Стосовно вісвітлення теми веб безпеки на вашій конференціі я висловився в своєму пості.

Там был отдельный доклад целиком посвященный проблеме безопасности веб-приложений, рассказывал Юрий Козлов.

Всього було дві доповіді на тему безпеки, як я вже писав: про безпеку веб додатків та про капчі. Про що я дізнався з вашого прес-релізу з коротким описом доповідей. І з опису доповіді Юрія Козлова я зрозумів, що у виступі він торкнеться малої кількості питань веб безпеки (тому що і галузь ця доволі об’ємна, і обмежений час виступу). Тому висвітлити проблему з різних сторін зовсім не завадило.

До речі, мою впевненість в тому, що тема Юрієм буде не розкрита, нещодавно підтвердила людина, яка відвідала вашу конференцію, і зокрема доповідь про безпеку веб додатків.

Делать два доклада - мне кажется преувеличением важности этой проблемы.

Робити одну чи більше доповідей (а в даному випадку їх було дві, які розкидали по різним розділам конференції) - це справа організаторів. Але твоя заява про перебільшення важливості проблеми - є доволі несерйозною (іншої я й не очікував, враховуючи склад доповідей на конференції). В світі ця проблема є недооціненою, а в Україні й Уанеті - тим паче. Ситуація з безпекою в Уанеті мені добре відома з власного досвіду: і відносна кількість дірявих сайтів вище ніж в багатьох інших сегментах Мережі, і хакерська активність щороку зростає високими темпами, і кількість заражених вірусами сайтів дуже висока (за даними різних компаній Україна в останні роки входить в п’ятірку “лідируючих” країн). Про що я регулярно пишу в себе на сайті.

Тому ігнорування проблеми безпеки веб сайтів - це звичайна ситуація в Україні. І ваша конференція наочно продемонструвала відношення в Україні до теми webappsec. Більше двох років (після запуску свого проекту) я активно працюю над зміною даної ситуації, і вона змінюється доволі повільно (але зрушення є). В осному в Україні зустрічаю лише апатію, ігнорування й несерйозне відношення - при тому, що в інших країнах я зустрічаю набагато більше серйозного ставлення і розуміння важливості даної проблеми.

Как бы мы ни рассматривали ее под микроскопом - сама разработка всегда будет на порядок интересней безопасности. =(

Ясна річ, що розробка цікавіша. Знаю це, як веб девелопер (з 1999). Безпека веб додатку - є лише однією складовою його розробки, але важливою складовою.

Діряві веб додакти - це біч Інтернету. І вони створють ризики як для власників сайтів, так і для користувачів й відвідувачів сайтів. Й чим раніше власники сайтів та веб розробники це зрозуміють, тим раніше ситуація зміниться на краще.

Вашего письма я (ответственный за подбор докладов) к сожалению не получал, если можно, пошлите его еще раз.

Я вислав свій лист з пропозицією про доповідь та про дірку на uaweb.in.ua 21.10.2007 на 4 емайли (на profyclub.ru), що були вказані на вашому сайті (в тому числі й на твій). І те, що жоден з вас чотирьох не отримав його (або проігнорував) - це неповага до мене і проблема ваших поштових фільтрів.

Необхідності пересилати листа особливої немає. Пропозиція про доповідь вже не актуальна, бо конференція в 2008 році вже пройшла. А про дану XSS дірку я напишу в новинах (як іще про іншу XSS, яку я знайшов додатково), так що слідкуй за новинами і дізнаєшся про уразливості на uaweb.in.ua.

Что же касается XSS уязвимости - то я лично ее, как веб-разработчик, не склонен воспринимать всерьез.

Це поширена помилкова позиція в Україні - часто з нею стикаюся. Зі своєї сторони я людям повідомляю про уразливості на їх сайтах, але лише вони повинні вирішити чи виправляти їх, чи залишити дірки на сайті. І я не поважаю людей, що окрім ігнорування та не виправлення дірок із-за нерозуміння (що є поширеною ситуацією), навіть знаючи про дірки, цілком свідомо їх ігнорують.

Чисто не там где убирают, а там где не сорят.

