Лично я пишу приложения в 99% случаев на фреймворках (в частности ZF и Kohana). Поэтому использую встроенные средства защиты - ORM, валидаторы, фильтры. В качестве капчи люблю использовать KCaptcha. Много кто на неё ругается, но меня она ни разу не подводила. Ну и пару своих сайтов постоянно контролирую скриптом, описанным вот в этой статье .
В дополнение ко всему, использую веб-паучка (небольшая собственная экспериментальная разработка), который лазеет по указанным ему сайтам и ищет там подозрительные iframe`ы и подключаемые внешние скрипты.
Спустя 8 дней, 6 минут, 18 секунд (28.05.2010 - 15:52) Kuzya написал(а):
Ну что? Никто никаких способов повышения защиты своих разработок не использует? 
Спустя 11 минут, 14 секунд (28.05.2010 - 16:04) Basili4 написал(а):
Я например если не хочу чтоб ктони будь запускал мои скрпты из адресной строки делаю вот так
Я как раз бы и хотел спросить и знающих людей насколько это эффективный способ
if (strpos($_SERVER['HTTP_REFERER'],$_SERVER['HTTP_HOST'])==false)
{
Header("Location: http://".$_SERVER['HTTP_HOST']);
exit;
}
Я как раз бы и хотел спросить и знающих людей насколько это эффективный способ
Спустя 10 минут, 2 секунды (28.05.2010 - 16:14) Kuzya написал(а):
Есть способы проще Например, при запуске скрипта из командной строки никогда не бывает ячейки $_SERVER['REQUEST_METHOD'], но всегда (если не ошибаюсь) есть ячейка $_SERVER['_'] (путь к интерпритатору), $_SERVER['SHELL'] (путь к оболочке, откуда скрипт запустили), а также $_SERVER['USERNAME'],$_SERVER['LOGNAME'], $_SERVER['PWD'] и многие другие. Достаточно проверить одну из них и всё.
Ради интереса можете создать скрипт с кодом
и запустить его вначале из браузера, а потом из командной строки. Различия содержимого будут видны сразу.
Например, при запуске скрипта из командной строки никогда не бывает ячейки $_SERVER['REQUEST_METHOD'], но всегда (если не ошибаюсь) есть ячейка $_SERVER['_'] (путь к интерпритатору), $_SERVER['SHELL'] (путь к оболочке, откуда скрипт запустили), а также $_SERVER['USERNAME'],$_SERVER['LOGNAME'], $_SERVER['PWD'] и многие другие. Достаточно проверить одну из них и всё.Ради интереса можете создать скрипт с кодом
var_dump($_SERVER);
и запустить его вначале из браузера, а потом из командной строки. Различия содержимого будут видны сразу.
Спустя 23 минуты, 56 секунд (28.05.2010 - 16:38) Семён написал(а):
Я исключительно использую свой FM, т.к. не хочу тратить и привыкать к тяжёлым-гигантам. (у которых кстати много идей позаимствовал)
Спустя 10 минут, 18 секунд (28.05.2010 - 16:48) Kuzya написал(а):
Я исключительно использую свой FM
А какими методами в нём реализована защита от напедений? От XSS например, или от SQL-инъекций, от перехвата сессий. Есть ли защита от CSRF?
Спустя 1 час, 17 минут, 51 секунда (28.05.2010 - 18:06) twin написал(а):
Способ защиты существует только один - аккуратность.
Совершенно не факт, что приложение, написанное на ZF не будет содержать уязвимых мест. Все зависит от рук.
А мое твердое убеждение такое - ни в коем случае нельзя надеятся на чудодейственные рецепты. Должно всегда ощущаться тяжелое дыхание хакера в затылок.
Ни кто и никогда в здравом уме и рассудке не полезет в розетку голыми руками. Я, как старый, сотни раз битый током электрик, однозначно заявляю - даже будучи на 100% уверенным, что напряжение снято (фреймворк имею ввиду), двумя руками за провод не возьмусь. Только одной и то в крайней необходимости.
Так что для нормальной защиты нужно как следует изучить механизмы атак и писать скрипты с оглядкой на это. Это техника безопасности.
А на чем именно, на фреймворках или просто так - не важно.
Совершенно не факт, что приложение, написанное на ZF не будет содержать уязвимых мест. Все зависит от рук.
А мое твердое убеждение такое - ни в коем случае нельзя надеятся на чудодейственные рецепты. Должно всегда ощущаться тяжелое дыхание хакера в затылок.
Ни кто и никогда в здравом уме и рассудке не полезет в розетку голыми руками. Я, как старый, сотни раз битый током электрик, однозначно заявляю - даже будучи на 100% уверенным, что напряжение снято (фреймворк имею ввиду), двумя руками за провод не возьмусь. Только одной и то в крайней необходимости.
