Институт SANS (SysAdmin, Audit, Network, Security), совместно с организацией MITRE и ведущими экспертами по компьютерной безопасности, подготовил рейтинг (http://cwe.mitre.org/top25/) 25 самых опасных ошибок, приводящих к возникновению серьезных уязвимостей. Ошибки были отобраны с учетом их распространенности, трудоемкости обнаружения и простоты эксплуатации уязвимости.
В опубликованном документе подробно разбирается каждый из 25 видов ошибок, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок. Ниже краткое обобщение списка:
-
Небезопасное взаимодействие между компонентами
, определяет проблемы, вызванные небезопасной отправкой или получением данных между модулями, программами, процессами, нитями или системами.
- CWE-20 (http://cwe.mitre.org/top25/#CWE-20): Некорректная проверка входящих данных, например, отсутствие проверки предотвращающей появление спецсимволов в идентификаторах;- CWE-116 (http://cwe...
URL: http://www.sans.org/top25errors/
Новость: http://www.opennet.ru/opennews/art.shtml?num=19763
самая опасная ошибка это программер :)
26. Использование заведомо глючной платформы (Windows, PHP, и т.п.)
>26. Использование заведомо глючной платформы (Windows, PHP, и т.п.)и какая же альтернатива ПХП у нас есть?
ой, пхпшника задели
а если всё-таки ответить?
слабо?
Есть рельсы, есть джанго, вполне достойная замена пыхпыху
>Есть рельсы, есть джанго, вполне достойная замена пыхпыхуага. есть шпалы.. :-D
а если нужно что-то попроще?
>Есть рельсы, есть джанго, вполне достойная замена пыхпыхуИ где примеры достойных приложений на этой достойной замене?Ну хоть что-то не позорнее PHPBB V3, SMF, WordPress, Joomla, ... - оно, простите, где?А то воплей о крутости много а результата почему-то почти ноль.Есть горстка никому не нужных уродцев написаных на "крутом" языке.На этом все и заканчивается почему-то.У меня такое подозрение что "дело было не в бобине - долбо%# сидел в кабине".То есть облажаться можно на любом языке и в любой системе.Дураки умудряются обойти любую защиту от дурака.В языках программирования - в частности.А специалисты даже на нифига не безопасных сях напишут надежный код который хрен сломаешь.
>а если всё-таки ответить?
>слабо?не слабо. perl.
Python, Perl
А также Java EE.
Ну а для сильнозагруженных и ресурсоограниченных есть: С++ server pages, KLONE.
j2ee - это corba, ejb, jsp, jsf,...? и без сервера приложений это имеет смысл?
с питоном - может ещё и соглашусь... а вот всё остальное альтернативой можно назвать с большой натяжкой.
>Python, Perl
>А также Java EE.
>Ну а для сильнозагруженных и ресурсоограниченных есть: С++ server pages, KLONE.По наблюдениям - на питоне есть относительно небольшое число довольно уродливых приблуд(назовите плиз аналоги на питоне упомянутых веб-приложений?).Остальное вообще днем с огнем не найдешь (разве что у некоторых корпоративщиков и бизнеса, традиционно падких на всякое дерьмо, лишь бы сделано было побыстрее).
>По наблюдениям - на питоне есть относительно небольшое число довольно уродливых приблуд(назовите
>плиз аналоги на питоне упомянутых веб-приложений?).Остальное вообще днем с огнем не
>найдешь (разве что у некоторых корпоративщиков и бизнеса, традиционно падких на
>всякое дерьмо, лишь бы сделано было побыстрее).http://wiki.python.org/moin/ContentManagementSystems
http://www.google.com/Top/Computers/Programming/Languages/Py.../
http://ru.wikipedia.org/wiki/Использование_Python1. я не питонщик.
2. вы читали код каких-нибудь CMS на php?, а мне приходилось, хотя я и не php-шник :)
читал Joomla, WordPress, osTube, какие-то отечественные, уж и не помню какие, их нынче тонны, и составлял баг-репорты. osTube в свое время порадовала: бажного кода больше, чем нормального. И давно уже сложилось такое мнение, что все криворукие программеры и пионеры сидят на пхп в силу его легкости освоения, а массовое распространения пхп, этому еще больше поспасобствовало.
