74 SPECIAL DELIVERY ÑÏÅÖ 02-07ÊÀÊÈÅ ÑÏÎÑÎÁÛ ÁÎÐÜÁÛ ÑÍÀÈÁÎËÅÅ ÝÔÔÅÊÒÈÂÍÛ?XSSÌÈÕÀÈË ÔËÅÍÎÂ: Ñâåðõóãðîçîé ÿ áû ýòó àòàêó íå íàçâàë. Äà è SQL Injection òîæå íåëüçÿ îòíåñòèê ñâåðõóãðîçå. Âñå ýòî íåâíèìàòåëüíîñòü èëè ëàìåðñòâî ïðîãðàììèñòîâ. Åñëè ïåðâîå, òî ýòî íå ñòðàøíî,ïîòîìó ÷òî ïðîãðàììèñò, äîïóñòèâøèé îøèáêó, áûñòðî èñïðàâèò åå ñàì. À âîò ëàìåð, êîòîðûé íå õî-÷åò ó÷èòüñÿ, ïîñòðàäàåò íàìíîãî ñèëüíåå. Ãëÿäÿ íà êîëè÷åñòâî äûðÿâûõ ñàéòîâ â èíòåðíåòå, ïîíèìàåøü,÷òî êîëè÷åñòâî ïðîãðàììèñòîâ ñîêðàùàåòñÿ, à ëàìåðîâ — ðàñòåò.ÀÍÒÎÍ ÊÀÐÏÎÂ: Ëþáàÿ ïðîáëåìà áåçîïàñíîñòè âîçíèêàåò ïîä âîçäåéñòâèåì ÷åëîâå÷åñêîãî ôàêòîðà.Áåçîïàñíîñòü ñèñòåìû âî ìíîãîì îïðåäåëÿåòñÿ åå êà÷åñòâîì. Åñëè ãîâîðèòü î ïðîãðàììíûõ ñðåäñòâàõ,òî ýòî êà÷åñòâî êîäà. Ïðîãðàììèñò íåäîñìîòðåë, íåäîäóìàë, ñîâåðøèë ïàðó èçâåñòíûõ îøèáîê — ýòîìîæåò áûòü êàê ïîôèãèçì, òàê è íèçêàÿ êâàëèôèêàöèÿ. Ó÷èòûâàÿ ðàñòóùóþ ïîïóëÿðíîñòü XSS-àòàê,ÿ áû íå íàçâàë ýòî ñëàáûì ìåñòîì ïîôèãèñòîâ, âî âñÿêîì ñëó÷àå, òîãäà áû íàì ïðèøëîñü ïðèçíàòü, ÷òîïîôèãèñòîâ â ìèðå î÷åíü è î÷åíü ìíîãî :).ÊÐÈÑ ÊÀÑÏÅÐÑÊÈ: XSS/Cross-Site Scripting ïîÿâèëñÿ, êîãäà Netscape äîáàâèëà â áðàóçåð ïîääåðæêóJavaScript. À ýòî íå â÷åðà è íå ïîçàâ÷åðà, à ìíîãî ëåò íàçàä áûëî. È ñåé÷àñ áåç ñêðèïòîâûõ ÿçûêîâ íèêóäà.Ñòîèò òîëüêî îòêëþ÷èòü èõ ïîääåðæêó, êàê çíà÷èòåëüíàÿ ÷àñòü ñàéòîâ îòîáðàæàåòñÿ íåâåðíî èëèâîîáùå ïåðåñòàåò ðàáîòàòü. À ìîäåëü (íå)áåçîïàñíîñòè âèðòóàëüíûõ ìàøèí äàâíî ñòàëà ïðèò÷åéâî ÿçûöåõ, è åùå íè îäíîìó ïðîèçâîäèòåëþ íå óäàëîñü èçáåæàòü îøèáîê ðåàëèçàöèè.  ëó÷øåì ñëó-÷àå, çëîóìûøëåííèê ïîëó÷àåò äîñòóï ê cookies'àì (õðàíÿùèì ìàññó êîíôèäåíöèàëüíîé èíôîðìàöèè). õóäøåì æå — ïîëíîñòüþ çàõâàòûâàåò óïðàâëåíèå óäàëåííîé ìàøèíîé. Ýòî âïîëíå ñåðüåçíàÿ óãðîçà,ñ êîòîðîé íåîáõîäèìî ñ÷èòàòüñÿ.ÂÀËÅÐÈß ÊÎÌÈÑÑÀÐÎÂÀ: Èç-çà áîëüøîé ðîäñòâåííîñòè àòàê SQL Injection è XSS îáùèå êîíöåïöèèìåòîäîâ áîðüáû ñ íèìè òàêæå î÷åíü ïîõîæè. Âñå òà æå ôèëüòðàöèÿ (âñòðîåííûìè ñðåäñòâàìè èëè ñîçäàííûìèñâîèìè ñèëàìè), èñïîëüçîâàíèå «ñòðîãèõ» èìåí è òàê äàëåå. È â äîïîëíåíèå… âêëþ÷àé ìîçãè :).