...sa stáva čoraz vážnejším problémom nielen medzi administrátormi / majiteľmi samotných webov, ale aj ich užívateľov. Denne sa dozvedáme o prípadoch, kedy bola nejaká stránka (alebo dokonca inštitúcia) „prelomená“, boli ukradnuté dáta, osobné informácie, fotky, hocičo, čo by ste ako administrátor nechceli nikdy vypustiť do sveta. Pokiaľ sa máme baviť v rovine „môj web, môj dom“ tak samozrejme ide len o vaše dáta a informácie, čo ale ak máte stránku ktorú navštevujú desiatky, stovky, ba i tisícky ľudí a vy máte ich dáta udržať v bezpečí, únik takýchto informácii môže znamenať nielen únik dát užívateľov, ale aj pohromu na vašu hlavu, vy ste predsa ten čo má ich dáta a informácie ktoré vám poskytne chrániť, či nie?
Veľkú časť webov ktoré dnes vídame na internete robia bohužiaľ len deti za pomoci WYSIWYG editorov, zwarezených Photoshopov a kníh „Naučme se PHP snadno a rychle“, veľa pseudo-programátorov si ani neuvedomuje že nejaká bezpečnosť vôbec neexistuje. Vysloviť vetu: „daj idiotovi zručnosť a ukáže ti pohromu“ by bolo viac než vhodné. Tým samozrejme nechcem povedať že všetci programátori webov kašlú na bezpečnosť, ale keď sa bohužiaľ stretávame s prípadmi keď spoločnosť ktorá zinkasuje ťažké prachy za vytvorenie webu, a pritom je jej web deravý jak groš, tak to je ozaj na zaplakanie. Myslíte si, že napríklad inštitúcie ktoré sa zaoberajú bezpečnosťou sú „za vodou“? Mýlite sa, Kasperskemu siedmeho februára uniklo všetko čo sa len zobrať dalo, vrátane produktových kľúčov.
Bankové inštitúcie? Taktiež ste na omyle, na synopsi blogu nájdete dokonalý článok o tom aké audity sa na Slovensku robia pred vypustením aplikácie na web (prakticky asi žiadne). Samozrejme pri bankách sa nebavíme len o nejakých menách, heslách alebo fotkách, bavíme sa doslova v niektorých prípadoch o celoživotné úspory. Štátne inštitúcie? Žiadny problém, ani na Slovensku. Sociálne siete ako AZet.sk alebo BoooM.sk. Na margo BoooMu, osobne nepochopím ako si nejaký prevádzkovateľ vypýta peniaze za niečo, čo sa dá robiť zdarma a lepšie, keby sme žili v stredoveku, keď žiadny spôsob komunikácie nebol bez toho aby ste odkráčali niekoľko dĺžok jednotiek k tomu, s kým sa potrebujete spojiť, tak to pochopím, ale ako ľudia naivne žerú každú blbosť a ešte si za to aj platia, nechápem, ak môžete vysvetlite mi to niekto, ďakujem. Späť k sociálnym sieťam, AZet je už na poli bezpečnosti vítaná firma, koľko albumov sa pokradlo, koľko mailov sa dostalo z ich databázy von (možno aj váš, nechodí vám viacej spamu?) sa hádam ani nedá spočítať. Myslíte že u Googlu ste v bezpečí? Bohužiaľ nie (1, 2). Ste na MySpace? Bez problémov, je možné že si vás práve niekto cez ThePirateBay sťahuje. Nakupujete cez PayPal? Oh, problém. Flash? YouTube?
Spoločnosti, majitelia a administrátori samotných webov sa nám dennodenne zaväzujú chrániť naše dáta, je to ale skutočne tak? Ako ste na tom vy? Veríte každej „stránke s dobrým dizajnom“ či ste ostražití ? Dávate si pozor pri nákupoch? Kontrolujete certifikáty? Ako programátori webov, vnímate aj bezpečnosť svojich webových aplikácii? Prosím vyjadrite sa...
Bezpečnosť na internete...
Re: Bezpečnosť na internete...
Hm, AD certifikáty, celkom "veselé" bolo sledovať, keď borci len nedávno zverejnili spôsob, ako pomocou hack-u MD5 algoritmu (hašovacia funkcia používaná pri dig. podpisoch - a teda aj certifikátoch) je možné vytvoriť komplente nový certifikát, ktorý je uznaný akýmkoľvek prehliadačom. Stačilo teda potom iba podsunúť nejakú podarenú phising stránku s falošným certifikátom a bordel bol dokonalý.
Nič také sa síce nestalo, pod pokrievkou sa to držalo až do zverejnenia na konferencii (nevedeli o tom ani bezpečnostné firmy týmto sa živiace) a ani potom sa nič podstatné pre útok na verejnosť nedostalo, no zarážajúce na tom bolo to, že aj keď sa o "narodeninovom" útoku na MD5 vedelo už dlhé roky, stále sa používal pri certifikátoch. Vyplynulo nakoniec z toho to, že asi cca 14% všetkých používaných certifikátov by potenciálne mohlo byť nebezpečných (alebo ináč - useless). Až to donútilo MD5 zanechať a prejsť na iné, bezpečné (alebo radšej - bezpečnejšie).
...čiže ako väčšinou - veci sa pohnú, až keď je problém...
Nič také sa síce nestalo, pod pokrievkou sa to držalo až do zverejnenia na konferencii (nevedeli o tom ani bezpečnostné firmy týmto sa živiace) a ani potom sa nič podstatné pre útok na verejnosť nedostalo, no zarážajúce na tom bolo to, že aj keď sa o "narodeninovom" útoku na MD5 vedelo už dlhé roky, stále sa používal pri certifikátoch. Vyplynulo nakoniec z toho to, že asi cca 14% všetkých používaných certifikátov by potenciálne mohlo byť nebezpečných (alebo ináč - useless). Až to donútilo MD5 zanechať a prejsť na iné, bezpečné (alebo radšej - bezpečnejšie).
...čiže ako väčšinou - veci sa pohnú, až keď je problém...
Re: Bezpečnosť na internete...
Ano Gudas, počul som, avšak treba brať do úvahy aj tú realizáciu chyby, že na vytvorenie takéhoto certifikátu potrebuješ obrovsky výpočtový výkon (obrovský s veľkým O)
.
Re: Bezpečnosť na internete...
(PlayStation 3)The most computationally intensive part of our method required about 3 days of work with over 200 game consoles
-
- Moderátor
- Príspevky: 15054
- Dátum registrácie: Ut 26. Feb, 2008, 14:00
- Bydlisko: Bratislava/Štúrovo
Re: Bezpečnosť na internete...
Ved sa necuduj, tych 200 kusov PS3 dava dokopy iba 50GB pamate, a to este neratam kolko z tych 256MB zobral beziaci linux... Urcite to kazdu chvilu museli synchronizovat s nejakym centralnym servrom.