Конференция VBStreets

[skiperski]

Ну вот и разобрались. Консенсус достигнут.

[codemaster]

У меня день назад ломанули сайт.
Сам контент сайта остался нетронутым. Поменяли только одну новость. Для публикации новостей использовался Web Wiz Site News version 3.06. Помогите, плииз, разобраться.

у тебя (или кто ходил с паролем админа ) просто украли "куку"
далее дело техники ...
Процесс достаточно подробно описан в инете.
В MSDN Technet подробно расписан что надо делать для защиты сайта.

Советы данные Выше осталю на совести "советчиков"

P.S. кстати покажи код авторизации не ли там случаем
что то типа SELECT FROM * ..... WHERE Password = & ... & AND User = & ... &

[skiperski]

Советы данные Выше осталю на совести "советчиков"

Вместо вот таких вот фраз с распальцовкой лучше бы дал дельный совет, если есть что сказать, конечно.

[Antonariy]

Мы вообще-то обсуждали защиту приложения, а не пользовательского рабочего места от тех, кто тырит куки. Этот вопрос в компетенции сисадминов, а не прогеров. А в таких условиях единственная защита от куков - не пользоваться ими.

[codemaster]

Советы данные Выше осталю на совести "советчиков"

Вместо вот таких вот фраз с распальцовкой лучше бы дал дельный совет, если есть что сказать, конечно.

есть чудная статья в MSDN в ней доходчиво расжевано что и как делать

http://msdn.microsoft.com/library/defau ... lpMSDN.asp

читаем раздел patterns & practices Security Guidance for Applications Index осбенно подразделы

Input Validation
SQL Injection
Authentication

смотрим на свой код и осознание придет само собой

[skiperski]

Ну вот опять эта распальцовка. Неужели сложно привести прямые линки?

В разделе patterns & practices Security Guidance for Applications Index указанных подразделов я не нашёл (искал по ^F на вхождение подстроки), а бегать по этому спагетти из ссылок, чтобы подтвердить не понятно что, я не хочу. Беглое ознакомление с остальным не внесло никакой ясности по данному конкретному вопросу, т.к. вода-водой. Кроме того, почти всё там описанное относится к ASP.NET.

Чес. слово хочется грязно выругаться с переизподвыподвертом! Потратил пол часа на ознакомление с ненужным мне материалом.

[codemaster]

Кроме того, почти всё там описанное относится к ASP.NET.

Чес. слово хочется грязно выругаться с переизподвыподвертом! Потратил пол часа на ознакомление с ненужным мне материалом.

вообщето на сайте слева есть дерево со списком

см. http://msdn.microsoft.com/library/defau ... CMCh05.asp

знание eng приветствуется

общие приемы статьи применимы даже к PHP
нужно только понять то что прочитал

[skiperski]

вообщето на сайте слева есть дерево со списком

Вообще-то заметил. Только приведённый здесь линк Chapter 5 – Architecture and Design Review for Security несколько отличается от patterns & practices Security Guidance for Applications Index приведённого выше в котором и было посоветованно искать подразделы.

Какое отношение общие рекомендации о повышении безопасности в целом имеют к данному обсуждению конкретного вопроса о безопасности хранения флага авторизации в переменной сессии?

нужно только понять то что прочитал

Вот зачем это сказал? Провокация чистой воды. Ты, ежели чего сказать есть - говори, а нет - проходи мимо.

Получается, пришёл, фыркнул, типа вы все в Г, а я один в белом, и ушёл. Теперь из него клещами вытягивай почему он нас всех облил помоями и где та заветная крупица знаний которой он единолично владеет, а он типа снова весь в белом и на коне.

[codemaster]

Вообще-то заметил. Только приведённый здесь линк несколько отличается от приведённого выше в котором и было посоветованно искать подразделы.

меня инетерсуют статьи в целом

Какое отношение общие рекомендации о повышении безопасности в целом имеют к данному обсуждению конкретного вопроса о безопасности хранения флага авторизации в переменной сессии?.

человеку сломали сайт
причем тут флаг авторизации ???!!!!
вариантов организации сессии вагон -> виртуальный каталог , виртуальный сервер и пр

Получается, пришёл, фыркнул, типа вы все в Г, а я один в белом, и ушёл. Теперь из него клещами вытягивай почему он нас всех облил помоями и где та заветная крупица знаний которой он единолично владеет, а он типа снова весь в белом и на коне.

заветная крупица знаний в статье линк на которую я дал
в ней по пунктам расписано что надо сделать
пересказывать ее я не намерен

[skiperski]

меня инетерсуют статьи в целом

А меня в данном случае конкретная реализация.

человеку сломали сайт
причем тут флаг авторизации ???!!!!

Прочитай самый первый вопрос самого первого сообщения в теме.
И в твоём стиле: Знание русского языка приветствуется

вариантов организации сессии вагон -> виртуальный каталог , виртуальный сервер и пр

И примеры или хотя бы описание их организации есть в приведённых тобой ссылках?

заветная крупица знаний в статье линк на которую я дал
в ней по пунктам расписано что надо сделать
пересказывать ее я не намерен

Глубокие познания в истории и литературе похвальны, но не достойно офис-самурая щеголять ими без нужды. Так, мудрый и благородный муж не станет бахвалиться перед нанимателем тем, что знает поименно всех эльфийских царей.

[bs]

Еще раз перечитывал все, что здесь рассказали...
Еще раз всем большое спасибо! Все советы очень помогли!
Впредь буду уделять больше внимания безопасности.
Еще раз всем спасибо!

[Nicky]

Еще раз перечитывал все, что здесь рассказали...
Еще раз всем большое спасибо! Все советы очень помогли!
Впредь буду уделять больше внимания безопасности.
Еще раз всем спасибо!

[OFFTOP]: Вспоминается цитата из какого-то советского фильма: "Ну что ж, будем работать еще лучше"