WebMoney-кофейня
WebMoney TOP - только для лучших сайтов!Топик в форуме: Кредитный калькулятор онлайн
Поставить музыку в Кофейне:
Glenn Miller - Moonlight Serenade
Страницы: (3) 1 [2] 3  ( Перейти к первому непрочитанному сообщению ) ОтветитьНовая тема

> XML-интерфейсы WebMoney. Часть 1. WMSigner.
vganaba
Post #21 (Отправлено: 5.08.2007 02:11)     Быстрое цитирование
Цитировать


Завсегдатай кофейни
**

Сообщений: 28
Регистрация: 30.07.2007
Я это к тому, что для того чтобы говорить "Опель говно" нужно поездить самому, убедиться, что действительно говно и привести аргументы.


Сорри, но в данном случае я склонен не тестировать "Опель" на собственном шкуре. Умный учится на чужих ошибках. Одно дело, если б вопрос меня не касался, а он меня касается вплотную, как уже писал выше.

Касаемо аргументов... Я уже привел один единственный, но не теоретический, а практический.


Написать приватное сообщениеНаписать по email
DKameleon
Post #22 (Отправлено: 5.08.2007 11:01)     Быстрое цитирование
Цитировать


Хранитель традиций
*******

Сообщений: 2187
Регистрация: 31.05.2006
Участник WM-Клуба # 247
У меня нет теоретической базы, чтоб спорить с Вами в технической плоскости, но почему все эти продукты, которые я могу привести в пример, написаны не на популярном языке PHP, а на ASP, ASP.NET, C#, Python'e, Perl'e, JSP и т.д.? Ведь PHP мало того что популярен, так и разработка б куда дешевле обошлась, и работает он шустро. Почему так?

Работаю уже лет 5 в аутсорсинговой компании. Будь вы на моём месте - были бы несказанно удивлены в причинах выбора того или другого языка. Критерий взломоустойчивости, если и упоминается, то не в первую очередь

Кстати, в ASP, по крайней мере который на VBScript, нет даже функции, чтобы заэскейпить корректно строку перед выполнением запроса.


==================
Написать приватное сообщениеНаписать по emailВебсайт
vganaba
Post #23 (Отправлено: 5.08.2007 13:25)     Быстрое цитирование
Цитировать


Завсегдатай кофейни
**

Сообщений: 28
Регистрация: 30.07.2007
DKameleon, да и сам имею несколько лет опыта работы в аутсорсинговых компаниях, в том числе и в роли PMа. В этой роли я не сталкивался с проектами того класса и величины, где безопасность была б критична, но в целом...

У каждого проекта свои ключевые моменты, которые для него критичны. Для кого-то это стоимость, для кого-то сроки выполнения, кому-то безопасность, для всех стабильность работы.

Если пишется CMS, то максимум вреда от нее заключено в банальном дефейсе. Зачем заморачиваться? Но, в то же время, если пишется CRM, подход будет совершенно другой. Банки еще и подписку о неразглашении попросят. Министерство обороны будет искать полный компот из всего вышеприведенного: чтоб стабильно, железобетонно, быстро и дешево.

Как говорится, если твердо знаешь что тебя будут ломать с утра до ночи, будешь готов.


Написать приватное сообщениеНаписать по email
Expert
Post #24 (Отправлено: 5.08.2007 18:16)     Быстрое цитирование
Цитировать


Магистр кофейных наук
******

Сообщений: 715
Регистрация: 11.08.2006
Откуда: Москва
Участник WM-Клуба # 211
Если пишется CMS, то максимум вреда от нее заключено в банальном дефейсе. Зачем заморачиваться?

Вот как раз разработкой CMSок на PHP я и занимаюсь.
Но, опять же, в корне с Вами не соглашусь.

Пример №1
Писал я несколько модулей для управления сайтами, на которых лежит доступ к WM кошелькам обменных пунктов, где резервы на кошельках представляют очень приличные суммы и если бы меня не заботила безопасность моих творений, думаю, что эти обменники уже давно бы расстались со своими тыщами WMZ и WMR.

Пример №2
Писал модуль CMS для управления туристическими сайтами, базы данных у которых представляют из себя очень и очень ценные данные (хотябы для конкурентов) и опять же, если бы я не заботился о безопасности своих приложений (на чем бы я их не писал) эту базу уже давно бы стырили или остановили бы работу сайта, вместе с БД и всем тур. бизнесом фирмы на пол дня, чем принеслибы ей значительный ущерб.

И это далеко не полный список подобных примеров.
Да, это, конечно, не CMS для сайта по контролю за запуском ракет класса "земля-воздух-земля"... Но у каждого есть свои определённые ценности у кого-то это 100 у.е., а у кого-то 100 000 000... у.е.

Я не говорю, что PHP рулёз и т.п., но!

Для кого-то это стоимость, для кого-то сроки выполнения, кому-то безопасность, для всех стабильность работы.

Вы перечислили почти все критерии, которые используют люди для написания программ на любом языке smile.gif
Причем, стабильность работы это в первую очередь - безопасность.

Покажите пожалуйста примеры приложений, писанных на заказ финансовых организаций: банков, кредитных товариществ, etc; написанных на PHP и сертифицированных.

Примеров сертифицированных PHP приложений у меня нет, но есть куча не сертифицированных, которые не плохо справляются со своей задачей в финансовых отделах и бухгалтерии довольно крупных организаций.

Ну и, подводя итог скажу, что приложения на ASP также не плохо ломаются, расковыриваются и т.п.
Вот ещё оч. хороший пример:
Но! Вполне понятно, что для одних целей больше подойдет PHP, для других JSP, для третьих еще что-то. Асфальт катают катком, землю роют бульдозером, девок снимают на 6-ке Жигули.

Кстати, девок можно пешком снимать и бесплатно smile.gif

А вот тут я дополню:
Я это к тому, что для того чтобы говорить "Опель говно" нужно поездить самому, убедиться, что действительно говно и привести аргументы.

Сорри, но в данном случае я склонен не тестировать "Опель" на собственном шкуре. Умный учится на чужих ошибках.

Никогда не видели разбитый в дребезги: Хаммер, Ламборгини, Майбах, Мерседес, Ауди или тот же опель?
Я видел все из перечисленных!
Так что, можно проездить на ржавом "не сертифицированном" опеле без подушек безопасности и т.п. без единой царапины...
А можно на следующий день разбиться в дрызг на дорогущем майбахе...

Это сообщение отредактировал Expert - 5.08.2007 18:20


==================
С уважением, Семидьянов Сергей
Администратор WMX.RU
Написать приватное сообщениеВебсайтICQ
DKameleon
Post #25 (Отправлено: 5.08.2007 19:37)     Быстрое цитирование
Цитировать


Хранитель традиций
*******

Сообщений: 2187
Регистрация: 31.05.2006
Участник WM-Клуба # 247
Банки еще и подписку о неразглашении попросят

будучи на роли ПМа, должны бы знать, что порой разработкой для тех же банков занимается не первое лицо, а часто даже и не второе.
регулярно сталкиваюсь с ситуацией, когда в роли посредников выступает от 3-4 элементов цепочки.

В этой роли я не сталкивался с проектами того класса и величины, где безопасность была б критична, но в целом...

я сталкивался. не размер проекта был критичен, а назначение.
процессинг кредитных карт.
требуемый язык: ASP.NET
причина: просто всё остальное уже давно написано и работает на .NET, да в Америке, где под боком Микрософт, для крупных компаний зачастую так и бывает.



==================
Написать приватное сообщениеНаписать по emailВебсайт
vganaba
Post #26 (Отправлено: 5.08.2007 20:59)     Быстрое цитирование
Цитировать


Завсегдатай кофейни
**

Сообщений: 28
Регистрация: 30.07.2007
будучи на роли ПМа, должны бы знать, что порой разработкой для тех же банков занимается не первое лицо, а часто даже и не второе.
регулярно сталкиваюсь с ситуацией, когда в роли посредников выступает от 3-4 элементов цепочки.


