https://www.opennet.me/openforum/vsluhforumID3/47945.html Институт SANS (SysAdmin, Audit, Network, Security), совместно с организацией MITRE и ведущими экспертами по компьютерной безопасности, подготовил рейтинг (http://cwe.mitre.org/top25/) 25 самых опасных ошибок, приводящих к возникновению серьезных уязвимостей. Ошибки были отобраны с учетом их распространенности, трудоемкости обнаружения и простоты эксплуатации уязвимости. <br><br><br>В опубликованном документе подробно разбирается каждый из 25 видов ошибок, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок. Ниже краткое обобщение списка:<br><br><br><br><br>- <br>Небезопасное взаимодействие между компонентами<br>, определяет проблемы, вызванные небезопасной отправкой или получением данных между модулями, программами, процессами, нитями или системами.<br><br><br><br><br>- CWE-20 (http://cwe.mitre.org/top25/#CWE-20): Некорректная проверка входящих данных, например, отсутствие проверки предотвращающей появление спецсимволов в идентификаторах;<br><br>- CWE-116 (http://cwe...<br><br>URL: http://www.san https://www.opennet.me/openforum/vsluhforumID3/47945.html#49 Sun, 18 Jan 2009 08:30:37 GMT &gt;Не удачный сексуальный опят с PHP? Почему у меня нет таких проблем? <br>&gt;<br>&gt;Я считаю большинство проблем PHP связанно с тем, что ледивые девелоперы используют <br>&gt;всякие фреймворки, библиотеки и прочую не нужную хрень копирую за одно <br>&gt;себе ошибки других кодеров. По этому я против всяких там CMS <br>&gt;и прочих гадостей "все в одном", зачем нужен бесполезный код? <br><br>согласился бы, если бы пхп-шники сами не ломали свое поделие, причем у них это удается с завидной частотой и лихачеством. Про 5.2.7 помолчим... а вот в том году, по моему где-то в четвертой ветке (поправте если ошибаюсь) они сломали mkdir, когда толи при отсутствии на конце папки слеша, толи при наличии, папка не создавалась. Откатитываться назад было очень не желательно, т.к. в прошлой версии были критические уязвимости, а исправленной версии еще не предвиделось. До сих пор помню тот чудный секс...<br> https://www.opennet.me/openforum/vsluhforumID3/47945.html#48 Sun, 18 Jan 2009 08:12:53 GMT &gt;По наблюдениям - на питоне есть относительно небольшое число довольно уродливых приблуд(назовите <br>&gt;плиз аналоги на питоне упомянутых веб-приложений?).Остальное вообще днем с огнем не <br>&gt;найдешь (разве что у некоторых корпоративщиков и бизнеса, традиционно падких на <br>&gt;всякое дерьмо, лишь бы сделано было побыстрее). <br><br>http://wiki.python.org/moin/ContentManagementSystems<br>http://www.google.com/Top/Computers/Programming/Languages/Python/WWW/Web_Frameworks/<br>http://ru.wikipedia.org/wiki/Использование_Python<br><br>1. я не питонщик.<br>2. вы читали код каких-нибудь CMS на php?, а мне приходилось, хотя я и не php-шник :) <br>читал Joomla, WordPress, osTube, какие-то отечественные, уж и не помню какие, их нынче тонны, и составлял баг-репорты. osTube в свое время порадовала: бажного кода больше, чем нормального. И давно уже сложилось такое мнение, что все криворукие программеры и пионеры сидят на пхп в силу его легкости освоения, а массовое распространения пхп, этому еще больше поспасобствовало.<br>Сугубо на мой взгляд, пхп https://www.opennet.me/openforum/vsluhforumID3/47945.html#47 Thu, 15 Jan 2009 14:12:33 GMT &gt;&gt;А так же, уравнение создания НЕпредсказуемых случайных значений? <br>&gt;<br>&gt;Павлин, скажи пожалуйста - если нечто описывается каким-то уравнением, какое ж оно <br>&gt;тогда, нафиг, случайное?!Хорошая у тебя трава, забористая.