forum.opennet.ru

Составление сообщения

Исходное сообщение

"Обнаружена локальная root-уязвимость, затрагивающая все Linu..."
Отправлено User294, 19-Авг-10 21:48

>Веб ломают совершенно другими способами, которые не имеют никакого
>отношения к характеру и типам языков программирования.
Да ну? А как же code injection или sql injection? Попробуйте сделать SQL injection в базу вида key-value? :P Или php injection - в перл? :D Никакого отношения к языкам, говорите? :)
>Ломают сейчас не веб-сервер, ломают сейчас скрипты и другую логику.
А они, простите, не на языке программирования ли случайно написаны? :)
>Взлом там не затрагивает обычно веб-сервер (за редким исключением).
А это уж как повезет, случаи бывают разные.
>Например, разработчик не обрабатывает данные из формы или запроса, прошляпил
>где-то SQL-injection, или допустил возможность проведения XSS, ну и в таком духе.
И что? Да, дыры стали иные. Но не пропали. :)
>Это все вещи довольно высокоуровневые, и до взломов с переполнениями
>буфера и шелл-кодами сейчас уже обычно не доходит.
Сильное утешение, ага. Особенно если вам одной левой дропнут баз на ...цать гигз например.
>Но в свое время Cи-шная природа апача и IIS дала хацкерам много раздолья. Поэтому
>аргумент с современным вебом явно мимо кассы.
Нет не мимо. Скажите, а какая мне как админу разница какая именно дырка, если результат одинаков - меня поимели и у меня геморрой. Объем гемора может меняться, да. Однако очень приличный гемор можно устроить и без кода. Еще вопрос что лучше для админов - угон всех аккаунтов вконтакта или какой-то там шеллкод. Систему можно переставить. А вот "переставить" миллионы угнанных аккаунтов может быть и немного опаньки.
>И как показывает практика, каким бы не был опытным программист, рано
>или поздно он такой "подарочек" оставит, человек ведь не машина:)
Это и к вебу применимо.
>Что касается ОС, то я ни на секунду не сомневаюсь, что время
>ОС, подобных MS Singularity, неизбежно наступит.
А может оно уже наступило, только в другом виде? Ну там гипервизоры, контейнеры, виртуальные машины, ... ? :) Кстати до того как уповать на манагед код - посмотрите сколько багов в дотнетах и явах находят :).Лично мне кажется что реальнее проаудитить мелкий гипервизор чем эти переростки. А оси типа сингулярити будут иметь уйму своих проблем. Вон нам пришествие микроядер еще с времен дебатов торвальдса и таненбаума обещают. А реально как максимум полумеры ака гибриды. Ну вон в нтях ядро - 6 мегов, реализует почти все что есть в винапи. Какое оно там нахрен микро такое?
>Хотите верьте, а хотите нет ;)
Время покажет.

Исходное сообщение
"Обнаружена локальная root-уязвимость, затрагивающая все Linu..." Отправлено User294, 19-Авг-10 21:48
>Веб ломают совершенно другими способами, которые не имеют никакого >отношения к характеру и типам языков программирования. Да ну? А как же code injection или sql injection? Попробуйте сделать SQL injection в базу вида key-value? :P Или php injection - в перл? :D Никакого отношения к языкам, говорите? :) >Ломают сейчас не веб-сервер, ломают сейчас скрипты и другую логику. А они, простите, не на языке программирования ли случайно написаны? :) >Взлом там не затрагивает обычно веб-сервер (за редким исключением). А это уж как повезет, случаи бывают разные. >Например, разработчик не обрабатывает данные из формы или запроса, прошляпил >где-то SQL-injection, или допустил возможность проведения XSS, ну и в таком духе. И что? Да, дыры стали иные. Но не пропали. :) >Это все вещи довольно высокоуровневые, и до взломов с переполнениями >буфера и шелл-кодами сейчас уже обычно не доходит. Сильное утешение, ага. Особенно если вам одной левой дропнут баз на ...цать гигз например. >Но в свое время Cи-шная природа апача и IIS дала хацкерам много раздолья. Поэтому >аргумент с современным вебом явно мимо кассы. Нет не мимо. Скажите, а какая мне как админу разница какая именно дырка, если результат одинаков - меня поимели и у меня геморрой. Объем гемора может меняться, да. Однако очень приличный гемор можно устроить и без кода. Еще вопрос что лучше для админов - угон всех аккаунтов вконтакта или какой-то там шеллкод. Систему можно переставить. А вот "переставить" миллионы угнанных аккаунтов может быть и немного опаньки. >И как показывает практика, каким бы не был опытным программист, рано >или поздно он такой "подарочек" оставит, человек ведь не машина:) Это и к вебу применимо. >Что касается ОС, то я ни на секунду не сомневаюсь, что время >ОС, подобных MS Singularity, неизбежно наступит. А может оно уже наступило, только в другом виде? Ну там гипервизоры, контейнеры, виртуальные машины, ... ? :) Кстати до того как уповать на манагед код - посмотрите сколько багов в дотнетах и явах находят :).Лично мне кажется что реальнее проаудитить мелкий гипервизор чем эти переростки. А оси типа сингулярити будут иметь уйму своих проблем. Вон нам пришествие микроядер еще с времен дебатов торвальдса и таненбаума обещают. А реально как максимум полумеры ака гибриды. Ну вон в нтях ядро - 6 мегов, реализует почти все что есть в винапи. Какое оно там нахрен микро такое? >Хотите верьте, а хотите нет ;) Время покажет.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру