Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 3 След.
RSS
Устранение уязвимостей в компьютерных системах: исследователь, владеле
 
Обсуждение статьи Устранение уязвимостей в компьютерных системах: исследователь, владелец, пользователь
Luka
 
Цитата
Однако, как правило, владелец информационного ресурса не является его разработчиком и не обладает достаточными ресурсами и полномочиями для устранения уязвимостей.

Что значит не обладает? Разработка любого сайта (особенно для крупных компаний) завершается передачей его заказчику, который и становится полноправным владельцем. Именно ему переходят все имущественные права на сайт и он вправе либо сам исправить их (если у него есть такие люди), либо открыть кейс у разработчика. И разработчик будет устранять такую дыру. В противном случае он сильно рискует получить ненужную ему огласку.

Это сработает, конечно, только для крупных заказчиков (например, оператора мобильной связи) - мелких разработчики сайтов в расчет не принимают.
Luka
 
Цитата
Алексей Лукацкий пишет:
Это сработает, конечно, только для крупных заказчиков (например, оператора мобильной связи) - мелких разработчики сайтов в расчет не принимают.

Автор пишет исходя из собственного опыта обработки обнаруженных уязвимостей в Web-приложениях.
И у сотовых операторов тоже :-). Например самому  править дырку в оракловском  ERP - лишаться тех. поддержки.
Не обладает ресурсами = нет программистов, не предусмотрено в договоре тех поддержки и т.д.
Алексей, мы же с вами сталкивались с подобной ситуацией.
 
Цитата
Аффтар пишет:
Алексей, мы же с вами сталкивались с подобной ситуацией

В том то и дело. В той ситуации часть дыр все-таки исправили.
Luka
 
Цитата
Алексей Лукацкий пишет:
В той ситуации часть дыр все-таки исправили

Угу. Но это скорее исключение, чем правило. Тем паче в обсуждаемой ситуации исследователь и владелец ресурса были одним лицом.
Но в случае уязвимости в публичной службе цепочка удлинняется.
необходимо стимулировать владельца ресурса на устранение уязвимости, который в свою очеред будет стимулировать разработчика на устранение уязвимости... В результате использования full-disclose в данном случае очень сильно страдает конечный владелец ресурса, который
Цитата
не является его разработчиком и не обладает достаточными ресурсами и полномочиями для устранения уязвимостей
, хотя с точки зрения даже законодательства РФ является ответсвенным за обеспечения безопасности ресурса.
 
Кстати, в случае с шумной статьей по поводу уязвимостей (в которой кстати даже full-disclosure небыло, поскольку не описывались детали уязвимости. во всем мире это называется "ответсвенное разглашение" и сщитается чуть-ли не иделом :-), уязвимости тоже были устранены.
И политики разглашения в очередной раз доказали свою эффективность.
 
Давайте определимся web-сервер, web-приложение, internet-служба, Internet-ресурс - это хоть и однозвучные, но весьма разные понятия и отношение, с точки зрения наличия уязвимостей, к ним разное. Если обнаружена уязвимость в internet-ресурсе КРУПНОЙ КОМПАНИИ - то обращаться надо к ХОЗЯИНУ ресурса, а не к его разработчику. Так как в подобной ситуации Хозяин ресурса должен принимать решение, что ему делать дальше (вдруг разработчик специально отставил найденный БАГ). Если уязвимость в "движке" internet-ресурса неважно (язык, технология, web-сервер, системы управления контентом), то обращаться надо к разработчику "движка" и тогда он решит, что делать и сообщит всем адресно или открыто.
Но я считаю глубоко не этично сразу после отыскания уязвимости заявлять об этом на открытых источниках в особенности об уязвимостях в конкретных internet-ресурсах т.е c указанием точного url  и названия Компании. Ведь если исследователь преследует благие намерения по отношению к конечным пользователям, то он должен понимать, что открытые публикации могут нанести вред именно ИМ, а потом уже хозяину ресурса.
 
Цитата
broker пишет:
Давайте определимся web-сервер, web-приложение, internet-служба, Internet-ресурс - это хоть и однозвучные, но весьма разные понятия и отношение, с точки зрения наличия уязвимостей, к ним разное.

"Хороший" подход... Я за такой подход веб-студии и не люблю. Заказываешь им сайт "под ключ". Они тебе его делают, красивости всякие, движок доделывают и даже на машинку с ПО Web-сервера ставят. Но когда ты пытаешься им прописать ответственность за взлом сайта, они сразу "мы отвечаем только за движок. работа IIS или Apache к нам не относится". Когда им показываешь их же материалы, в которых прописано, что они спецы в Unix и Windows и просишь их написать хотя бы рекомендации по настройке IIS или Apache для корректной, но защищенной работы их движка, то они сразу в кусты. А когда пытаешься кейс в суппорте открыть - они валят на глюкавый IIS, мол наш движок совершенен.

Заказчику нужен готовый РЕСУРС и он обращается к студии, как правило, именно для того, чтобы получить готовый к запуску ресурс. А собирать по кусочкам движок, дизайн, ПО Web, ОС для Web и т.п. - это не слабонервных.

Цитата
broker пишет:
Если уязвимость в "движке" internet-ресурса неважно (язык, технология, web-сервер, системы управления контентом), то обращаться надо к разработчику "движка" и тогда он решит, что делать и сообщит всем адресно или открыто.

