Безопасность

Программирование на Active Server Pages и VBScript.
skiperski
Идеолог
Идеолог
Аватара пользователя
 
Сообщения: 1386
Зарегистрирован: 25.06.2002 (Вт) 15:52

Сообщение skiperski » 28.03.2006 (Вт) 17:06

Ну вот и разобрались. Консенсус достигнут. :)

codemaster
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 604
Зарегистрирован: 13.02.2004 (Пт) 13:35

Re: Безопасность

Сообщение codemaster » 29.03.2006 (Ср) 21:41

bs писал(а):У меня день назад ломанули сайт.
Сам контент сайта остался нетронутым. Поменяли только одну новость. Для публикации новостей использовался Web Wiz Site News version 3.06. Помогите, плииз, разобраться.


у тебя (или кто ходил с паролем админа ) просто украли "куку"
далее дело техники ...
Процесс достаточно подробно описан в инете.
В MSDN Technet подробно расписан что надо делать для защиты сайта.

Советы данные Выше осталю на совести "советчиков" :lol:

P.S. кстати покажи код авторизации не ли там случаем
что то типа SELECT FROM * ..... WHERE Password = & ... & AND User = & ... &
//<-
Mit freundlichen Grüßen
//->

skiperski
Идеолог
Идеолог
Аватара пользователя
 
Сообщения: 1386
Зарегистрирован: 25.06.2002 (Вт) 15:52

Re: Безопасность

Сообщение skiperski » 30.03.2006 (Чт) 3:46

codemaster писал(а):Советы данные Выше осталю на совести "советчиков" :lol:

Вместо вот таких вот фраз с распальцовкой лучше бы дал дельный совет, если есть что сказать, конечно.

Antonariy
Повелитель Internet Explorer
Повелитель Internet Explorer
Аватара пользователя
 
Сообщения: 4824
Зарегистрирован: 28.04.2005 (Чт) 14:33
Откуда: Мимо проходил

Сообщение Antonariy » 30.03.2006 (Чт) 9:34

Мы вообще-то обсуждали защиту приложения, а не пользовательского рабочего места от тех, кто тырит куки. Этот вопрос в компетенции сисадминов, а не прогеров. А в таких условиях единственная защита от куков - не пользоваться ими.
Лучший способ понять что-то самому — объяснить это другому.

codemaster
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 604
Зарегистрирован: 13.02.2004 (Пт) 13:35

Re: Безопасность

Сообщение codemaster » 30.03.2006 (Чт) 12:00

skiperski писал(а):
codemaster писал(а):Советы данные Выше осталю на совести "советчиков" :lol:

Вместо вот таких вот фраз с распальцовкой лучше бы дал дельный совет, если есть что сказать, конечно.



есть чудная статья в MSDN в ней доходчиво расжевано что и как делать

http://msdn.microsoft.com/library/defau ... lpMSDN.asp

читаем раздел patterns & practices Security Guidance for Applications Index осбенно подразделы

Input Validation
SQL Injection
Authentication


смотрим на свой код и осознание придет само собой :wink:
//<-
Mit freundlichen Grüßen
//->

skiperski
Идеолог
Идеолог
Аватара пользователя
 
Сообщения: 1386
Зарегистрирован: 25.06.2002 (Вт) 15:52

Сообщение skiperski » 30.03.2006 (Чт) 13:25

Ну вот опять эта распальцовка. Неужели сложно привести прямые линки?

В разделе patterns & practices Security Guidance for Applications Index указанных подразделов я не нашёл (искал по ^F на вхождение подстроки), а бегать по этому спагетти из ссылок, чтобы подтвердить не понятно что, я не хочу. Беглое ознакомление с остальным не внесло никакой ясности по данному конкретному вопросу, т.к. вода-водой. Кроме того, почти всё там описанное относится к ASP.NET.

Чес. слово хочется грязно выругаться с переизподвыподвертом! Потратил пол часа на ознакомление с ненужным мне материалом.

codemaster
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 604
Зарегистрирован: 13.02.2004 (Пт) 13:35

Сообщение codemaster » 30.03.2006 (Чт) 13:51

skiperski писал(а): Кроме того, почти всё там описанное относится к ASP.NET.

Чес. слово хочется грязно выругаться с переизподвыподвертом! Потратил пол часа на ознакомление с ненужным мне материалом.