Сугубо на мой взгляд, пхп это и есть то дерьмо, на котором можно сделать как попало и побыстрее.
aspx :)
>aspx :)и винда с ишаком в наследсво
>aspx :)На ЭТОМ почему-то традиционно написаны... САМЫЕ УРОДСКИЕ И СТРАШНЫЕ сайты.Например ни 1 нормального форума на ЭТОМ я вообще не встречал за всю жизнь.Ну а интернет-магазины на ЭТОМ отличаются по жизни тормозами, глюками и убогостью.Как пример - chip&dip например.Убойно тормозной веб-магазин.Крайне мучителен в использовании - пока заказ оформишь, 7 потов сойдет.Да еще страницы часто загружаются раза с 3-го.Или вебмани с их недоношенным аяксом когда невзирая на мнимую аяксность оно все-равно мелькает и перегружается полностью в половине случаев.Нормальных веб-приложений на aspx которые было бы реально юзать без тошноты я еще не видел честно говоря.Отлично понимаю почему MS в вебе - такие лузеры.Они не умеют его готовить.А aspx в итоге юзают видимо только наиболее убогие мозгом... (ну во всяком случае глядя на результат такой вывод напрашивается)
python, perl
>26. Использование заведомо глючной платформы (Windows, PHP, и т.п.)Не удачный сексуальный опят с PHP? Почему у меня нет таких проблем?
Я считаю большинство проблем PHP связанно с тем, что ледивые девелоперы используют всякие фреймворки, библиотеки и прочую не нужную хрень копирую за одно себе ошибки других кодеров. По этому я против всяких там CMS и прочих гадостей "все в одном", зачем нужен бесполезный код?
Точно даёшь 100% нативный код. Каждому веб-сайту по собственному веб-серверу! Фрэймворки кстати снижают число ошибок, а не повышают их. У каждого программиста свой фрэймворк - в голове. Любой исполнимый файл - уже фрэймворк, он же практически в ОС исполняется. Хотя это не отменяет дебилизма в использовании PHP на крупных порталах, это всё-таки скотч, а не сварка.
>Не удачный сексуальный опят с PHP? Почему у меня нет таких проблем?
>
>Я считаю большинство проблем PHP связанно с тем, что ледивые девелоперы используют
>всякие фреймворки, библиотеки и прочую не нужную хрень копирую за одно
>себе ошибки других кодеров. По этому я против всяких там CMS
>и прочих гадостей "все в одном", зачем нужен бесполезный код?согласился бы, если бы пхп-шники сами не ломали свое поделие, причем у них это удается с завидной частотой и лихачеством. Про 5.2.7 помолчим... а вот в том году, по моему где-то в четвертой ветке (поправте если ошибаюсь) они сломали mkdir, когда толи при отсутствии на конце папки слеша, толи при наличии, папка не создавалась. Откатитываться назад было очень не желательно, т.к. в прошлой версии были критические уязвимости, а исправленной версии еще не предвиделось. До сих пор помню тот чудный секс...
Неспособность,Неспособность,Неспособность...
они ошибки анализируют? по-моему пальцем тыкают в недостатки программиста...
>Неспособность,Неспособность,Неспособность...
>они ошибки анализируют? по-моему пальцем тыкают в недостатки программиста...А программы флудерасты что-ли пишут? ИМХО это ошибки критичны больше как раз для *nix систем, в винде баги по другому пишутся :-)
>>Неспособность,Неспособность,Неспособность...
>>они ошибки анализируют? по-моему пальцем тыкают в недостатки программиста...
>
>А программы флудерасты что-ли пишут? ИМХО это ошибки критичны больше как раз
>для *nix систем, в винде баги по другому пишутся :-)Ага. С большой буквы.
> в винде баги по другому пишутся :-)там они не пишутся.. там они бесплатным бонусом идут.
