15-11-2011, 06:10
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
מה זאת אומרת "נועל אם היא פתוחה" ? אם היא פתוחה, אז היא פתוחה, ואם יש באג בממשק, או בשרתים, אנשים עלולים להעביר פקודות לא להם. פורץ חכם יוכל להעביר כסף בצורה שנראית לגיטימית לחלוטין למערכת, ואף אחד לא ידע.
מצד אחד אתה אומר ש"אי אפשר לגנוב כי זה מוגן", ומצד שני אתה אומר: "אם גנבו, הם יחזירו את הכסף" - או שאתה מדבר על הבטחות שלהם (הבטחות לא שוות הרבה), או שזה כבר קרה ואולי החזירו למישהו מסויים (ואז אנחנו יודעים שאין הגנה), ומי יודע מה יהיה בעתיד, ומה יקרה אם הם יחשבו שמדובר בתנועה לגיטימית לחלוטין כי הפורץ טוב במה שהוא עושה...
שלא תבין אותי לא נכון, אני כן מרוצה מפועלים: פעילות ברירת המחדל שלהם מתחילה ב SSL (ולא בלא-SSL כמו בבנקים אחרים, שאחרי זה מישהו עוד יחטוף את התנועה שלהם ויעביר אותך לאתר מאובטח משלו בלי ששמת לב), והוא אפילו SSL מסוג EV - Extended Validation, כפי שראוי מגוף כמו בנק (האחרים מתקמצנים על העוד כמה מאות דולרים בשנה, ומדובר בעסקים שמגלגלים מליארדים, בזיון...). שלא לדבר על זה שלפחות על פניו[*], נראה שבניגוד לבנק שמעבירים את דביר אליו, הם לא משתמשים בטכנולוגיה שבה מגלים באג אבטחה חמור שניתן לפריצה מרחוק כל שבועיים בערך, ושהמתכנתים בה נוטים להיות, משום מה, ברמה נמוכה ודרומה, העונה לשם "דוט נט"...
[*] א. אין את סיומת הבאגים המפורסמת aspx בכתובות הדפים [למרות שזה לא מחייב...] ב. אין כותרי HTTP שאומרים שזה רץ על IIS או "X-Powered-By: ASP.NET" (קצת מצחיק להשתמש במילה Power בכל הקשור לטכנולוגיה של מיקרוסופט, אבל שיהיה)
|