вообщето на сайте слева есть дерево со списком

см. http://msdn.microsoft.com/library/defau ... CMCh05.asp

знание eng приветствуется :!:

общие приемы статьи применимы даже к PHP :lol:
нужно только понять то что прочитал
//<-
Mit freundlichen Grüßen
//->

skiperski
Идеолог
Идеолог
Аватара пользователя
 
Сообщения: 1386
Зарегистрирован: 25.06.2002 (Вт) 15:52

Сообщение skiperski » 30.03.2006 (Чт) 14:41

codemaster писал(а):вообщето на сайте слева есть дерево со списком

Вообще-то заметил. Только приведённый здесь линк Chapter 5 – Architecture and Design Review for Security несколько отличается от patterns & practices Security Guidance for Applications Index приведённого выше в котором и было посоветованно искать подразделы.

Какое отношение общие рекомендации о повышении безопасности в целом имеют к данному обсуждению конкретного вопроса о безопасности хранения флага авторизации в переменной сессии?

codemaster писал(а):нужно только понять то что прочитал

Вот зачем это сказал? Провокация чистой воды. Ты, ежели чего сказать есть - говори, а нет - проходи мимо.

Получается, пришёл, фыркнул, типа вы все в Г, а я один в белом, и ушёл. Теперь из него клещами вытягивай почему он нас всех облил помоями и где та заветная крупица знаний которой он единолично владеет, а он типа снова весь в белом и на коне.

codemaster
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 604
Зарегистрирован: 13.02.2004 (Пт) 13:35

Сообщение codemaster » 31.03.2006 (Пт) 12:14

skiperski писал(а):Вообще-то заметил. Только приведённый здесь линк несколько отличается от приведённого выше в котором и было посоветованно искать подразделы.


меня инетерсуют статьи в целом

skiperski писал(а):Какое отношение общие рекомендации о повышении безопасности в целом имеют к данному обсуждению конкретного вопроса о безопасности хранения флага авторизации в переменной сессии?.


человеку сломали сайт
причем тут флаг авторизации ???!!!! :lol: :lol:
вариантов организации сессии вагон -> виртуальный каталог , виртуальный сервер и пр

skiperski писал(а):Получается, пришёл, фыркнул, типа вы все в Г, а я один в белом, и ушёл. Теперь из него клещами вытягивай почему он нас всех облил помоями и где та заветная крупица знаний которой он единолично владеет, а он типа снова весь в белом и на коне.


заветная крупица знаний в статье линк на которую я дал
в ней по пунктам расписано что надо сделать
пересказывать ее я не намерен
//<-
Mit freundlichen Grüßen
//->

skiperski
Идеолог
Идеолог
Аватара пользователя
 
Сообщения: 1386
Зарегистрирован: 25.06.2002 (Вт) 15:52

Сообщение skiperski » 31.03.2006 (Пт) 13:56

codemaster писал(а):меня инетерсуют статьи в целом

А меня в данном случае конкретная реализация.

codemaster писал(а):человеку сломали сайт
причем тут флаг авторизации ???!!!! :lol: :lol:

Прочитай самый первый вопрос самого первого сообщения в теме.
И в твоём стиле: Знание русского языка приветствуется :!:

codemaster писал(а):вариантов организации сессии вагон -> виртуальный каталог , виртуальный сервер и пр

И примеры или хотя бы описание их организации есть в приведённых тобой ссылках?

codemaster писал(а):заветная крупица знаний в статье линк на которую я дал
в ней по пунктам расписано что надо сделать
пересказывать ее я не намерен

Глубокие познания в истории и литературе похвальны, но не достойно офис-самурая щеголять ими без нужды. Так, мудрый и благородный муж не станет бахвалиться перед нанимателем тем, что знает поименно всех эльфийских царей.

bs
Продвинутый пользователь
Продвинутый пользователь
 
Сообщения: 115
Зарегистрирован: 31.01.2002 (Чт) 13:47
Откуда: Russia

Сообщение bs » 22.06.2006 (Чт) 12:32

Еще раз перечитывал все, что здесь рассказали...
Еще раз всем большое спасибо! Все советы очень помогли!
Впредь буду уделять больше внимания безопасности.
Еще раз всем спасибо!

Nicky
Постоялец
Постоялец
 
Сообщения: 519
Зарегистрирован: 12.08.2004 (Чт) 12:14

Сообщение Nicky » 12.07.2006 (Ср) 9:35

bs писал(а):Еще раз перечитывал все, что здесь рассказали...
Еще раз всем большое спасибо! Все советы очень помогли!
Впредь буду уделять больше внимания безопасности.
Еще раз всем спасибо!

[OFFTOP]: Вспоминается цитата из какого-то советского фильма: "Ну что ж, будем работать еще лучше"

Пред.

Вернуться в ASP и VBScript

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 28

    TopList