все зависит от квалификации специалиста
и только частично от средств реализации
>все зависит от квалификации специалиста
>и только частично от средств реализацииистину глаголишь.... хороший спец и проблемы найдет, и пути их решения предложит.
многих таких встречал... приятно работать.
>все зависит от квалификации специалиста
>и только частично от средств реализацииПлохому танцору вечно ноги мешают.Простите, то есть, PHP, винды или что там еще.Хотя в принципе ни винды ни PHP сами по себе не запрещают написать все качественно и по уму.Если чье-то приложение под виндой валидирует все данные - вы и там его не сломаете нифига.И работать оно там как-то будет.Равно как на рельсах и под *nix можно родить уродливое решето запросто.А уж сколько на "безопасной" Java болтается у бизнесменов всякого дырявого фуфла полностью доверяющего входным данным от пользователя и писанного теми кто о шифровании знает только то что если на глаз не понятно что это - значит вроде как секурно... =).А так - например видел несколько смешных логических ошибок в нескольких биллинговых системах очень крупных компаний.При этом вообще пофигу на чем этот биллинг написан.А вот попадание для компании получается нефиговое, особенно когда юзверги (многие из которых не тупее тех кто биллинг писал) находят там смешные логические ляпы и начинается халява.Которая обнаруживается ессно лишь когда орды абонентов начинают откровенно наглеть :)
>[оверквотинг удален]
>можно родить уродливое решето запросто.А уж сколько на "безопасной" Java болтается
>у бизнесменов всякого дырявого фуфла полностью доверяющего входным данным от пользователя
>и писанного теми кто о шифровании знает только то что если
>на глаз не понятно что это - значит вроде как секурно...
>=).А так - например видел несколько смешных логических ошибок в нескольких
>биллинговых системах очень крупных компаний.При этом вообще пофигу на чем этот
>биллинг написан.А вот попадание для компании получается нефиговое, особенно когда юзверги
>(многие из которых не тупее тех кто биллинг писал) находят там
>смешные логические ляпы и начинается халява.Которая обнаруживается ессно лишь когда орды
>абонентов начинают откровенно наглеть :)Ну, это жизнь. Эволюция. Т.е. видимо биллинг вначале заказали какому-то одному программеру, он его написал в соотвтествии с техзаданием, получил бабло и свалил. Потом до прова постепенно стало доходить, что в техзадании было заявлено чё-то не то, и они наняли другого программиста (парвый к этому моменту изрядно покрутел и уже начал предлагать предварительно записываться к нему на приём с предложениями о работе), чтобы тот доработала программу в соответствии с новыми веяниями. Тот не разобравшись, написал решение для конкретного случая не разобрав остальные возможные варианты ... И так далее ...
В этой связи хочется добавить, что только GPL обеспечивает нормальную обратную связь, кторая может предотвратить накопление патогенных мутаций ...
>В этой связи хочется добавить, что только GPL обеспечивает нормальную обратную связь,
>кторая может предотвратить накопление патогенных мутаций ...красиво сказал
>>В этой связи хочется добавить, что только GPL обеспечивает нормальную обратную связь,
>>кторая может предотвратить накопление патогенных мутаций ...
>красиво сказалИ неправильно.
Не "только GPL", а "GPL + управление проектом + модель разарботки + поддерживаемое/-ющее жизнеспособное сообщество + свободные коммуникации + $и.т.д".
Как-то так... :-j "Но и в этом случае сомнения не покидают меня."(ТМ)
Особо понравились:
> # Использование ненадежных или рискованных криптографических алгоритмов;
> # CWE-330: Использование предсказуемых случайных значений;Может кто подскажет, надежные и не рискованные криптоалгоритмы?
Наши ФСБшники от слов Camellia и Blowfish ржут как кони, а от AES, ващще, по полу катаются!!!А так же, уравнение создания НЕпредсказуемых случайных значений?
Один видел, размером с холодильник, на газоразрядных лампах...
ну ты даешь стране угля.
пропал то куда?
Миднайт кодим :)
дык это твоя идея при копировании местами полоску менять?