Так ДОЛЖНО быть. На ПРАКТИКЕ все иначе. Мы работали с одной студией - нашли в ее движке кучу SQL Injection, XSS и т.п. Они у нас исправили, а сайты других их заказчиков (включая международно известных компаний) до сих пор крутятся на дырявой версии.
Luka
 
Чтобы не было такого разграничения, надо договоры правильно составлять. Но по анализу уязмостей нельзя гребсти всё под ону гребёнку. Конечно крутые специ из студий (при определённых договорённостях) обязаны обеспечивать не только работоспособность ресурсов, но и все составляющие зашиты ресурса и информации на нём, но на практике мы имеем дело с хостингом и его инфраструктурой и непосредственно с ресурсом и бывает, что это всё в одной Компании. Так вот за хостинг отвечают it шники компании за ресурс его разработчик - следствие перевод стрелок.

Другое дело, если студия предоставляет свою технологию (коробочную версию) движка и отказывается его поддерживать, то тут конечно один путь к публичному расскрытию, но без подробностей.

Если ЗАКАЗЧИКУ нужен готовый ресурс, то не надо его к себе перетягивать и своим меньше проблем и заказчик знает кто всегда виноват.

На практике крупная компания находит студию с перифирии, студия клепает сайт, а затем этот ресурс полностью передаётся на баланс компании и уже структуры компании обеспечивют его защиту, а сервисное обслуживание движка в любом случае остаётся у студии (по здравому смыслу только движка)
 
с другой стороны, если студия продаёт услуги по защите информации, то у неё должна быть лицензия.
 
>просишь их написать хотя бы рекомендации по настройке IIS или Apache для корректной, но защищенной работы их движка, то они сразу в кусты

Ни чего себе! "Хотя бы рекомендации"! Это самостоятельная и достаточно серьезная задача. Стоимость ее решения может быть одного порядка со стоимостью собственно разработки сайта. А, возможно, - даже дороже. И решать ее должны совсем другие специалисты, нежели вэб программёры.

Вы, для начала, хотя бы понтересовались у них, какая последняя версия у Apache или, какие последние патчи выпустил MS для IIS, и Вам все станет понятно. А написать в рекламе, что они "спецы в Unix и Windows" - без этого нынче ни как.

>они валят на глюкавый IIS, мол наш движок совершенен.

Еще, светлой памяти, Аркадий Райкин вопрошал: "у вас есть претензии к качеству пришива пуговиц?"
 
Дыра - она и в африке дыра, всем понятно что везде есть дыры, стоит их только хорошо поискать и сразу обнаружится куча недоработок, [COLOR=red], если о каждой дыре надоедать разработчику , то наверняка у него оквадратится голова.....
:o
 
Цитата
broker пишет:
Но я считаю глубоко не этично сразу после отыскания уязвимости заявлять об этом на открытых источниках в особенности об уязвимостях в конкретных internet-ресурсах т.е c указанием точного url и названия Компании. Ведь если исследователь преследует благие намерения по отношению к конечным пользователям, то он должен понимать, что открытые публикации могут нанести вред именно ИМ, а потом уже хозяину ресурса

Но что же делать, если владелец ресурса не проявлет доброй воли и не собирается патчить свой насквозь дрявый сервер? Молчать?
 
А с движками все понятно, на них распостраняются стандартные политики, но дело в том, что не всегда уязвимость сайта, это уязвимость движки на которой он сделан, ибо те же студии проводят "дороботку под заказчика", добивая сервер багами.

Цитата
broker пишет:
публичному расскрытию, но без подробностей.

а почему - без подробнойстей?
 
Цитата
Guest пишет:
И решать ее должны совсем другие специалисты, нежели вэб программёры.

Не забывайте, что речь идет не о продаже коробочного движка, а готовом ресурсе под ключ, который либо ставится на площадку студии, либо сама студия ставить его у выбранного мной хостера - так в договоре. Закономерно ожидать, что они хоть как-то его защитят. А когда они мне рекомендуют разграничить доступ по IP-адресам к внешему сайту, то слов нет...
Luka
 
Цитата
Чехол пишет:
если о каждой дыре надоедать разработчику , то наверняка у него оквадратится голова.....

Ему деньги за это платят
Luka
 
Цитата
Аффтар пишет:
Но что же делать, если владелец ресурса не проявлет доброй воли и не собирается патчить свой насквозь дрявый сервер? Молчать?

Это тебе мешает? Твоя жизнь или здоровье зависят от дырявости сайта? Тебе платят за поиск дыр или за защиту сайта? Ты как-то связан с этой компанией?

Я вот не понимаю этого. Ну дырявый  сайт и что теперь-то...
Luka
 
Это Вы сами виноваты.. ТАК договор заключили.. КРИВО
 
если компании владеет такими ценными данными что их потеря повлечёт за собой намного большие потери чем затрата на защиту информации, то есс-но что затраты на защиту и специалистов оправданы, а вот если таких уж ценных данных нет? Тогда и забить можно в какой-то степени...
 
А вот перед тем, как раскрывать наличие уязвимости на открытом ресурсе надо 100 раз подумать.. А так размышлять как Luka
Цитата
Алексей Лукацкий пишет:
Это тебе мешает? Твоя жизнь или здоровье зависят от дырявости сайта? Тебе платят за поиск дыр или за защиту сайта? Ты как-то связан с этой компанией?

Я вот не понимаю этого. Ну дырявый сайт и что теперь-то...

Весьма сомнительно.

Знаете,  у вас в квартире сигнализация есть?
Есть.. и вот метод взлома появилса у ВАС на двери..
ВЗЛОМАЮТ И ХОРОШИЕ м всем кому просто любопытно.. А вы в отпуске...
Страницы: 1 2 3 След.
Читают тему