Цитата |
---|
broker пишет: Давайте определимся web-сервер, web-приложение, internet-служба, Internet-ресурс - это хоть и однозвучные, но весьма разные понятия и отношение, с точки зрения наличия уязвимостей, к ним разное. |
"Хороший" подход... Я за такой подход веб-студии и не люблю. Заказываешь им сайт "под ключ". Они тебе его делают, красивости всякие, движок доделывают и даже на машинку с ПО Web-сервера ставят. Но когда ты пытаешься им прописать ответственность за взлом сайта, они сразу "мы отвечаем только за движок. работа IIS или Apache к нам не относится". Когда им показываешь их же материалы, в которых прописано, что они спецы в Unix и Windows и просишь их написать хотя бы рекомендации по настройке IIS или Apache для корректной, но защищенной работы их движка, то они сразу в кусты. А когда пытаешься кейс в суппорте открыть - они валят на глюкавый IIS, мол наш движок совершенен.
Заказчику нужен готовый РЕСУРС и он обращается к студии, как правило, именно для того, чтобы получить готовый к запуску ресурс. А собирать по кусочкам движок, дизайн, ПО Web, ОС для Web и т.п. - это не слабонервных.
Цитата |
---|
broker пишет: Если уязвимость в "движке" internet-ресурса неважно (язык, технология, web-сервер, системы управления контентом), то обращаться надо к разработчику "движка" и тогда он решит, что делать и сообщит всем адресно или открыто. |
Так ДОЛЖНО быть. На ПРАКТИКЕ все иначе. Мы работали с одной студией - нашли в ее движке кучу SQL Injection, XSS и т.п. Они у нас исправили, а сайты других их заказчиков (включая международно известных компаний) до сих пор крутятся на дырявой версии.