лучше в mcedit кодировки вставь... или скажи куда присобачить, то сам вставлю.. через iconv.. ни хрена заявленная не работает:-Dещё вот хочу через fuse базы данных монтировать и этим mcedit (или ещё чем) править... что-то идеи как это правильно в дереве отразить кончились... что скажешь?
>>Может кто подскажет, надежные и не рискованные криптоалгоритмы?
>>Наши ФСБшники от слов Camellia и Blowfish ржут как кони, а от AES, ващще, по полу >>катаются!!!Вы хотите сказать, что ваши фсбшники способны вскрыть данные алгоритмы, в не зависимости от длинны пароля, за разумное время? Батенька, назвали бы тогда уж альтернативу какую :)
Дык, они закрыты :)
Кстати, многими любимый ГОСТ 2004, на эллептич крывых... тоже засада, ....... ладно, и так много наболтал
слышали уже... спи спокойно.
>Кстати, многими любимый ГОСТ 2004, на эллептич крывых... тоже засада, ....... ладно,
> и так много наболталRSA то хоть можно пользоваться? Или паника не избежна? :)
неизбежна, уже поступили кластеры на приставках =))
>Кстати, многими любимый ГОСТ 2004, на эллептич крывых... тоже засада, ....... ладно,
> и так много наболталБалабол. Каждый может нафантазировать что ФСБ все читает, пишет и следит за каждым. А еще в России самые секретистые и стрАААшные разработки, лучшее оружие, спецслужбы и армия. Просто это все на столько секретно, что никто не видел и не увидит никогда. Параноики ,kznm.
>А так же, уравнение создания НЕпредсказуемых случайных значений?Павлин, скажи пожалуйста - если нечто описывается каким-то уравнением, какое ж оно тогда, нафиг, случайное?!Хорошая у тебя трава, забористая.Наверное ФСБшники с тобой щедро поделились =)
А так - подсказываю: шум с микрофонного входа звуковухи можно считать до некоторой степени случайным.Тепловой шум - этот вообще качественная штука и вокруг его хоть отбавляй.Усиливай, цифруй, вот тебе и рандом.Хотя и требующий каких-то аппаратных довесков.
>>А так же, уравнение создания НЕпредсказуемых случайных значений?
>
>Павлин, скажи пожалуйста - если нечто описывается каким-то уравнением, какое ж оно
>тогда, нафиг, случайное?!Хорошая у тебя трава, забористая.Наверное ФСБшники с тобой щедро
>поделились =)По-моему он специально "НЕ" выделил и знак вопроса поставил, чтобы отметить, что уравнения дающие непредсказуемые значения - бред. Другое дело, что где это он видел чтобы говорилось, что уравнения дают случайные значения. В большинстве источников прямо оговорено что последовательность псевдослучайна, и лишь период огромен.
>А так - подсказываю: шум с микрофонного входа звуковухи можно считать до некоторой степени случайным.
Насколько я знаю в /dev/urandom появляются значния сгенерированные на основе поступления прерываний, ввода с клавиатуры, мышки, мусора в памяти и т. д. По-моему тоже достаточно случайно, или как знатоки в ФСБ считают?
>>Неспособность сохранения целостной структуры SQL запроса, что может привести к подстановке злоумышленником SQL запроса (SQL Injection);SQL - зло. Точнее не зло, а просто инструмент используемый не по назначению.
Его ж придумывали для конечного пользователя, в рассчете, что серкретарши будут запросами таскать данные с базы данных. Но в связи с общей деградацией человеческого материала, SQL прихватили себе программисты и понеслась бодяга с бесконечными snprintf и их распарсиванием на сревере.
Вместо того, чтобы юзать нормальное API ...
Это какие такие "нормальное API" для запросов в БД ?
>Это какие такие "нормальное API" для запросов в БД ?Как в BerkeleyDB, например.
Где-то так. То что SQL изначально не был turing-complete уже четко очерчивает область его применения (сравните с sieve, который тоже не полон). Это потом его уже стали раздувать до размеров полноценного языка, откуда и возникли все эти injections. В смысле, выразительной мощи языка уже стало хватать для всяких пакостей.