при проектировании сайта?
Заранее благодарю!
Спустя 11 минут, 42 секунды (2.09.2009 - 11:32) glock18 написал(а):
1. sql-injection,
2. xss,
3. защита подключаемых файлов от прямого вызова из браузера. не помню как называется.
ну и обобщая 1 и 2, а так же все оставшееся - всегда думайте, безопасны ли данные, с которыми вы работаете, и не могут ли они быть опасны. наиболее частый случай - работа с базой. но не стоит об это забывать, если присылаемые данные используются в eval, командах ядра и т.д.
2. xss,
3. защита подключаемых файлов от прямого вызова из браузера. не помню как называется.
ну и обобщая 1 и 2, а так же все оставшееся - всегда думайте, безопасны ли данные, с которыми вы работаете, и не могут ли они быть опасны. наиболее частый случай - работа с базой. но не стоит об это забывать, если присылаемые данные используются в eval, командах ядра и т.д.
Спустя 5 часов, 40 минут, 44 секунды (2.09.2009 - 17:13) haZe написал(а):
Собственно eval никогда не использую, все приходящие данные тщательно фильтрую, экранирую опасные символы и пр.
По сути этот список относится только в вводимых пользователем данных.
Но наверняка есть и другие методы взлома. Если Вконтакте часто обновлять, то он скажет что я слишком часто к нему обращаюсь. Для чего это нужно?
По сути этот список относится только в вводимых пользователем данных.
Но наверняка есть и другие методы взлома. Если Вконтакте часто обновлять, то он скажет что я слишком часто к нему обращаюсь. Для чего это нужно?
Спустя 10 минут, 25 секунд (2.09.2009 - 17:23) glock18 написал(а):
Защита от ботов. Скажем, идет проверка - если второе обращение к серверу за секунду, то - бот, и запрос отпинывается
После скольки то повторений, можно банить, чтобы больше не шастал и не повышал нагрузку.
+ надо кодировать куки по идее. проверять их принадлежность посетителю (IP, useragent или еще чего-нить). IP только в течение одной сессии, разумеется. useragent тоже.
+ защита от брутфорса паролей.
еще наверно что-то. только не вспомню сходу.
После скольки то повторений, можно банить, чтобы больше не шастал и не повышал нагрузку.
+ надо кодировать куки по идее. проверять их принадлежность посетителю (IP, useragent или еще чего-нить). IP только в течение одной сессии, разумеется. useragent тоже.
+ защита от брутфорса паролей.
еще наверно что-то. только не вспомню сходу.
Спустя 10 минут, 25 секунд (2.09.2009 - 17:33) SunSet написал(а):
glock18
Кстати да. Было бы неплохо если б ктото из ваших экспертов написал статейку про безопасность сайта, на что обращать внимание, что и как делать чтоб обезопаситься (презервативы не предлогать
), ну и все такое. А то везде на слуху sql-иньекции и прочее, а толком никто не обьясняет. В инете информации об этом масса, согласен, но каждый мог бы чтото уточнить и спросить, а не тупо лицезреть мануал 
Кстати да. Было бы неплохо если б ктото из ваших экспертов написал статейку про безопасность сайта, на что обращать внимание, что и как делать чтоб обезопаситься (презервативы не предлогать
), ну и все такое. А то везде на слуху sql-иньекции и прочее, а толком никто не обьясняет. В инете информации об этом масса, согласен, но каждый мог бы чтото уточнить и спросить, а не тупо лицезреть мануал Спустя 30 минут, 57 секунд (2.09.2009 - 18:04) haZe написал(а):
Да уж, хорошо бы. А то действительно экранируешь, а говорят что фигня.
Может быть кто нить правда напишет простую доступную статью о построении системы безопасности сайта?
Собсна мой список аспектов безопасности:
-Защита от частых обращений. Кладем время в сессию при следующем обращении сравниваем текущее и сохраненное, если меньше секунды, то хэдэрим.
-Очистка вводимых данных(формы, строка браузера). Устанавливаем тип, экранируем символы, вычищаем хтмл-мнемоники, урезаем длинну.
-Делал защиту от прихода POSTов с других хостов, но у меня так и не вышло.
-Еще говорили, что когда письма отправляешь нельзя в тему письма вкладывать переменные которые вводит пользователь, тоже могут быть ошибки.
Ну теперь еще приложу к этому
-бутфорс паролей
-установку принадлежности куков
Пока так.
Может быть кто нить правда напишет простую доступную статью о построении системы безопасности сайта?
Собсна мой список аспектов безопасности:
-Защита от частых обращений. Кладем время в сессию при следующем обращении сравниваем текущее и сохраненное, если меньше секунды, то хэдэрим.
