01-07-2007, 22:22
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
אתה בוודאי מתכוון לתחום ההגנה מפני פריצות?
תראה. היסוד של היסוד של היסוד - הוא שכל בעיית אבטחה היא שגיאה של מתכנת, משתמש, או מנהל מערכת. השאיפה של מי שתפקידו להגן על המערכת הוא להקטין למינימום את כל אחד מהדברים האלה...
שגיאת התכנות הנפוצה ביותר, שקיימת בהמון ענפים של בניית תוכנה, ברמות שונות, היא אי בדיקת קלט - והנחה שהקלט הוא קלט מסוג מסויים. כתוצאה משגיאות מסוג זה, מתרחשות התופעות הנפוצות: Buffer Overflow, XSS, SQL Injection, ועוד (הרץ חיפוש ברשת לגבי כל אחד מהמושגים - בייחוד Buffer Overflow).
שגיאת תכנות נפוצה אחרת, היא הסתמכות על התנהגות מהדר מסויימת, או הנחה על גודלם של משתנים מבלי שיהיה לכך שום בסיס ואחיזה במציאות. כשרוצים להניח משהו לגבי גודל של משתנה בשפת C, לדוגמא, לא צריך לבדוק מה הגודל של המשתנה כרגע, במחשב שלך, המפתח, אלא להשתמש בפונקציה sizeof על המשתנה, ולהשתמש בערך שהיא מחזירה - ורק בו לבטוח.
כמובן, יש את הנושא החשוב של עדכון התוכנות שאתה מריץ כדי שיכילו את תיקוני האבטחה האחרונים שהתגלו ותוקנו במוצרים שבהם בחרת להשתמש. - ויש כלים למניעה והגבלה של פורץ במקרה המצער שהוא כבר הצליח לפרוץ (לפחות במערכות מבוססות UNIX...) - כגון מערכות RBAC וכדו'.
כמו שכבר נאמר, הנושא מאוד רחב, ואני לא חושב שאפשר ללמוד אותו באופן מסודר ממקום אחד - אתה פשוט צריך להתחיל להיות תולעת ספרים של מאמרים בתחום
שוב, תצטרך להיות ספציפי...
|