Документооброт для US NAVY делался в Украине smile.gif

процессинг кредитных карт.
требуемый язык: ASP.NET


Аналогичная ситуация, только не ASP.NET, а то ли Perl, то ли Python, точно уже не помню. Через компанию проект проходил, но я к нему никоим боком не относился.

Примеров сертифицированных PHP приложений у меня нет, но есть куча не сертифицированных, которые не плохо справляются со своей задачей в финансовых отделах и бухгалтерии довольно крупных организаций.


Интересуют именно сертифицированные приложения, проверенные не отсутствием интереса хакеров, а специалистами по безопасности.


Так что, можно проездить на ржавом "не сертифицированном" опеле без подушек безопасности и т.п. без единой царапины...
А можно на следующий день разбиться в дрызг на дорогущем майбахе...


Крайне некорректное сравнение. Одно дело, сравнивать машины одного класса, совсем другое сравнивать машины разных классов. По трассе Опель сделает танк, в нем комфортнее, но на поле боя Опель танку не конкурент. Тоже самое и здесь. Если ресурсы, которые возможно будут ломать, есть те которые ломать нет смысла, а есть те, которые ломать будут точно и ломать будут не пионеры, не под заказ и доход от взлома будет не в тыщи, а в совсем другие цифры.

Соответственно и меры предосторожности.


Написать приватное сообщениеНаписать по email
Expert
Post #27 (Отправлено: 5.08.2007 21:34)     Быстрое цитирование
Цитировать


Магистр кофейных наук
******

Сообщений: 715
Регистрация: 11.08.2006
Откуда: Москва
Участник WM-Клуба # 211
Крайне некорректное сравнение.

Я сравнивал уровни безопасности. Он, конечно, не всегда от цены зависит, но от класса автомобиля точно.
Да ещё и... Не сам разобьёшься, так в тебя въедут.
Кстати, с танком майбах точно стоит сравнить (5мм броня)...

Интересуют именно сертифицированные приложения, проверенные не отсутствием интереса хакеров, а специалистами по безопасности.

Пока ещё не дорос до таких...

Ладно, спорить на тему можно долго, так все при своём мнении и останутся... Но вот такие высказывания:
дырявый Apache, как сито, а PHP язык дешевых киосков.

лучше не употреблять в общественных местах smile.gif

Это сообщение отредактировал Expert - 5.08.2007 21:34


==================
С уважением, Семидьянов Сергей
Администратор WMX.RU
Написать приватное сообщениеВебсайтICQ
DKameleon
Post #28 (Отправлено: 5.08.2007 21:35)     Быстрое цитирование
Цитировать


Хранитель традиций
*******

Сообщений: 2187
Регистрация: 31.05.2006
Участник WM-Клуба # 247
Документооброт для US NAVY делался в Украине

Если бы вы хоть приблизительно представляли, с какими запросами приходится сталкиваться - вы бы так не язвили wink.gif


==================
Написать приватное сообщениеНаписать по emailВебсайт
vganaba
Post #29 (Отправлено: 5.08.2007 22:06)     Быстрое цитирование
Цитировать


Завсегдатай кофейни
**

Сообщений: 28
Регистрация: 30.07.2007

Если бы вы хоть приблизительно представляли, с какими запросами приходится сталкиваться - вы бы так не язвили

Вы предполагаете я шутил? smile.gif) Я не шутил, он реально делался в Украине. И, плз, не следует рассматривать мое отсутствие знаний в информационной безопасности отсутствием понимания в теме вообще. Понимание есть.

Это сообщение отредактировал vganaba - 5.08.2007 22:08


Написать приватное сообщениеНаписать по email
drew
Post #30 (Отправлено: 7.08.2007 10:02)     Быстрое цитирование
Цитировать


Ценитель кофе
***

Сообщений: 113
Регистрация: 21.03.2007
vganaba сказал
Вы предполагаете я шутил? smile.gif) Я не шутил, он реально делался в Украине. И, плз, не следует рассматривать мое отсутствие знаний в информационной безопасности отсутствием понимания в теме вообще. Понимание есть.

