Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 5 ... 8 След.
RSS
Кому нужна безопасность?
 
Цитата
Александр Антипов пишет:
Не взломанных. Уязвимых к потенциальному взлому.
Именно поэтому слово "взломанных" написано в кавычках.
Цитата
Александр Антипов пишет:
И ты думаешь что админ microsoft.com выскажет свое мнение?
Не думаю. Но надеюсь. Пока хотелось бы услышать отзывы админов сайтов уязвимых к потенциальному взлому из России.
 
Как платят админам, так и работают.
 
2 $SMax$: IT безопаснсть и администрирование -разные, но параллельные весчи. Если я начну править конфиги и закрывать дырки, то зачем тогда мне админы?

2 Гость: А вот это самая распространённая отговорка, и самая глупая. Не нравится как платят? Увольняйся нафик! И задай себе вопрос почему вообще согласился. Любую работу надо выполнять добросовесно и ответственно, не зависимо сколько за неё платят. Надо просто найти высокооплачиваемую.
 
2 Иван Краснов
вот по-этому  мой вопрос содержит вторую часть...
?

2 Гость
сейчас админам платят оченна даже хорошо.
да вот только они все хуже и хуже, это раз. А хотят всё больге и больше - это два :(
 
Цитата
moonspell пишет:
Не думаю. Но надеюсь. Пока хотелось бы услышать отзывы админов сайтов уязвимых к потенциальному взлому из России.
А вообще почему многие считают что за дыры в Web сайтах должны админы отвечать?
Эти дыры программисты корявые оставляют, пусть они и отвечают. Задача админа вовремя предупредить кого надо и не более.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Статья интересная. Спасибо. Но не все русские администраторы таковы. Когда я отправлял письмо администратору Рамлер.ру, мне очень вежливо  ответили. Очень даже мило побеседовали. А баг был  - инклуд.
 
Цитата
Александр Антипов пишет:
А вообще почему многие считают что за дыры в Web сайтах должны админы отвечать?
Эти дыры программисты корявые оставляют, пусть они и отвечают. Задача админа вовремя предупредить кого надо и не более.
Ну а кому же еще отвечать? Кто софт/железо выбирает, тот и отвечает за то, как этот софт/железо работают. Задача админа - 1) сказать менеджменту что нужно для нормальной работы, 2) дать менеджменту рекомендации по железу и софту в пределах выделенного бюджета, 3) настроить то что получил. Плюс сказать менеджменту  "вот вы, идиоты, решили сэкономить на том-то, том-то и том-то, теперь получайте даунтайм тут, тут и здесь + секьюрити вайолэйшн вот тут, тут и тут"
 
рамблер.ру  т.е.:oops:
 
dokk, там инклюд мог быть только в *.rambler.ru, а это совсем другое :)
 
Цитата
Основная цель исследования - попытка определить оценить уровень заинтересованности хозяев ресурсов в повышении защищенности этих ресурсов дала нулевой результат. Т.е. исследование, по мнению авторов, удалось, вот заинтересованность… Заинтересованность стремится к нулю.

ну, тут афтар уж явно сгущает краски... хотя, изрядная доля правды в этом есть
если уш так хотелось рассказать про состояние ит-безопасности в инете, надо было не только крупные конторы трясти, но и вообще брать штук по 10 машин из разных сфер - и крупных и мелких...
и отдельных серверов и хостинговых сайтов. веть не секрет, что для того что бы сломать сайт на хостинге не обязательно искать дырку именно в нем. достаточно найти дырявый сервис на этом системном блоке. а дальше уже все зависит от крутизны и жесткости политики безопасности сисьадмина этой железяки.

по моему опыту, у нас чуваки как правило действительно редко отвечают на такие письма. но дыры заделывают. особенно на хостингах.
за бугром тоже. особенно в образовательных учереждениях - там почти под 100% случаев админы вменяемые.
к тому же мерикосы часто шлют спасибные письма.
а вот азиаты пока ни на одну мессагу про дырки не ответили и ни одну из указанных не залатали...
мож по-англицки не парят :oops:

Цитата
А вообще почему многие считают что за дыры в Web сайтах должны админы отвечать?
Эти дыры программисты корявые оставляют, пусть они и отвечают. Задача админа вовремя предупредить кого надо и не более

задача админа запретить использование дырявых сервисов на своих сервантах
 
Цитата
Ну это врядли админ
есесно не админ. Админ должен дыры затыкать (чем он видимо и занимался), а перепиской могут и другие заняться ...
 
