| |
| 2.83, Kbmb (?), 11:12, 08/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
сноуден скажет что; ПРИШЛО ВРЕМЯ ПЕРЕУСТАНАВЛИВАТЬ ШINDOWS ШINDOWS САМ НЕ ПЕРЕУСТАНОВИТСЯ..
| | |
|
| |
| 2.6, marks (?), 21:41, 06/08/2013 [^] [^^] [^^^] [ответить]
| +17 +/– |
Нет, но просто их находят рано или поздно. В отличие от проприетарщины.
| | |
| |
| 3.11, AX (ok), 21:55, 06/08/2013 [^] [^^] [^^^] [ответить]
| –14 +/– |
 > В отличие от проприетарщины.
В "проприетарщине" их тоже находят, несмотря на отсутствие волшебного открытого кода.
| | |
| |
| 4.15, JOO (?), 23:12, 06/08/2013 [^] [^^] [^^^] [ответить]
| +5 +/– | |
>В "проприетарщине" их тоже находят
Возьми исходники OpenX и найди в них уязвимости. Возьми Windows 8, дизассемблер, метод тыка и найди в ОС уязвимости. Когда всё сделаешь извинишься за выше написанный бред.
| | |
| |
| 5.32, аТфьу (?), 07:27, 07/08/2013 [^] [^^] [^^^] [ответить]
| –5 +/– |
 в сотне строк уязвимость проще найти, чем в милеарде, посему некоректное сравнение...
| | |
| |
| 6.35, бедный буратино (ok), 08:36, 07/08/2013 [^] [^^] [^^^] [ответить]
| +9 +/– |
 > в сотне строк уязвимость проще найти, чем в милеарде, посему некоректное сравнение...
Вообще-то в случае с Windows у вас будет 0 (ноль) строк исходного кода. Ищите...
| | |
| |
| 7.51, Аноним (-), 14:11, 07/08/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Вообще-то в случае с Windows у вас будет 0 (ноль) строк исходного кода. Ищите...
У правительств и спецслужб есть исходные кода - по спецсоглашениям. И часть 0-day уязвимостей похоже именно оттуда.
| | |
|
| 6.62, Michael Shigorin (ok), 16:19, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > в сотне строк уязвимость проще найти, чем в милеарде, посему некоректное сравнение...
Когда найдёте свою первую уязвимость в чужом коде, вот тогда и приходите сюда с умным видом.
Это же касается и персонажа под ником "AX".
| | |
| |
| 7.65, Аноним (-), 17:11, 07/08/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> в сотне строк уязвимость проще найти, чем в милеарде, посему некоректное сравнение...
> Когда найдёте свою первую уязвимость в чужом коде, вот тогда и приходите
> сюда с умным видом.
> Это же касается и персонажа под ником "AX".
Ты уже нашел, Шигорин? Или так, как всегда - в каждой бочке затычка?
| | |
|
|
|
| |
| 5.28, Аноним (-), 06:24, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Находят. Сначала подложат, потом находят. *шепотом* но никому не говорят.
Если можно, IMHO уточнение, кто находит. Находят пользователи, а чаще хакеры. А потом разработчики выпускают пакеты обновлений/исправлений для закрытия старых (о как мы любим наших пользователей) и ввода новых как бы ошибок.
| | |
| |
| 6.30, dr Equivalent (ok), 06:27, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Та не, находят в первую очередь те, кто кладет. Таким образом к третьему шагу, описанному тобой можно прибегать, в общем-то, только в случае палева.
| | |
| 6.74, ананим (?), 00:12, 08/08/2013 [^] [^^] [^^^] [ответить]
| +/– | |
>Если можно, IMHO уточнение, кто находит. Находят пользователи, а чаще хакеры. А потом разработчики выпускают...
Какие добрые и сознательные хакеры!
Зыж
Пользователи ничего не находят.
Только ошибки в интерфейсе иногда.
| | |
|
|
| 4.33, marks (?), 08:12, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Находят, но только если присмотреться как следует. То есть совсем специалистами, которые занимаются регулярно аудитом ПО. А в opensource любой желающий может взять и посмотреть код. И для совсем уж параноиков можно еще и собрать из проверенных лично исходников такой же бинарник, какой предлагает разработчик:)
| | |
| |
| 5.53, linux must __RIP__ (?), 15:33, 07/08/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Находят, но только если присмотреться как следует. То есть совсем специалистами, которые
> занимаются регулярно аудитом ПО. А в opensource любой желающий может взять
> и посмотреть код. И для совсем уж параноиков можно еще и
> собрать из проверенных лично исходников такой же бинарник, какой предлагает разработчик:)
любой желающий осилит аудит кода ? :)
| | |
| |
| 6.64, Michael Shigorin (ok), 17:05, 07/08/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> любой желающий осилит аудит кода ? :)
Когда припрёт -- даже я осиливаю, а что? При этом штатно стараюсь пользоваться тем, что вычитывают для себя люди, которым в этом плане доверяю, и изолировать то, что малоподъёмно в плане нормального аудита.