Соглашусь с Niksen, дырявость приложения в первую очередь зависит от рук разработчика, далее от рук разработчиков стандартных библиотек для языка и, наверное, в последнюю очередь от языка самого. Что до PHP, то тут Вы правы, есть мнение что "PHP дырявый язык", но это немного не так. PHP более прост в освоении и хостинг для него более дешевый (в сравнении с ASP.NET), поэтому очень много неопытных людей принимается на нем писать серьезные проекты, а от сюда идут уязвимости и в конце концов все сваливается на кривость языка, а не на кривость своих рук.


ЗЫ пишу на C#(ASP.NET)


Написать приватное сообщениеНаписать по email
Expert
Post #31 (Отправлено: 7.08.2007 16:58)     Быстрое цитирование
Цитировать


Магистр кофейных наук
******

Сообщений: 715
Регистрация: 11.08.2006
Откуда: Москва
Участник WM-Клуба # 211
drew, ИСТИНА!


==================
С уважением, Семидьянов Сергей
Администратор WMX.RU
Написать приватное сообщениеВебсайтICQ
Kot-II
Post #32 (Отправлено: 8.08.2007 02:55)     Быстрое цитирование
Цитировать


Завсегдатай кофейни
**

Сообщений: 22
Регистрация: 19.12.2006
drew сказал
Соглашусь с Niksen, дырявость приложения в первую очередь зависит от рук разработчика, далее от рук разработчиков стандартных библиотек для языка и, наверное, в последнюю очередь от языка самого. Что до PHP, то тут Вы правы, есть мнение что "PHP дырявый язык", но это немного не так. PHP более прост в освоении и хостинг для него более дешевый (в сравнении с ASP.NET), поэтому очень много неопытных людей принимается на нем писать серьезные проекты, а от сюда идут уязвимости и в конце концов все сваливается на кривость языка, а не на кривость своих рук.


ЗЫ пишу на C#(ASP.NET)

Разумеется, "дырявость" зависит от рук. Но, если язык/среда/платформа сами по себе способствуют и располагают к написанию и использованию "дырявого" кода, для достижения качественного результата при прочих равных руки требуются более квалифицированные, и труда надо вложить больше. Соответственно, в среднем, статистически по большой массе разработок, результаты будут хуже. А PHP из более-менее популярных платформ для веб-приложений как раз и есть самая располагающая...

Это сообщение отредактировал Kot-II - 8.08.2007 02:56


Написать приватное сообщениеНаписать по email
DKameleon
Post #33 (Отправлено: 8.08.2007 03:04)     Быстрое цитирование
Цитировать


Хранитель традиций
*******

Сообщений: 2187
Регистрация: 31.05.2006
Участник WM-Клуба # 247
2 Kot-II

В таком случае С++ вообще лучше выкинуть smile.gif
Ни тебе менеджмента памяти, ни сборщика мусора, никаких удобств при работе с массивами и т. п. wink.gif


==================
Написать приватное сообщениеНаписать по emailВебсайт
Kot-II
Post #34 (Отправлено: 9.08.2007 02:40)     Быстрое цитирование
Цитировать


Завсегдатай кофейни
**

Сообщений: 22
Регистрация: 19.12.2006
DKameleon сказал
2 Kot-II

В таком случае С++ вообще лучше выкинуть smile.gif
Ни тебе менеджмента памяти, ни сборщика мусора, никаких удобств при работе с массивами и т. п. wink.gif

В целом - да, верно smile.gif
По крайней мере, нынешнему буму уязвимостей-дырявостей в любом более-менее крупном софте мы в значительной степени обязаны и C/C++, и "Ни тебе менеджмента памяти, ни сборщика мусора, никаких удобств при работе с массивами и т. п."