ИХМО Бред... в mts и без вас мне кажется знает где и какие у них дырки есть. Люди просто в серьёз не воспринимают, ваши ребячества со сканером. Во если вы взломаете реально одну из более менее серьёзных контор. Тогда статье можно верить....
 
Цитата
есесно не админ. Админ должен дыры затыкать (чем он видимо и занимался), а перепиской могут и другие заняться ...
Ему его труд облегчили, носом ткнули в брешь. Мне кажеться тут минимум спасибо надо сказать.
 
У Секлаба на старом форуме так же было XSS :)))
 
Бла-бла-бла...

> Для каждого сервера проводилось беглый поиск наиболее распространенных уязвимостей Web-приложений, таких как Cross-Site Scripting, SQL Injection, file-inclusion и подобных.

Это ключевая фраза статьи, которая буквально означает следующее: методологии тестирования сайтов на уязвимости авторы не выдадут под пытками. А без нее статья - сотрясание воздуха с целью рекламы своего сервиса и продуктов. Письмо, которое посылалось админам сайтов, по своей стилистике - спам и неудивительно, что на него никто не ответил - его просто посекли спам-фильтры.

Окончание статьи говорит само за себя:

> Основная цель исследования - попытка определить оценить уровень заинтересованности хозяев ресурсов в повышении защищенности этих ресурсов

Для порядка стоило бы продить ее так: "путем покупки оборудования Cisco" ;)

Насчет же реального наличия уязвимостей, приведу следующий пример. Сканирую сервер под W2k3 с помощью MBSA, в репортал появляется СТРАШНАЯ ОПАСНОСТЬ, ДЫРА РАЗМЕРОМ С МАРИАНСКУЮ ВПАДИНУ и т.д. Смотрю - "у вас установлен ненужный сервис - telnet". Предлагаемое решение - "остановить и запретить запуск сервиса или УДАЛИТЬ его". Первое, разумеется, давно сделано и без советов MBSA, второе - я бы очень хотел знать как предлагается сделать ;) Сухой осадок - согласно MBSA сабжевый сервер серьезно уязвим ;)
 
Опять эе таки подтверждаю..
Сижу слушаю Лекцию..
Умён.
 
А вообще хочется сказать о том, что перекладывание ответственности сплошь и рядом.
Самое основное, что никто Админам не запрещает запускать сканеры и анализировать защищённость, закрывать дыры -  никому про это не говорить. Тоже самое и разработчики.. Но почти всегда работает такая схема - ТЫ ОБНАРУЖИЛ, ТЫ И ЗАКРЫВАЙ.
Вот в чём смысл этой статьи. От себя хочу сказать, что если бы я обнаружил следы такого поиска то я бы в 100 раз быстрее написал письмо тем кто это делал с вопросом: Господа а ЗАЧЕМ ВЫ ЭТО ДЕЛАЛИ?????
 
Ценность статьи в другом. Не показать вломы.. А показать нулевую реакцию Админов. Дрыхнут ОНИ.
 
Вот золотые СЛОВА.
 
Кстати ситуация намного серьезней чем вы все думаете.
Цитата
moonspell пишет:
Ну а кому же еще отвечать? Кто софт/железо выбирает, тот и отвечает за то, как этот софт/железо работают. Задача админа - 1) сказать менеджменту что нужно для нормальной работы, 2) дать менеджменту рекомендации по железу и софту в пределах выделенного бюджета, 3) настроить то что получил. Плюс сказать менеджменту "вот вы, идиоты, решили сэкономить на том-то, том-то и том-то, теперь получайте даунтайм тут, тут и здесь + секьюрити вайолэйшн вот тут, тут и тут"
ЧТо ты вообще подразумеваешь под админом сайта? 99.99% сайтов расположены на хостингах, администратор компании мало отношения к ним имеет.

Во вторых не задача админа искать дыры в Web сайтах или проверять безопасность кода написанного программистами. Это очень сложная процедура, под силу лишь профессионалам.  Админ может безопасно настроить Web сервер, базу данных, операционную систему и т.п. Только в том, что он разбирается и что входит в круг его обязанностей.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
Страницы: Пред. 1 2 3 4 5 ... 8 След.
Читают тему (гостей: 2)