http://openwall.com/Owl/ тоже не отменяли.
| | |
| 6.72, анонимус (??), 20:03, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
 >> Находят, но только если присмотреться как следует. То есть совсем специалистами, которые
>> занимаются регулярно аудитом ПО. А в opensource любой желающий может взять
>> и посмотреть код. И для совсем уж параноиков можно еще и
>> собрать из проверенных лично исходников такой же бинарник, какой предлагает разработчик:)
> любой желающий осилит аудит кода ? :)
Ну да, любой желающий из специалистов может осилить аудит кода. Такие специалисты добьются результата быстрее, нежели если бы пытались искать закладки в закрытом проприетарном продукте. Чего еще вам разжевать?
Ваш К.О.
| | |
| 6.75, ананим (?), 00:18, 08/08/2013 [^] [^^] [^^^] [ответить]
| +/– | |
>любой желающий осилит аудит кода ? :)
Да. Как и любой аудит.
Если есть желание получить эти навыки.
Также как аудит sql (в oracle например)
Хинт — есть прямая связь межу исходником и блобом из него.
| | |
| 6.81, svvord (ok), 06:03, 08/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Если не может самостоятельно, то может нанять специалиста. Какая разница кто именно сделает аудит? Факт в том что с исходниками аудит делается проще.
И на некоторые серьёзные проприетарные продукты можно (не бесплатно конечно) сырцы получить для анализа безопасности. Это нормальная практика.
| | |
|
|
|
|
| |
| 3.9, Аноним (-), 21:51, 06/08/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> вредоносный код поставлялся начиная с ноября 2012 года
Очень быстро обнаружили, надо сказать. Не прошло и года.
| | |
| |
| 4.12, AX (ok), 21:57, 06/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> вредоносный код поставлялся начиная с ноября 2012 года
> Очень быстро обнаружили, надо сказать. Не прошло и года.
Ага, и это в коде на php!
| | |
| |
| 5.18, Аноним (-), 00:19, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Туда просто никто не смотрел.
Нужно ли заботиться о своей безопасности - личный выбор каждого.
| | |
| 5.29, Аноним (-), 06:26, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
>>> вредоносный код поставлялся начиная с ноября 2012 года
>> Очень быстро обнаружили, надо сказать. Не прошло и года.
> Ага, и это в коде на php!
Уточнение бы. Кто нашел и как. Последний вопрос важен - нашли, просматривая код, или по функциональному поведению закладки. Если второе, то в чем преимущество исходных кодов, которые никто не читает (и может ли прочитать)?
| | |
|
|
|
| 2.13, chinarulezzz (ok), 22:29, 06/08/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > А говорили, что в опенсорце не бывает закладок
Говорили тебе все. Убеждали. А у тебя сейчас прям глаза открылись. Какое разочарование в опенсурсе.
| | |
| 2.23, Аноним (-), 02:02, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Задние двери пихают куда ни попадя, в опенсорсе их проще и быстрее выявить.
| | |
| 2.34, бедный буратино (ok), 08:35, 07/08/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
В php бывает всё. php - это изгой opensource, там бывает даже то, чего вообще быть не может. Слова 'php' и 'безопасность' - это антонимы.
| | |
| |
| 3.36, Аноним (-), 08:40, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Вы зря пользуетесь каждым случаем, чтобы лягнуть PHP. Ну не нравится и нравится. Тысячи разработчиков и сотни тысяч пользователей имеют иное мнение. Опасный код пишется на любом языке и с помощью любой технологии.
| | |
| |
| 4.39, бедный буратино (ok), 09:14, 07/08/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Вы зря пользуетесь каждым случаем, чтобы лягнуть PHP. Ну не нравится и
> нравится. Тысячи разработчиков и сотни тысяч пользователей имеют иное мнение. Опасный
> код пишется на любом языке и с помощью любой технологии.
Я на вопрос отвечаю, почему php небезопасен. Просто потому, что сделан небезопасным, и что там куча вещей, позволяющих делать небезопасное легко и просто. Все эти методы уже описаны в мировой литературе.
И я достаточно невысокого мнения о творениях этих тысяч разработчиков. Лучше пять хороших решений, чем миллион плохих, среди которых есть и пять хороших.
| | |
| |
| |
| 6.68, бедный буратино (ok), 17:57, 07/08/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Вот ещё в коллекцию потенциальных уязвимостей:
a = None
b = a + 15
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
TypeError: unsupported operand type(s) for +: 'NoneType' and 'int'
$a = null;
$b = $a + 15;
echo $b;
15
Отсюда девиз: "PHP - да нам пох.. на то, что вы пишете"
| | |
| |
| 7.77, Led (ok), 01:39, 08/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Да куда ему до буратинового питона, в котором уязвимостями можно крутить только добавляя и удаляя пробелы
| | |
|
|
| 5.73, сергей (??), 23:56, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
 >> Вы зря пользуетесь каждым случаем, чтобы лягнуть PHP. Ну не нравится и
>> нравится. Тысячи разработчиков и сотни тысяч пользователей имеют иное мнение. Опасный
>> код пишется на любом языке и с помощью любой технологии.
> Я на вопрос отвечаю, почему php небезопасен. Просто потому, что сделан небезопасным,
> и что там куча вещей, позволяющих делать небезопасное легко и просто.
> Все эти методы уже описаны в мировой литературе.
> И я достаточно невысокого мнения о творениях этих тысяч разработчиков. Лучше пять
> хороших решений, чем миллион плохих, среди которых есть и пять хороших.
тогда ассемблер тоже небезопасен - на нем столько творений по влезанию в ваш компьютер написано...
| | |
|
| 4.43, Аноним (-), 11:37, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Трудно найти другой такой язык, в котором можно было бы написать include "$_GET[$mycoolarg]";
| | |
|
|
|
| 1.7, Crazy Alex (ok), 21:42, 06/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Это, получается, сервер должен быть настроен так, чтобы php обрабатывал *.js? Оригинально, что тут сказать...
| | |
| |
| 2.10, Аноним (-), 21:53, 06/08/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Это, получается, сервер должен быть настроен так, чтобы php обрабатывал *.js?
Необязательно.
| | |
|
| 1.17, _Vitaly_ (ok), 23:31, 06/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Надо срочно отключить в браузере поддержку php.
А вообще, openx давно протух. Там несколько лет назад пришли маркетологи, все реорганизовали, и обновления выкладывать просто перестали. Код внутри тоже не фонтан, интерфейс убогий. От опенсорса одно название осталось, для галочки.
| | |
| |
| |
| 3.25, _Vitaly_ (ok), 03:57, 07/08/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Живых, к сожалению, не знаю. Несколько лет назад OpenX (phpAdsNew) был последним условно вменяемым, пока его реорганизацией не накрыло.
У меня крутится пока, но админка по IP закрыта, потому что уже были массовые экплоиты. Без дополнительных ограничителей openx сейчас держать откровенно стрёмно.
| | |
|
| 2.31, Аноним (-), 06:29, 07/08/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Надо срочно отключить в браузере поддержку php.
А в браузере есть поддержка PHP? Поржал.
| | |
| |
| 3.44, Аноним (-), 11:53, 07/08/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> Надо срочно отключить в браузере поддержку php.
> А в браузере есть поддержка PHP? Поржал.
в unity у оперы есть...
| | |
| |
| 4.71, Аноним (-), 19:52, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
>>> Надо срочно отключить в браузере поддержку php.
>> А в браузере есть поддержка PHP? Поржал.
> в unity у оперы есть...
при установленном интерпретаторе (и сопутствующем ПО типа LAMP под Linux или Денвер под нестандартной системой)? причем тут вообще браузер? бред. для браузера ваш файл php - просто текстовый: можешь позыбать текст, но исполнять-то что тут?
| | |
|
|
| 2.37, Аноним (-), 08:41, 07/08/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Надо срочно отключить в браузере поддержку php.
Да, так и сделай. Отпишись потом.
| | |
| |
| 3.48, Нанобот (ok), 12:47, 07/08/2013 [^] [^^] [^^^] [ответить]
| –3 +/– |
 >> Надо срочно отключить в браузере поддержку php.
> Да, так и сделай. Отпишись потом.
для того, чтобы отключить php в firefox, необходимо перейти на страницу about:config, создать там строковый параметр php.enabled со значением false. после этого браузер не будет поддерживать php
| | |
| |
| 4.78, saNdro (?), 02:05, 08/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
А ничего, что сервер-сайд скрипты выполняются на сервере, а твой брозер получает просто html сгенерированный скриптом?
| | |
|
|
|
| 1.22, Dimez (??), 01:43, 07/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Не с ноября, а с 19 сентября. Файл openx-2.8.10.tar.gz от этой даты.
| | |
| 1.27, Аноним (-), 06:05, 07/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Реклама - зло, понятно почему никто раньше не нашёл, добровольно искать ошибку в том, что используется против тебя…
| | |
| 1.42, Аноним (-), 11:00, 07/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Даже в опенсорсе не постеснялись включить бэкдор, значит и в другом опенсорсе они теоритически могут быть. Надо юзать наиболее популярный опенсорс, его чаще просматривают. А сколько их окажется в проприетарщине.. Viva opensource.
| | |
| |
| 2.50, бедный буратино (ok), 13:08, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Даже в опенсорсе не постеснялись включить бэкдор, значит и в другом опенсорсе
> они теоритически могут быть. Надо юзать наиболее популярный опенсорс, его чаще
> просматривают. А сколько их окажется в проприетарщине.. Viva opensource.
Да в любом опенсорце такая вставка должна просто кричать "я - опасность", и такое не стоит запускать, даже если ОЧЕНЬ хочется.
"Не уверен - не запускай".
| | |
|
|