ÇÀÐÀÇÀ: Ê ñîæàëåíèþ, åäèíñòâåííûé äåéñòâåííûé ñïîñîá áîðüáû — ïîëíîñòüþ îòêàçàòüñÿ îò òîãî,÷òîáû äàòü ïîëüçîâàòåëþ âîçìîæíîñòü èñïîëüçîâàòü ïðÿìî èëè êîñâåííî êàêèå-ëèáî òýãè. Íàïðèìåð,ìîæíî ôèëüòðîâàòü ëþáûå HTML-òýãè íà óðîâíå ôóíêöèé ðàçáîðà çàïðîñà è ñëóæåáíûõ çàãîëîâêîâ.Íî äàæå òàêîé ñïîñîá íå äàåò 100% ãàðàíòèè çàùèòû.ÌÈÕÀÈË ÔËÅÍÎÂ: Íóæíî âíèìàòåëüíî ïèñàòü êîä è òåñòèðîâàòü âñå ïî íåñêîëüêó ðàç. Ëåò ïÿòü íàçàääàæå â íàøåé ñòðàíå ðàçíûå ôèðìû äîñòàòî÷íî ÷àñòî îáðàùàëèñü ê ñïåöàì ïî áåçîïàñíîñòè äëÿòåñòèðîâàíèÿ ñâîèõ ñèñòåì. Ìíå ñàìîìó ïðèõîäèëîñü èíîãäà òåñòèðîâàòü. À çà ïîñëåäíèå äâà ãîäà óìåíÿ áûë òîëüêî îäèí ïîäîáíûé çàêàç. Îäíàæäû ÿ íàøåë äûðó íà ñàéòå è ïîêàçàë åå âëàäåëüöó, ïîñëåýòîãî îí ïîïðîñèë ïðîòåñòèðîâàòü åùå îäèí åãî ñàéò. Ñåé÷àñ ÷àùå îáðàùàþòñÿ ñ ïðîñüáîé âçëîìàòü,íî ÿ âçëîìàìè íå çàíèìàþñü. ß íå äóìàþ, ÷òî òîëüêî êî ìíå ñòàëè ìåíüøå îáðàùàòüñÿ. Ïÿòüëåò íàçàä õàêåðû äàæå ïûòàëèñü îòêðûâàòü ôèðìû ïî òåñòèðîâàíèþ áåçîïàñíîñòè. È â íà÷àëå áèçíåñâðîäå ïîøåë, íî ïîòîì óìåð. Èëè õàêåðû âûïîëíÿëè ñâîè îáÿçàííîñòè ïëîõî, èëè çàêàç÷èêè íåóâèäåëè ïðåèìóùåñòâ.Òåñòèðîâàòü íóæíî è ñàéòû, è ïðîãðàììû. È ëó÷øå, åñëè ýòî áóäóò íåçàâèñèìûå ëþäè. Ñêîëüêî õàêåðîâñìîãëî áû íàïðàâèòü ñâîè óñèëèÿ â ìèðíîå ðóñëî! Îêîëî ãîäà íàçàä ìíå ïðåäëàãàëè òåñòèðîâàòüáåçîïàñíîñòü â Agnitum è, õîòÿ ÿ îòêàçàëñÿ, îáùåíèå ñ ðåáÿòàìè ïîêàçàëî, ÷òî íå çðÿ Outpost Firewall —îäèí èç ëó÷øèõ, ïîòîìó ÷òî ïîäõîä ïðàâèëüíûé. ß ñ óäîâîëüñòâèåì äîâåðþ áåçîïàñíîñòü ñâîåãî êîìïüþòåðàñåòåâîìó ýêðàíó, êîòîðûé òåñòèðóåòñÿ, áûñòðî ðàçâèâàåòñÿ è îòñëåæèâàåò òåíäåíöèè â ìèðåáåçîïàñíîñòè. Åñëè áû âñå ïðîãðàììèñòû òàê ðàáîòàëè, òî êîëè÷åñòâî âçëîìîâ ñîêðàòèëîñü áû â ðàçû.ÊÐÈÑ ÊÀÑÏÅÐÑÊÈ: Îòêëþ÷èòü ïîääåðæêó Java è Êî â áðàóçåðå, à åñëè ýòî íåâîçìîæíî, èñïîëüçîâàòüíàèáîëåå àêêóðàòíî íàïèñàííûå áðàçóåðû (íàïðèìåð, Îïåðó). IE äûðÿâ, êàê âåäðî áåç äíà.  