-Очистка вводимых данных(формы, строка браузера). Устанавливаем тип, экранируем символы, вычищаем хтмл-мнемоники, урезаем длинну.
-Делал защиту от прихода POSTов с других хостов, но у меня так и не вышло.
-Еще говорили, что когда письма отправляешь нельзя в тему письма вкладывать переменные которые вводит пользователь, тоже могут быть ошибки.
Ну теперь еще приложу к этому
-бутфорс паролей
-установку принадлежности куков
Пока так.
Спустя 23 минуты, 38 секунд (2.09.2009 - 18:28) FatCat написал(а):
Книжечка есть неплохая "php для хакеров"; там все очень неплохо разобрано.
Спустя 3 часа, 4 минуты, 4 секунды (2.09.2009 - 21:32) SunSet написал(а):
Опять "отмануалили" 
КНижке ж вопрос не задашь как лучше поступить в конкретной ситуации.
КНижке ж вопрос не задашь как лучше поступить в конкретной ситуации.
Спустя 2 часа, 2 минуты, 48 секунд (2.09.2009 - 23:35) Gram написал(а):
Да неотмануалили. В этой книжке как раз и описываются всевозможные приемы взломов и защит от этих взломов. Такую книжку полезно иметь каждому (разработчику)
Спустя 4 часа, 45 минут, 13 секунд (3.09.2009 - 04:20) SunSet написал(а):
FatCat
Ссылку в студию, если не трудно. То скачал две книги по гуглу, явно не то что надо..
Ссылку в студию, если не трудно. То скачал две книги по гуглу, явно не то что надо..
Спустя 20 дней, 12 часов, 8 минут, 36 секунд (23.09.2009 - 16:29) haZe написал(а):
Господа, поделитесь пожалуйста функцией, кто как очищает приходящие переменные?
Спустя 8 минут, 40 секунд (23.09.2009 - 16:37) glock18 написал(а):
| Цитата |
| Господа, поделитесь пожалуйста функцией, кто как очищает приходящие переменные? |
holyFilter(&$var) ?
Спустя 35 минут, 49 секунд (23.09.2009 - 17:13) twin написал(а):
| Цитата |
| Было бы неплохо если б ктото из ваших экспертов написал статейку про безопасность сайта, |
Дело в том, что это получится не статейка, а вполне увесистый том.
Что касаемо относительно безопасной регистрации и аунтификации, я расписал в разделе для начинающих (см прикрепленные темы). Если есть желание попробовать на практике - там же есть задача на корректную обработку. Я всегда рад подсказать что и как.
А дальше сами, грабли они на то и грабли, чтоб на них наступать.
Спустя 9 минут, 23 секунды (23.09.2009 - 17:23) Michael написал(а):
| Цитата (twin @ 23.09.2009 - 14:13) | ||
|
Анализируя частые вопросы и ошибки было бы также неплохо если бы кто-то
из ВАШИХ
экспертов написал статейку о проектировании баз данных:ограничения, правила нормализации и т.д.
Спустя 1 час, 59 минут, 30 секунд (23.09.2009 - 19:22) SunSet написал(а):
Michael
Это уже узконаправленная тема, нежели безопасность сайта вцелом. Понятное дело, что никто не будет вникать в подробности каждого вопроса.
twin
Ну я же вовсе не говорил писать новую книгу по безопасности, свести все к какомуто железному минимуму - проверка введенных данных, запрет такихто символов, правильная организация каталогов на сайте, виды паролей (шифр, не шифр),допустимые теги для пользователя, как скрывать ошибки выполнения скрипта, пару примеров sql-иньекций, пару xss, еще че-нить. Вон у человека видел в разделе "Оцените" - каталог полностью просматривался, так как не было простого файла индекс.хтмл. Вроде мелочь же. но про такое нигде тут на форуме не пишут, даже в книге "для хакеров" про эту мелочь ничего не было сказано. А кому захочется чтобы левый юзер видел все файлы папки? И необязательно расписывать все по пунктам. Достаточно просто пару абзацами описать вид какойто атаки/небезопасности, написать как от нее защититься, а на какието подробности (ВНИМАНИЕ!) пульнуть ссылкой, где про это подробно описано. Просто собрать все в кучу, а что именно заинтерисует чувака человека, тот и сам пойдет гуглить.
Думаю, это было бы неплохим напоминанием для новичков на будующее и совсем неплохим дополнением к твоим мануалам по созданию сайта.
