Это тебе мешает? Твоя жизнь или здоровье зависят от дырявости сайта? Тебе платят за поиск дыр или за защиту сайта? Ты как-то связан с этой компанией?

Я вот не понимаю этого. Ну дырявый  сайт и что теперь-то...

Ему деньги за это платят

Не забывайте, что речь идет не о продаже коробочного движка, а готовом ресурсе под ключ, который либо ставится на площадку студии, либо сама студия ставить его у выбранного мной хостера - так в договоре. Закономерно ожидать, что они хоть как-то его защитят. А когда они мне рекомендуют разграничить доступ по IP-адресам к внешему сайту, то слов нет...

"Хороший" подход... Я за такой подход веб-студии и не люблю. Заказываешь им сайт "под ключ". Они тебе его делают, красивости всякие, движок доделывают и даже на машинку с ПО Web-сервера ставят. Но когда ты пытаешься им прописать ответственность за взлом сайта, они сразу "мы отвечаем только за движок. работа IIS или Apache к нам не относится". Когда им показываешь их же материалы, в которых прописано, что они спецы в Unix и Windows и просишь их написать хотя бы рекомендации по настройке IIS или Apache для корректной, но защищенной работы их движка, то они сразу в кусты. А когда пытаешься кейс в суппорте открыть - они валят на глюкавый IIS, мол наш движок совершенен.

Заказчику нужен готовый РЕСУРС и он обращается к студии, как правило, именно для того, чтобы получить готовый к запуску ресурс. А собирать по кусочкам движок, дизайн, ПО Web, ОС для Web и т.п. - это не слабонервных.


Так ДОЛЖНО быть. На ПРАКТИКЕ все иначе. Мы работали с одной студией - нашли в ее движке кучу SQL Injection, XSS и т.п. Они у нас исправили, а сайты других их заказчиков (включая международно известных компаний) до сих пор крутятся на дырявой версии.

В том то и дело. В той ситуации часть дыр все-таки исправили.

Что значит не обладает? Разработка любого сайта (особенно для крупных компаний) завершается передачей его заказчику, который и становится полноправным владельцем. Именно ему переходят все имущественные права на сайт и он вправе либо сам исправить их (если у него есть такие люди), либо открыть кейс у разработчика. И разработчик будет устранять такую дыру. В противном случае он сильно рискует получить ненужную ему огласку.

Это сработает, конечно, только для крупных заказчиков (например, оператора мобильной связи) - мелких разработчики сайтов в расчет не принимают.

Обсуждение статьи Устранение уязвимостей в компьютерных системах: исследователь, владелец, пользователь

Ну что делать... Как-то бороться с проблемой надо. Суд не в состоянии изменить закон - он его должен выполнять. Он даже критиковать его не может - не его это дело. Зато крутить законом он может, что и делает. Иногда во вред, иногда на пользу. И с этим надо считаться.

Доказать не сложно.

Во-первых, по большинству дел "хакеры" сами признавались под впечатлением визита к ним сотрудников в погонах.

Во-вторых, в ряде случаев сумма косвенных признаков (как-то наличие на компе программ для взлома или записей в history) перевешивает отсутствие одного прямого доказательства.

В-третьих, суд принимает решение не сам, а на основе заключения экспертов, приглашенных по делу. И если адвокат обвиняемого не смог доказать, что экспертиза не стоит и выеденного яйца, то шансов выиграть дело мало. Особенно если эксперт имеет определенное ИМЯ и признан специалистом.

В-четвертых, в большинстве дел суд принимает решение не в пользу обвиняемого не потому, что он виноват или не виноват (хотя все, как правило, виноваты), а с целью создания прецедента и чтобы другим неповадно было.

Я чего-то непонимаю, наверное. Если IPT будет бесплатной, то откуда рост доходов Skype?

Обсуждение статьи IP-телефония станет бесплатной

Ну сколько же можно просить указывать ВЕРСИЮ IOS? А то особо "умные" журналисты потом начнут панику сеять - "Cisco взломали", "Интернет под угрозой"... А то окажется, что речь идет только о какой-нибудь версии 11.x.

ЗЫ. Заключение мне понравилось больше всего. Дело не в Cisco, а в человеческом факторе

По сути речь об этом вообще не идет. Какой-то журналист настолько все замечательно переврал, что у нас весь офис час смеялся. Почти как про "диоды", которым Pix защищает сеть  

Именно так. CTA - это посредник между системой защиты компа и сетью. Соответствует узел корпоративной политике безопасности - его в сеть пускают. Не соответствует - не пускают.

Вначале попробуй, а потом говори про тормоза. А идея правильная, надо только подумать.

Осталось только добавить, что NAC - это не антивирус и даже не софт. И никакими сигнатурами не оперирует.

Оно и есть бесплатное. В оборудовании оно встроено (надо только проапгрейдиться). На оконечном устройстве (ПК и т.п.) оно уже встроено в прикладное или системное ПО (т.е. туда уже встроен Cisco Trust Agent). Осталось только Cisco Secure ACS поставить и все.

А кто сказал, что это должен сделать внешний сканер? В приведенном абзаце говорится совсем другое. Если дыр не обнаружено при внешнем сканировании, значит есть потенциал для применения локальных сканеров, установленных на самом узле.

 Я же написал - возможны 2 (ДВА) метода. Можно и БЕЗ локального агента.


 Где я про это написал? Разъясню структуру статьи. Есть звезда. В центре - текущий уровень развития сканеров безопасности. Лучи - это варианты развития, направления будущей разработки. Ни одно не имеет явного приоритета - все равноправны.

На основании различных методов:
1. удаленное сканирование состояния защищенности узла
2. локальная проверка состояния защищенности узла с помощью агента, встроенного в ОС или уже установленное программное обеспечение (антивирус, СЗИ, персональный МСЭ, система управления патчами и т.п.).