ÃîðÿùåìËèñå â ïîñëåäíåå âðåìÿ íàáëþäàåòñÿ íåïðåêðàùàþùèéñÿ ðîñò óÿçâèìîñòåé, ïðåâðàòèâøèõåãî â äóðøëàã. Òàê ÷òî íèêòî íå ìîæåò ÷óâñòâîâàòü ñåáÿ â áåçîïàñíîñòè, ðàçâå ÷òî ïîëüçîâàòåëè Ðûñÿ(áðàçóçåð Lynx, íå ïóòàòü ñ Linux).ÌÎÆÍÎ ËÈ ÇÀÙÈÒÈÒÜÄÈÍÀÌÈ×ÅÑÊÈÉ ÑÀÉÒ ÎÒ SQLINJECTION È XSS (ÅÑÒÜ ÑÊÐÈÏÒÛ,ÐÀÁÎÒÀÞÙÈÅ ÍÀ ÁÄ) ÍÀ 100%ÂÀËÅÐÈß ÊÎÌÈÑÑÀÐÎÂÀ: Î÷åâèäíî, ÷òî çàùèòèòüñÿ íà 100% íè îò ÷åãî íåëüçÿ. È íå ñòîèò èñêàòüïîáåäèòåëåé â áîþ õàêåðîâ ñ ïðîãðàììèñòàìè. Íî èñïîëüçîâàíèå ðàçëè÷íûõ ìåòîäîâ áîðüáû ñ ýòèìèíàïàñòÿìè (ìåòîäîâ, ìåæäó ïðî÷èì, óæå äàâíî âûÿâëåííûõ è ôîðìàëèçîâàííûõ) ïîçâîëèò îáåçîïàñèòüñàéò åñëè íå íà 100, òî íà 90%. È ýòî óæå íåïëîõî, âåäü ïðîôåññèîíàëüíûõ âçëîìùèêîâ ñðåäè ñîâðåìåííîãîõàê-êîíòèíãåíòà ñîâñåì íå ìíîãî.ÌÈÕÀÈË ÔËÅÍÎÂ: Çàùèòèòüñÿ ìîæíî, íî äëÿ ýòîãî íóæíî ïîñòîÿííî äóìàòü î áåçîïàñíîñòè —âî âðåìÿ ïðîåêòèðîâàíèÿ, ðåàëèçàöèè è âíåäðåíèÿ, à íå êîãäà âçëîìàëè.ÊÐÈÑ ÊÀÑÏÅÐÑÊÈ: 100% ãàðàíòèþ íå äàåò äàæå Ãîññòðàõ. Õîòÿ èäåÿ çàñòðàõîâàòü ñàéò â ñòðàõîâîéêîìïàíèè íå òàêàÿ óæ è áðåäîâàÿ, êàêîé êàæåòñÿ íà ïåðâûé âçãëÿä. Ïî êðàéíåé ìåðå, â ñëó÷àå àòàêèêîìïàíèÿ êîìïåíñèðóåò íàíåñåííûé óùåðá. À åñëè ñåðüåçíî, òî âñå ðåøàåò ñëîæíîñòü. Íåñêîëüêî ñîòåíñòðîê ìîæíî ïðîâåðèòü è âäîëü, è ïîïåðåê. Íî òðóäîåìêîñòü ïðîâåðêè êîäà ðàñòåò áûñòðåå åãîîáúåìà è, íà÷èíàÿ ñ íåêîòîðîãî óðîâíÿ, ñòàíîâèòñÿ ïðàêòè÷åñêè íåâûïîëíèìîé çàäà÷åé, òðåáóþùåéãèãàíòñêèõ ðåñóðñîâ. Ñëåäîâàòåëüíî, ëó÷øàÿ çàùèòà — ýòî ïðîñòîòà èñïîëíåíèÿ.
{IT}Ñ ÌÀÐÒÀÂÑÅ ÁÓÄÅÒÏÎ-ÍÎÂÎÌÓ!ÍÎÂÎÑÒÈ,ÏËÀÒÔÎÐÌÛ È ÐÅØÅÍÈß,ÁÅÇÎÏÀÑÍÎÑÒÜ,ÐÀÇÐÀÁÎÒÊÀ,ÀÍÀËÈÇÛ È ÒÅÍÄÅÖÈÈ,ÌÍÅÍÈß ÝÊÑÏÅÐÒÎÂ,ÍÀÓÊÀ È ÒÅÕÍÎËÎÃÈÈ. ÊÀÆÄÎÌ ÍÎÌÅÐÅÀÍÀËÈÒÈ×ÅÑÊÈÉ ÎÒ×ÅÒ!ÒÅÌÀ «IT ÑÏÅÖ»  ÌÀÐÒÅ:ÐÀÁÎ×ÅÅ ÌÅÑÒÎ OPEN SOURCEÀ ÒÀÊÆÅ:ÊÎÍÖÅÏÖÈß ÑÈÑÒÅÌÛ ÇÀÙÈÒÛ ÊÎÐÏÎÐÀÒÈÂÍÎÃÎ ÑÅÐÂÅÐÀ;ÓÏÐÀÂËÅÍÈÅ ÊÎÌÀÍÄÎÉ ÐÀÇÐÀÁÎÒ×ÈÊÎÂÈ ÈÑÏÎËÜÇÎÂÀÍÈÅ ÑÈÑÒÅÌ ÊÎËËÅÊÒÈÂÍÎÉ ÐÀÁÎÒÛ;WEB-OFFICE: ÏÐÎÐÛ ÈËÈ ÊÐÓØÅÍÈÅ?