Так что для нормальной защиты нужно как следует изучить механизмы атак и писать скрипты с оглядкой на это. Это техника безопасности.
А на чем именно, на фреймворках или просто так - не важно.
Спустя 10 минут, 35 секунд (28.05.2010 - 18:16) Kuzya написал(а):
twin, пожалуй это самое здравое мнение которое я слышал за всё время пока занимаюсь безопасностью
Спустя 2 часа, 5 минут, 15 секунд (28.05.2010 - 20:22) Семён написал(а):
| Цитата (Kuzya @ 28.05.2010 - 17:48) |
Я исключительно использую свой FM А какими методами в нём реализована защита от напедений? От XSS например, или от SQL-инъекций, от перехвата сессий. Есть ли защита от CSRF? |
Ну например для БД используется класс DBSimple.
Вся фильтрация XSS и некоторые другие эксплоиты легла на мою аккуратность.
Спустя 15 часов, 28 минут, 57 секунд (29.05.2010 - 11:51) Kuzya написал(а):
Я, помню, как-то раз понадеялся на встроенные функции XSS-защиты в Kohana, и очень сильно ошибся. Ладно хоть выяснилось это вовремя
Интересно, а много ли разработчиков заботятся о закрытии CSRF-уязвимостей? Даже в очень популярных движках защита от них не реализована.
Интересно, а много ли разработчиков заботятся о закрытии CSRF-уязвимостей? Даже в очень популярных движках защита от них не реализована.
Спустя 1 час, 9 минут, 24 секунды (29.05.2010 - 13:00) twin написал(а):
Серьёзный вопрос. С одной стороны - жуть. С другой - не очень.
Люди все равно очень легкомысленно относятся к своим аккаунтам. Тот же автологин, который есть почти везде - дыра еще та.
Привязать текущую сессию к IP вроде как и достаточно, но панацеи нету. Тут как в жизни - проще объяснить по телевизору, что не нужно деньги ложить в задний карман, чем ходить и каждому это доказывать.
Люди все равно очень легкомысленно относятся к своим аккаунтам. Тот же автологин, который есть почти везде - дыра еще та.
Привязать текущую сессию к IP вроде как и достаточно, но панацеи нету. Тут как в жизни - проще объяснить по телевизору, что не нужно деньги ложить в задний карман, чем ходить и каждому это доказывать.
Спустя 1 день, 22 часа, 15 минут, 1 секунда (31.05.2010 - 11:15) Basili4 написал(а):
Я буквально вчера придумал способ как попытатся модно скрыть свои js скрипты от чужих глаз.
Занчит способ заключается вот вчем на странице где мы будем использовать скрпиты укжем
<script .... src="jsscript.js.php" ></script>
и соответсвено создать этот файл и туда положить все скрипты далее ход конем
в самыми первыми строками вставляю конструкцию
Получается что браузер обращаясь к этому файлу видит скрипты условие не выполняется а если
в адресной строки указать путь к этому файлу то ничего кроме /* не выводится.
Занчит способ заключается вот вчем на странице где мы будем использовать скрпиты укжем
<script .... src="jsscript.js.php" ></script>
и соответсвено создать этот файл и туда положить все скрипты далее ход конем
в самыми первыми строками вставляю конструкцию
/*<?php if (strpos($_SERVER["HTTP_REFERER"],$_SERVER["HTTP_HOST"])==false) { exit; };?>*/
Получается что браузер обращаясь к этому файлу видит скрипты условие не выполняется а если
в адресной строки указать путь к этому файлу то ничего кроме /* не выводится.
Спустя 1 час, 21 минута, 25 секунд (31.05.2010 - 12:36) Kuzya написал(а):
Хе, интересный вариант
Только вот пользоветли, у кого рефереры режутся, сидеть на таком сайте не смогут. Может быть проще воспользоваться обфускацией?
Только вот пользоветли, у кого рефереры режутся, сидеть на таком сайте не смогут. Может быть проще воспользоваться обфускацией?
Спустя 6 часов, 55 минут, 12 секунд (31.05.2010 - 19:32) Семён написал(а):
От кого прятать скрипты? От программиста или пользователя? Зачем мне лезть искать что-то, если я могу дебагером вытащить, да банально, что Firebug, что IE / Chrome developer Kit могут это всё сделать
Спустя 7 минут, 15 секунд (31.05.2010 - 19:39) phz написал(а):
Точно сказано! Я к прмиеру Firebugоm вытаскиваю видео где только можно. И как бы его там не хавали и т.д...
Спустя 53 минуты, 11 секунд (31.05.2010 - 20:32) Kuzya написал(а):
Верно подмечено. На худой конец можно из кэша браузера взять. Так что обфускация - самый приемлемый вариант