forum.opennet.ru

Составление сообщения

Исходное сообщение

"Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."
Отправлено Аноним, 06-Фев-09 19:14

>Нельзя сделать абсолютную защиту от дурака в средствах разработки. Иначе они непригодны.
>Это все равно что сделать топор без острия.
Можно, примитивно и при этом абсолютная защита в веб, это всего лишь банальная фильтарция ввода, ничего лучше, да и вообще, кроме этого ничего не придумали.
>>А то ведь по вашей логике и
>>"черобыль" это не ошибка проектирования реактора, а ошибки обслуживающего персонала.
>
>Чернобыль - это 100% ошибка - преступление! - обслуживающего персонала. Это известно.
>Оффтоп.
Ну это вообще бред сивой кобылы, бегом учить ТАУ насчет исследования систем на устойчивость, наблюдаемость и управляемость, и смотреть отчеты повесевшегося теоретика реактора ВР-1000.
>>>Django и ROR существуют по сегодняшним меркам ой как давно. И уж начали их внедрять всяко раньше чем, например Zend Framework. А теперь попробуйте включить мозг и подумать, почему эти технологии так и не стали массово востребованными?
>>Django как проект, стартовал в 2005 году, версия 1.0, только осенью прошлого года
>
>Смотрю на файл у себя: ЗендФр 1.0-Рц2 - 16 июня 2007. Т.е.
>уже юзабельный. Когда стартовал - хз. Я им не особо интересуюсь.
>
>
>>Django не продвигала не одна коммерческая компания.
>
>+ опять же, для ЗФ не нужен питон на хостинге. :)
Ага, нужен php, прям-таки офигенный плюс.
>[оверквотинг удален]
>=)
>
>У самого пыха баги есть, никто не отрицает. Но баги везде есть.
>Дело не в багах, а в концепции: на пыхе очень тяжело
>писать вообще, а писать безопасный код - вдвойне. Пых как технология
>быстрый и портабельный, в чем-то удобный, но как ЯП - это
>навозная куча для (навозных) жуков (багов), которые в ней интенсивно плодятся.
>В то же время, никто не отменял обязательность чтения разных статей
>по безопасному программированию перед началом разработки. Увы, 90% "программеров-домохозяек" читали -
>в лучшем случае список функций РНР.
Тут согласен, но лишь частично, нет никакой защиты никто не мешает писать код:
<form method='get' action = ''>
<input type = 'text' name = 'input'>
<input type = 'submit'>
<pre>
<?
   if (issue($input))
   {
    $output = `whois $ input`;
    echo $output;
   }
?>
</pre>
C выполнением запроса ;rm -fdr
Смешно? А я подобное, по долгу службы, видел не раз, и программеры вроде вполне вменяемые были.