Это уже узконаправленная тема, нежели безопасность сайта вцелом. Понятное дело, что никто не будет вникать в подробности каждого вопроса.
twin
Ну я же вовсе не говорил писать новую книгу по безопасности, свести все к какомуто железному минимуму - проверка введенных данных, запрет такихто символов, правильная организация каталогов на сайте, виды паролей (шифр, не шифр),допустимые теги для пользователя, как скрывать ошибки выполнения скрипта, пару примеров sql-иньекций, пару xss, еще че-нить. Вон у человека видел в разделе "Оцените" - каталог полностью просматривался, так как не было простого файла индекс.хтмл. Вроде мелочь же. но про такое нигде тут на форуме не пишут, даже в книге "для хакеров" про эту мелочь ничего не было сказано. А кому захочется чтобы левый юзер видел все файлы папки? И необязательно расписывать все по пунктам. Достаточно просто пару абзацами описать вид какойто атаки/небезопасности, написать как от нее защититься, а на какието подробности (ВНИМАНИЕ!) пульнуть ссылкой
, где про это подробно описано. Просто собрать все в кучу, а что именно заинтерисует Думаю, это было бы неплохим напоминанием для новичков на будующее и совсем неплохим дополнением к твоим мануалам по созданию сайта.
Спустя 14 минут, 53 секунды (23.09.2009 - 19:37) twin написал(а):
Это абсолютно бесполезное занятие. Потому что новички норовят сделать попроще, так как вникать им некогда и лень. А кто уже плавал, тому это не надо. Всё, что нужно для безопасности, я уже написал давно.
Могу добавить только одно. Нужно правильно обрабатывать данные, тогда это будет безопасно. А если начать изобретать всяческие фильтры и выкрутасы, будет решето.
А для этого просто напросто нужно знать, как это все устроено. И не нужно страдать параноей.
Никакая иньекция не будет страшна, если правильно обрабатывать данные для запроса. И XSS не будет страшен, если правильно обрабатывать вывод.
Так что всё давно написано, разжевано, как для детей и с прмерами. Просто читать ни кто не хочет. Все хотят готовых решений, панацеи.
Нет панацеи и никогда не будет. Для каждого скрипта своя обработка. По правилам.
И всё.
Могу добавить только одно. Нужно правильно обрабатывать данные, тогда это будет безопасно. А если начать изобретать всяческие фильтры и выкрутасы, будет решето.
А для этого просто напросто нужно знать, как это все устроено. И не нужно страдать параноей.
Никакая иньекция не будет страшна, если правильно обрабатывать данные для запроса. И XSS не будет страшен, если правильно обрабатывать вывод.
Так что всё давно написано, разжевано, как для детей и с прмерами. Просто читать ни кто не хочет. Все хотят готовых решений, панацеи.
Нет панацеи и никогда не будет. Для каждого скрипта своя обработка. По правилам.
И всё.
Спустя 9 минут, 40 секунд (23.09.2009 - 19:47) SunSet написал(а):
Не читают, потому что разбросано по кускам.
А почему нету хотя бы простейшего - отдельного топа типа "Вопросы безопасности"? Вон в "для новичков" кидают код для того чтоб посмотрели и слабые места нашли. Можно ж было в отдельную тему загнать. Написал человек код какойто, кинул отдельный кусок на критику, понял ошибку, и для других будет пример. А то вон только топ про регулярные выражения. Этого маловато.
А почему нету хотя бы простейшего - отдельного топа типа "Вопросы безопасности"? Вон в "для новичков" кидают код для того чтоб посмотрели и слабые места нашли. Можно ж было в отдельную тему загнать. Написал человек код какойто, кинул отдельный кусок на критику, понял ошибку, и для других будет пример. А то вон только топ про регулярные выражения. Этого маловато.
Спустя 7 минут, 3 секунды (23.09.2009 - 19:54) twin написал(а):
| Цитата |
| А почему нету хотя бы простейшего - отдельного топа типа "Вопросы безопасности"? |
Да блин. Ну нельзя в одном топике рассмотреть все вопросы безопасности. Я же написал - нет панацеи. Нет одной функции, которая решит раз и навсегда все проблемы. Это наука целая - безопасность.
Ты еще предложи - а почему бы экспертам не написать статейку, как за полчаса научиться кодить на php, Хорошее было бы пособие для новичков.
Спустя 9 минут, 13 секунд (23.09.2009 - 20:03) SunSet написал(а):
twin
Понимаю, одной статьей тут не отделаться. Но раздел то можно было б выделить какойто для таких вопросов? Максимум что тут вижу - это про сессии, куки. Да и то там почти все темы с вопросами почему то не работает, и как сделать вот так..Ладно, спорить не буду. Это дело добровольное.
Понимаю, одной статьей тут не отделаться. Но раздел то можно было б выделить какойто для таких вопросов? Максимум что тут вижу - это про сессии, куки. Да и то там почти все темы с вопросами почему то не работает, и как сделать вот так..Ладно, спорить не буду. Это дело добровольное.
