LINUX.ORG.RU
ФорумSecurity

Объясните простую вещь про взлом серьезных сайтов

 , ,


0

1

Вот вчера/сегодня взломали сайт армии Литвы, накануне какой-то вирус(!) пожирал сайт Бундестага, два дня назад взломали сайт сухопутных войск США, в этом году также были хэкнуты сайты Кнессета, турецкого правительства, etc.

Напрашивается вопрос: что, нельзя делать сайты максимально простыми, как-то просто html/css + простой и не пробиваемый js? Сейчас ведь можно совершенно отказаться от php и подобных технологий типа asp.net и прочего трешака — и создавать серьезные интерактивно-информационные и удобные для пользователя сайты.

Создается впечатление, что авторов тех сайтов понабирали по объявлениям или как-то так. Ведь подход в армиях мира примерно одинаков: чем проще — тем лучще. Чем меньше частей в механизме, тем менее вероятно, что механизм выйдет из строя по причине поломки последних.


iscsi-target через интернет
SELinux. Не происходит перехода в новый домен.

«простой и не пробиваемый js» - это фантастика, и не научная. А ввобще, сейчас сайты ваяют с применением фраэмворкв. Быстро и не так хлопотно. А как та этот фрэймворк реализован - один св. карриер знает.

anonymous
()
Ответ на: комментарий от reprimand

Что, немножко не следишь за современными возможностями css/svg? Проследуй на awwwards.com за примерами, например.

Просто — необязательно просто как лапти, просто — значит без возможности повлиять извне.

slon
() автор топика
Ответ на: комментарий от slon

Я не удивлюсь, если завтра в новостях напишут,
что киберберкут взломал мой сайт.
Хотя у меня и сайта то нет -)

Vasily22
()

Интересно, а как ты з базой работать будешь? А почта? Капча? И куча все что именно в интересах безопасности клиенту доверить нельзя?

karaien ★★
()
Ответ на: комментарий от slon

Что, немножко не следишь за современными возможностями css/svg?

в твоем случае тебе надо #define «интерактивно»
если это именно то, что ты сказал:

Проследуй на awwwards.com за примерами, например.

то тогда да, всё это возможно

но не нужно

reprimand ★★★★★
()

Ну а ты думал там работают проверенные люди, прошедшие спец. подготовку? Победители мировых олимпиад по криптографии? Нет. Там работают тысяча и один индус/пакистанец и десять - двадцать белых людей, которые раздают им поручения. А реально крутые разработчики, знающие тему, наплевать хотели на правительство, на любое правительство, они выше системы.

n0044h
()

заполнять сайт ты высококлассного верстальщика наймешь?

anonymous
()
Ответ на: комментарий от n0044h

реально крутые разработчики, знающие тему, наплевать хотели на правительство, на любое правительство, они выше системы

с себя пример берешь? не надо под одну гребенку всех

reprimand ★★★★★
()
Ответ на: комментарий от reprimand

Причем тут пример. Госсайты реально делает самое днище, как и почти любые госзаказы. И рашкованы тут совсем не одиноки.

anonymous
()
Ответ на: комментарий от slon

Проследуй на awwwards.com за примерами, например.

Ох ну и говнище же там по ссылкам…

Psych218 ★★★★★
()
Ответ на: комментарий от reprimand

Что Вы, я лишь мелкая сошка, жалкий веб-разработчик мечтающий вырваться из этой кабалы и войти в мир настоящей разработки ПО. Но моё суждение строится на факте: Какой бы системы не была защищенной, сколько бы умов не потратили уймы человекочасов на построение непробиваемой логики, всегда найдется дядя в черной шляпе, который напишет на их сайте: «Здесь был Васян!». Таких дядь не много, я думаю, и делают они это просто ради показательного издевательства над толпой глупых людишек, считающих что у них всё под контролем.

n0044h
()
Ответ на: комментарий от anonymous

Госсайты реально делает самое днище, как и почти любые госзаказы.

не отрицаю, так оно и есть
а пример таки при чём

reprimand ★★★★★
()

как-то просто html/css + простой и не пробиваемый js?

Давай возьмем сайт попроще - например форум. Вместо новостей с картинками и прессрелизов, простые текстовые темы с простыми текстовыми комментариями.

Расскажи как ты это сделаешь на простом и не пробиваемом js, в чем на стороне сервера будешь хранить инфу, как будешь её выводить и разбивать на страницы.

TEX ★★★
()
Ответ на: комментарий от slon

Просто — необязательно просто как лапти, просто — значит без возможности повлиять извне.

То есть для того что бы разместить новость «о покупке новейшего бла-бла-бла» тебе понадобится человек, а то и не один, который напрямую имеет доступ ко всем исходникам сайта а так же к самому веб-серверу что бы задеплоит туда изменения ?

Потрясающе ! И главное секурно и безопасно.

TEX ★★★
()
Ответ на: комментарий от drunkmad

Да вроде бы не мешало. Навставляют туда картинок, да и почему с одной, можно сделать несколько с переходом по кнопочке :)

sT331h0rs3 ★★★★★
()

Столько коментариев, а все мимо. Ломают, возможно, не сам сайт, а бэкэнд (web server, db, etc) или просто тачку через уязвимости в протоколах и то, что на этой тачке крутится, не имеет значения.

+ в подобных отаках целью является не отдельная тачка, а вся сеть и отаке частенько включают соц. инженерию

unt1tled ★★★★
()
Последнее исправление: unt1tled (всего исправлений: 1)
Ответ на: комментарий от unt1tled

отаке частенько включают соц. инженерию

Лорчую адеквата. Как в старом анекдоте, про самую большую проблему любой системы безопасности.

yurikoles ★★★
()
14 сентября 2015 г.
16 октября 2015 г.

Допустим голый хтмл. Сидит мальчик на винде с редактором + фтп клиентом (два в одном). Подцепил вирус, и тот дописывает к разметке уже что-угодно.

level1 ★★
()

Есть аргументы про то, что их ломали через эксплойты в движках а не тырили учётки юзеров через фишинг/вирусы?

ya-betmen ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
iscsi-target через интернет
Security
SELinux. Не происходит перехода в новый домен.