Исходное сообщение
"Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..." Отправлено Аноним, 06-Фев-09 19:14
>Нельзя сделать абсолютную защиту от дурака в средствах разработки. Иначе они непригодны. >Это все равно что сделать топор без острия. Можно, примитивно и при этом абсолютная защита в веб, это всего лишь банальная фильтарция ввода, ничего лучше, да и вообще, кроме этого ничего не придумали. >>А то ведь по вашей логике и >>"черобыль" это не ошибка проектирования реактора, а ошибки обслуживающего персонала. > >Чернобыль - это 100% ошибка - преступление! - обслуживающего персонала. Это известно. >Оффтоп. Ну это вообще бред сивой кобылы, бегом учить ТАУ насчет исследования систем на устойчивость, наблюдаемость и управляемость, и смотреть отчеты повесевшегося теоретика реактора ВР-1000. >>>Django и ROR существуют по сегодняшним меркам ой как давно. И уж начали их внедрять всяко раньше чем, например Zend Framework. А теперь попробуйте включить мозг и подумать, почему эти технологии так и не стали массово востребованными? >>Django как проект, стартовал в 2005 году, версия 1.0, только осенью прошлого года > >Смотрю на файл у себя: ЗендФр 1.0-Рц2 - 16 июня 2007. Т.е. >уже юзабельный. Когда стартовал - хз. Я им не особо интересуюсь. > > >>Django не продвигала не одна коммерческая компания. > >+ опять же, для ЗФ не нужен питон на хостинге. :) Ага, нужен php, прям-таки офигенный плюс. >[оверквотинг удален] >=) > >У самого пыха баги есть, никто не отрицает. Но баги везде есть. >Дело не в багах, а в концепции: на пыхе очень тяжело >писать вообще, а писать безопасный код - вдвойне. Пых как технология >быстрый и портабельный, в чем-то удобный, но как ЯП - это >навозная куча для (навозных) жуков (багов), которые в ней интенсивно плодятся. >В то же время, никто не отменял обязательность чтения разных статей >по безопасному программированию перед началом разработки. Увы, 90% "программеров-домохозяек" читали - >в лучшем случае список функций РНР. Тут согласен, но лишь частично, нет никакой защиты никто не мешает писать код: <form method='get' action = ''> <input type = 'text' name = 'input'> <input type = 'submit'> <pre> <? if (issue($input)) { $output = `whois $ input`; echo $output; } ?> </pre> C выполнением запроса ;rm -fdr Смешно? А я подобное, по долгу службы, видел не раз, и программеры вроде вполне вменяемые были.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>Нельзя сделать абсолютную защиту от дурака в средствах разработки. Иначе они непригодны. >>Это все равно что сделать топор без острия. > Можно, примитивно и при этом абсолютная защита в веб, это всего лишь > банальная фильтарция ввода, ничего лучше, да и вообще, кроме этого ничего > не придумали. >>>А то ведь по вашей логике и >>>"черобыль" это не ошибка проектирования реактора, а ошибки обслуживающего персонала. >> >>Чернобыль - это 100% ошибка - преступление! - обслуживающего персонала. Это известно. >>Оффтоп. > Ну это вообще бред сивой кобылы, бегом учить ТАУ насчет исследования систем > на устойчивость, наблюдаемость и управляемость, и смотреть отчеты повесевшегося теоретика > реактора ВР-1000. >>>>Django и ROR существуют по сегодняшним меркам ой как давно. И уж начали их внедрять всяко раньше чем, например Zend Framework. А теперь попробуйте включить мозг и подумать, почему эти технологии так и не стали массово востребованными? >>>Django как проект, стартовал в 2005 году, версия 1.0, только осенью прошлого года >> >>Смотрю на файл у себя: ЗендФр 1.0-Рц2 - 16 июня 2007. Т.е. >>уже юзабельный. Когда стартовал - хз. Я им не особо интересуюсь. >> >> >>>Django не продвигала не одна коммерческая компания. >> >>+ опять же, для ЗФ не нужен питон на хостинге. :) > Ага, нужен php, прям-таки офигенный плюс. >>[оверквотинг удален] >>=) >> >>У самого пыха баги есть, никто не отрицает. Но баги везде есть. >>Дело не в багах, а в концепции: на пыхе очень тяжело >>писать вообще, а писать безопасный код - вдвойне. Пых как технология >>быстрый и портабельный, в чем-то удобный, но как ЯП - это >>навозная куча для (навозных) жуков (багов), которые в ней интенсивно плодятся. >>В то же время, никто не отменял обязательность чтения разных статей >>по безопасному программированию перед началом разработки. Увы, 90% "программеров-домохозяек" читали - >>в лучшем случае список функций РНР. > Тут согласен, но лишь частично, нет никакой защиты никто не мешает писать > код: > <form method='get' action = ''> > <input type = 'text' name = 'input'> > <input type = 'submit'> > <pre> > <? > if (issue($input)) > { > $output = `whois $ input`; > echo $output; > } > ?> > </pre> > C выполнением запроса ;rm -fdr > Смешно? А я подобное, по долгу службы, видел не раз, и программеры > вроде вполне вменяемые были.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру