08-11-2012, 07:34
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
1. אם הבאג היה בקוד שלך, אז אא"כ בגירסאות הקודמות לא היה הבאג, והוא באג שנוצר בתוספת חדשה שיצרת לקוד, הגירסא הישנה לא תועיל בדבר. לכל היותר היא תפתח מחדש את פרצת האבטחה שאולי הפורץ תיקן ... כלומר תחמיר את המצב, מבחינתך
2. מן הסתם אם שום דבר לא שונה בסביבה, ומה שהיה פתוח לא נחסם (או נחסם על ידי הפורץ, אבל הוא דאג להשאיר דלת אחורית שרק הוא יכול להשתמש בה) - מחיקה של תוספת שהוא שם כדי לגשת בנוחות לשרת לא תשנה שום דבר (בדיוק כמו בסעיף 1) - הוא פשוט יחזור על מה שהוא עשה קודם..
3. אם הקוד שלך לא מאובטח, הוא יהיה לא מאובטח בכל חברת אירוח אתרים, שהרי הבעייה בקוד שלך. מצד שני, אם חברה מסויימת מריצה את כל האתרים בסביבות נפרדות, ויש לך שמות משתמשים נפרדים לכל סביבה, וסביבה א' לא יכולה לגעת בקבצים של סביבה ב', ואף אחד לא גילה את הסיסמאות שלך (למשל על ידי סוס טרוייאני על המחשב שלך), אזי באירוח שכזה, פריצה לאתר אחד, לא תשפיע על האתרים האחרים - כי הם נפרדים אחד מהשני לחלוטין...
4. אני שכיר, לא פרילאנסר, אז לא. לא מכיר חברות שעוסקות בזה מספיק כדי להמליץ. כן יכול להגיד לך שיש המון שרלטנים בתחום הזה... מי שחושב שלהתקין מוצר יקר ב 10000 דולר זה איזשהו קסם שפותר כל בעייה, הוא קשקשן. לדעתי האישית כמובן.
5. רק אם הייתה הפרדה מוחלטת בין האתרים כפי שנכתב בסעיף 3 בהודעה זו. כמובן שאין קשר לדדיקייטד, משום שאת מה שכתבתי ב 3 אפשר לעשות גם באירוח משותף. כמובן שבשרת פרטי משל עצמך, אתה יכול להקשיח אפילו יותר, כי אתה יכול לעשות דברים שמיוחדים עבורך, ואין לך את הצורך לתמוך ב"כל מה שכל לקוח יעלה לשרת". מצד שני, אתה צריך להבין במה שאתה עושה, כי אחרת אתה רק עלול להחמיר את רמת הפגיעות שלך...
6. לרכוש? לדעתי לא. אפשר לשים IPS בין האינטרנט לשרת, אבל זה יעזור רק במידה ומישהו מנסה לנצל משהו שיוצרי ה IPS חשבו עליו. לא משהו שלא. אין תחליף לכתיבת קוד מאובטח... זו הסיבה שגם לחברות ענק (כולל חברות אבטחה) עם משאבים פיננסיים שיכולים להחשב "בלתי מוגבלים" - עדיין פורצים. רק מהשבוע... http://thehackernews.com/2012/11/im...c-database.html
|