Наверное ФСБшники с тобой щедро <br>&gt;поделились =) <br><br>По-моему он специально "НЕ" выделил и знак вопроса поставил, чтобы отметить, что уравнения дающие непредсказуемые значения - бред. Другое дело, что где это он видел чтобы говорилось, что уравнения дают случайные значения. В большинстве источников прямо оговорено что последовательность псевдослучайна, и лишь период огромен.<br><br>&gt;А так - подсказываю: шум с микрофонного входа звуковухи можно считать до некоторой степени случайным.<br><br>Насколько я знаю в /dev/urandom появляются значния сгенерированные на основе поступления прерываний, ввода с клавиатуры, мышки, мусора в памяти и т. д. По-моему тоже достаточно случайно, или как знатоки в ФСБ считают?<br> <br><br><br> https://www.opennet.me/openforum/vsluhforumID3/47945.html#46 Thu, 15 Jan 2009 07:53:10 GMT python, perl<br> https://www.opennet.me/openforum/vsluhforumID3/47945.html#45 Thu, 15 Jan 2009 06:09:08 GMT twitter<br> https://www.opennet.me/openforum/vsluhforumID3/47945.html#44 Wed, 14 Jan 2009 14:02:01 GMT &gt;&gt;В этой связи хочется добавить, что только GPL обеспечивает нормальную обратную связь, <br>&gt;&gt;кторая может предотвратить накопление патогенных мутаций ... <br>&gt;красиво сказал <br><br>И неправильно.<br><br>Не "только GPL", а "GPL + управление проектом + модель разарботки + поддерживаемое/-ющее жизнеспособное сообщество + свободные коммуникации + $и.т.д".<br><br>Как-то так... :-j "Но и в этом случае сомнения не покидают меня."(ТМ)<br> https://www.opennet.me/openforum/vsluhforumID3/47945.html#43 Wed, 14 Jan 2009 13:11:33 GMT <br>&gt;В этой связи хочется добавить, что только GPL обеспечивает нормальную обратную связь, <br>&gt;кторая может предотвратить накопление патогенных мутаций ... <br><br>красиво сказал<br> https://www.opennet.me/openforum/vsluhforumID3/47945.html#42 Wed, 14 Jan 2009 12:58:27 GMT &gt;[оверквотинг удален]<br>&gt;можно родить уродливое решето запросто.А уж сколько на "безопасной" Java болтается <br>&gt;у бизнесменов всякого дырявого фуфла полностью доверяющего входным данным от пользователя <br>&gt;и писанного теми кто о шифровании знает только то что если <br>&gt;на глаз не понятно что это - значит вроде как секурно... <br>&gt;=).А так - например видел несколько смешных логических ошибок в нескольких <br>&gt;биллинговых системах очень крупных компаний.При этом вообще пофигу на чем этот <br>&gt;биллинг написан.А вот попадание для компании получается нефиговое, особенно когда юзверги <br>&gt;(многие из которых не тупее тех кто биллинг писал) находят там <br>&gt;смешные логические ляпы и начинается халява.Которая обнаруживается ессно лишь когда орды <br>&gt;абонентов начинают откровенно наглеть :) <br><br>Ну, это жизнь. Эволюция. Т.е. видимо биллинг вначале заказали какому-то одному программеру, он его написал в соотвтествии с техзаданием, получил бабло и свалил. Потом до прова постепенно стало доходить, что в техзадании было заявлено чё-то не https://www.opennet.me/openforum/vsluhforumID3/47945.html#41 Wed, 14 Jan 2009 12:54:01 GMT &gt;А так же, уравнение создания НЕпредсказуемых случайных значений? <br><br>Павлин, скажи пожалуйста - если нечто описывается каким-то уравнением, какое ж оно тогда, нафиг, случайное?!Хорошая у тебя трава, забористая.Наверное ФСБшники с тобой щедро поделились =)<br><br>А так - подсказываю: шум с микрофонного входа звуковухи можно считать до некоторой степени случайным.Тепловой шум - этот вообще качественная штука и вокруг его хоть отбавляй.Усиливай, цифруй, вот тебе и рандом.Хотя и требующий каких-то аппаратных довесков.<br>