Щоб було чисто - не роби дірок, щоб не засмічувати ними програму. А враховуючи, що розробники завжди роблять дірки, то знаходь дірки й виправляй їх. Стосовно ж того, що чисто буде, якщо не будуть хакати сайти, то можеш не виправляти дірки наївно думаючи, що тебе це не торкнеться. Але це буде лише тимчасово, і коли хтось захоче атакувати твій сайт, він викорастає дірки, що не були виправлені.

З приводу твого коментаря.

Ти типовий white-hat хакер, але не тямиш у методах захисту від атак на Layer7.

Я вважаю, що і у веб уразливостях, і в методах атаки і захисту від атак я розуміюся добре. І в цьому кожен може впевнитися уважно читаючи мій сайт, де я щодня публікую інформацію на тему веб безпеки і ділюся власним досвідом. І тематику IDS/IPS і регулярно освітлюю - як про дірки і методи обходу подібних систем (на прикладах сайтів, що їх використовують), так і про свої власні дослідження методів обходу WAF .

Дані методи я постійно розробляю і використовую для обходу ламерських WAF (в даному випадку IPS). Нагадуючи тим самим, що IPS - це недостатньо ефективний метод і дуже несерйозно сподіватися лише на IPS у захисті веб сайтів. Бо від багатьох типів атак WAF взагалі не захистить, а від інших може захистити неефективно (бо фільтри можна обійти). Тому WAF я не поважаю (лише IPS, до IDS я ставлюся прихильно).

Я наприклад будую периметр інформаційної безпеки в одному з найбільших інет-порталів - і vulnerability assessment - це лише незначна частина тих заходів які потрібно вживати для забезпечення ІТ- безпеки.

Аудит безпеки - це єдине надійне рішення проблем безпеки веб сайтів. Якщо для локальних машин firewall - річ потрібна, поширена і невелика користь від нього є (лише невелика і варто не перебільшувати його користь), то WAF позиціонують як панацею (хоча користь від них також обмежена). Що тільки створює оманливе відчуття захищенності й при цьому зменшує її рівень (із-за відмови чи економії на VA). Тому я не поважаю ні WAF, ні його виробників і тих хто їх використовує (ховаючись за ними і ігноруючи VA). А те, що в тебе Vulnerability Assessment є лише незначною частиною заходів безпеки, то і рівень безпеки твого порталу відповідний .

А розповідати про них на конференціях - це те саме, що розповідати про СПАМ-фільтри

Я розповідаю на конференціях про різні цікаві речі на тему веб безпеки, зокрема наводжу дані власних досліджень. В тому числі згадую і про спам - про використання емайла як одного зі шляхів проведення атак. Зазначу, що тема спам-фільтрів і заходів захисту від спаму теж є цікавою, і її також можна піднімати на конференціях (розглядаючи її комплексно). Мої доповіді на конференціях в жовтні та в лютому цілком засвідчили, що людям цікава дана інформація.

Компанії Укр.нет звісно варто більше приділяти уваги безпеці, як я вже неодноразово наголошував. Як і всім іншим компаніям в Уанеті та в Інтернеті.

Попить пива не проблема.

Я не вживаю алкоголю. Але можна вжити мініралки (як я це за звичай роблю в таких випадках).

тому що в УАнеті одиниці, які знають про існування проблем в безпеці вебу

З цієї причини я в основному й обговорюю проблеми безпеки вебу з західними секюріті фахівцями. А також виступаю на конференціях та виступаю на телебаченні, щоб розповідати людям про існуючі проблеми безпеки в Інтернеті. І власне мій проект для того й призначений, щоб розповідати людям про сучасний стан веб безпеки.

Попить пива не проблема.

Є пропозиція попити пива з чимось міцним та власником цього блогу - і обговорити сучасні напрямки та тенденції в розвитку атак на web-applications, тому що в УАнеті одиниці, які знають про існування проблем в безпеці вебу )

ІМХО на блозі це не обговориш

Вашего письма я (ответственный за подбор докладов) к сожалению не получал, если можно, пошлите его еще раз.

Что же касается XSS уязвимости - то я лично ее, как веб-разработчик, не склонен воспринимать всерьез. Чисто не там где убирают, а там где не сорят. Это и является настоящей проблемой ЮА НЕТа, и хакерства в том числе. ИМХО.