Спустя 10 минут, 28 секунд (23.09.2009 - 20:13) glock18 написал(а):
SunSet
| Цитата |
| Ну я же вовсе не говорил писать новую книгу по безопасности, свести все к какомуто железному минимуму |
Минимум уже давно здесь расписан. В разных местах, конечно.
+ поиск никто не отменял.
Понимать нужно, что люди здесь занятые в основном, и что нет времени просто так вот сесть и написать этот минимум. Потому что минимум, как правильно отметил Твин, это толмут. Нет стандартов, подходящих под все случаи. Любой прием защиты увеличивает защиту от одного типа атак, и может увеличить от другого.
| Цитата |
| человека видел в разделе "Оцените" - каталог полностью просматривался, так как не было простого файла индекс.хтмл. Вроде мелочь же. но про такое нигде тут на форуме не пишут, даже в книге "для хакеров" про эту мелочь ничего не было сказано. А кому захочется чтобы левый юзер видел все файлы папки? |
index.html и не нужен для того чтобы запретить просмотр содержмого папки. скажем так: только для запрета просмотра лучше использовать иные средства.
| Цитата |
| Просто собрать все в кучу, а что именно заинтерисует чувака человека, тот и сам пойдет гуглить. |
с таким набором вопросов, которые ты уже перечислил, уже можно начать гуглить и найти многое, что тебя интересует.
Спустя 10 минут, 9 секунд (23.09.2009 - 20:23) SunSet написал(а):
glock18
пустой индекс.хтмл никогда не помешает, а вот забыть выставить доступ к каталогу - вполне есть вероятность. Подстраховаться не помешает.
Хорошо, я напишу такую статью как только буду экспертом и буду разбираться в этом на хорошем уровне
пустой индекс.хтмл никогда не помешает, а вот забыть выставить доступ к каталогу - вполне есть вероятность. Подстраховаться не помешает.
Хорошо, я напишу такую статью как только буду экспертом и буду разбираться в этом на хорошем уровне
Спустя 55 минут, 52 секунды (23.09.2009 - 21:19) twin написал(а):
Це дило. Только когда на самом деле будешь хорошо разбираться, поймешь, что это не так то просто.
Но а вдруг... Только удачи остается пожелать.
Но а вдруг... Только удачи остается пожелать.
Спустя 18 часов, 41 минута, 30 секунд (24.09.2009 - 16:01) haZe написал(а):
twin, ну популяй хоть ссылками на свои статьи, раз они есть и полезны. Пожалуйста!
Спустя 13 минут, 37 секунд (24.09.2009 - 16:14) glock18 написал(а):
Спустя 1 час, 52 минуты, 15 секунд (24.09.2009 - 18:07) twin написал(а):
Вась, крутые ссылки, но не все кстати там в норме.
Блин, достали, действительно. Давай уже напишем хотя бы основы....
Я начну завтра, в куче родим чё нить толковое наверно...
Блин, достали, действительно. Давай уже напишем хотя бы основы....
Я начну завтра, в куче родим чё нить толковое наверно...
Спустя 8 минут, 58 секунд (24.09.2009 - 18:16) kirik написал(а):
Тут еще можно посмотреть: http://www.captcha.ru/articles/antihack/
Спустя 18 секунд (24.09.2009 - 18:16) waldicom написал(а):
Накидай главы, будет легче.
Спустя 1 час, 57 минут, 22 секунды (24.09.2009 - 20:13) Den Laden написал(а):
Тотальная проверка по регуляркам и типу всех переменных, получаемых от пользователя и все перечисленное выше. Также защита от автоматического заполнения форм, отправки запросов.
Спустя 4 минуты, 50 секунд (24.09.2009 - 20:18) twin написал(а):
Прощу прощения, фу.
Спустя 1 час, 32 минуты, 20 секунд (24.09.2009 - 21:50) SunSet написал(а):
Нужная ж ведь тема, пусть будут хотя бы эти основы. Если это будет статья на форуме - то люди смогут чтото спрашивать походу, уточнять. Писать тупо обо всем смысла действительно нету, а то, о чем будут чаще спрашивать - о том и можно подробней расписать. А твину то какая будет толстая ссылка на топ
Спустя 1 день, 22 часа, 23 минуты, 17 секунд (26.09.2009 - 20:14) haZe написал(а):
Ребят! Давайте, ваша работа нужна народу!
Кстати, по теме нашел еще одну очень интересную статью http://webpeeps.ru/article/12/
Кстати, по теме нашел еще одну очень интересную статью http://webpeeps.ru/article/12/
Спустя 10 дней, 16 часов, 47 минут, 26 секунд (7.10.2009 - 13:01) haZe написал(а):
Загнулось дело? 
Спустя 2 часа, 9 минут, 34 секунды (7.10.2009 - 15:11) twin написал(а):
Что значит загнулось? А это что по твоему?