Написать приватное сообщениеНаписать по email
drew
Post #35 (Отправлено: 9.08.2007 08:47)     Быстрое цитирование
Цитировать


Ценитель кофе
***

Сообщений: 113
Регистрация: 21.03.2007
Kot-II сказал
Разумеется, "дырявость" зависит от рук. Но, если язык/среда/платформа сами по себе способствуют и располагают к написанию и использованию "дырявого" кода, для достижения качественного результата при прочих равных руки требуются более квалифицированные, и труда надо вложить больше. Соответственно, в среднем, статистически по большой массе разработок, результаты будут хуже. А PHP из более-менее популярных платформ для веб-приложений как раз и есть самая располагающая...

Давайте тогда конкретно обсудим, чем PHP располагает для написания уязвимого кода?


Написать приватное сообщениеНаписать по email
Expert
Post #36 (Отправлено: 9.08.2007 12:20)     Быстрое цитирование
Цитировать


Магистр кофейных наук
******

Сообщений: 715
Регистрация: 11.08.2006
Откуда: Москва
Участник WM-Клуба # 211
Давайте тогда конкретно обсудим, чем PHP располагает для написания уязвимого кода

Я думаю, лишь тем, что за него беруться все кому не лень.
См. пункт кривые руки smile.gif

to Kot-II:
Долой прогресс? smile.gif

Это сообщение отредактировал Expert - 9.08.2007 12:21


==================
С уважением, Семидьянов Сергей
Администратор WMX.RU
Написать приватное сообщениеВебсайтICQ
Solo
Post #37 (Отправлено: 9.08.2007 13:05)     Быстрое цитирование
Цитировать


Завсегдатай кофейни
**

Сообщений: 40
Регистрация: 17.02.2007
Посмотрел, почитал, подумал и решил написать свое мнение по вопросу защищенности:
- держать ключи на _своем_ сервере можно, при правильной его настройке
- что лучше asp или php не вопрос данной темы. Сам предпочитаю php для быстрой разработки, т.к. iis со времен NT3 обладает большим количеством ошибок чем правильно и самостоятельно _собранный_ из исходников апач. Тут уже срабатывает привычка. Томкэт и jsp неплох, советую знающим присмотреться к enhydra.org Хотя джава тоже ломается, например, тот же iBank 2.
- от выбранного языка программирования шанс успешного взлома вашей системы не зависит. Дело в людях и, соотв., ресурсах. Т.о. нужен комплексный подход.


Написать приватное сообщениеНаписать по email
drew
Post #38 (Отправлено: 10.08.2007 08:46)     Быстрое цитирование
Цитировать


Ценитель кофе
***

Сообщений: 113
Регистрация: 21.03.2007
Solo сказал
iis со времен NT3 обладает большим количеством

Вы может хотели сказать IIS времен NT3? Работаю с IIS6 и ошибок за ним не замечал, куда уж там до большого их количества biggrin.gif А вообще попахивает "авторитетными" заявлениями юниксоидов в духе "Винда отстой".


Написать приватное сообщениеНаписать по email
Expert
Post #39 (Отправлено: 10.08.2007 09:40)     Быстрое цитирование
Цитировать


Магистр кофейных наук
******

Сообщений: 715
Регистрация: 11.08.2006
Откуда: Москва
Участник WM-Клуба # 211
А вообще попахивает "авторитетными" заявлениями юниксоидов в духе "Винда отстой".

А что, разве нет? smile.gif


==================
С уважением, Семидьянов Сергей
Администратор WMX.RU
Написать приватное сообщениеВебсайтICQ
amelkin
Post #40 (Отправлено: 30.04.2008 16:17)     Быстрое цитирование
Цитировать


Прохожий
*

Сообщений: 2
Регистрация: 26.04.2008
Откуда: Белоруссия Гомель
По статье: мне понравилась. С помощью её счас делаю автоматический приём на своём сайте, который пока в разработке.


==================
Написать приватное сообщениеНаписать по emailВебсайтICQ
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции этого топикаСтраницы: (3) 1 [2] 3  ОтветитьНовая тема

 





Powered by Invision Power Board © 2003 IPS, Inc.