Нова уразливість на www.uaportal.com
18:16 27.02.200705.12.2006
У жовтні, 01.10.2006, я знайшов Cross-Site Scripting уразливість на проекті http://www.uaportal.com - відомому порталі Уанету. Про що найближчим часом сповіщу адміністрацію проекту.
Раніше я вже писав про інші знайдені уразливості на uaportal.com.
Детальна інформація про уразливість з’явиться пізніше.
27.02.2007
XSS:
Дана уразливість досі не виправлена.
П'ятниця, 22:51 16.01.2009
Все сайты более или менее уязвимы. Одни люди хотят дать что-нибудь полезное для других людей (я имею ввиду такие порталы, о которых идет речь выше), а другие, не умея что-либо дать - отбирают все “что плохо лежит” у человечества. И при этом, ктати. думают, что они слишком умные. Ум не в том, чтобы навредить - это. по моему мнению признак недоразвитости. Ум в том, чтобы дать другим людям больше, чем считаешь возможным.
С уважением,
Ирина
www.personal-trening.com
Понеділок, 23:55 19.01.2009
Ира. Уязвимости встречаются практически на всех сайтах. Но есть владельцы сайтов которые следят за безопасностью, а есть те которые этого не делают. Как это имеет место в случае UAportal, о котором я многократно писал у себя в новостях, и многократно сообщал его админам об уязвимостях, и они всегда игнорировали мои сообщения и не исправляли уязвимости.
В данном случае имеет место хроническое игнорирование проблем с безопасностью. И если некоторые другие порталы, уязвимости на которых я находил и сообщал их админам, исправляли дыры и старались в дальнейшем больше следить за безопасностью, то упомянутый в новости UAportal настойчиво этого не делал и не собирается. И хотеть что-то дать другим людям недостаточно, нужно ещё и не подвергать угрозам ни свой сайт, ни его пользователей и посетителей. А при наличии дыр на сайте и нежелании их исправлять, как в случае UAportal, все они подвержены угрозам.
Справедливое утверждение. Но вы, Ира, увлеклись философствованием. Одними призывами ненавредить ничего не добьёшся, нужно делать практические вещи. Например, находить уязвимости на сайтах и сообщать их владельцам - чем я активно занимаюсь уже третий год.
Те кто занимаются криминалом, они не отреагируют на призывы, и будут дальше заниматься деструктивом в Интернете. И только в случае серьёзного подхода админов сайтов по устранению уязвимостей на них (а не преступной халатности, как в случае ЮАпортала), можно изменить ситуацию к лучшему. Стараясь дать людям большее, нужно при этом не давать им вирусов и не подвергать другим угрозам при посещении веб сайтов.
Вівторок, 10:23 20.01.2009
Я согласна с вами. Но так не хочется тратить время на защиту от вредителей, а делать что-нибудь полезное. Поэтому и хочется надеятся, что программная защита окажется “на высоте”.
И большое спасибо вам за ваш нелегкий труд, если вы уж взяли на себя такую миссию.
Только вот что неприятно. Как и в любой защите - чем больше защищаешься, тем более изощренными становятся атаки. И тем профессиональнее (а значит дороже) становится защита. А это опять звучит как вызов для взломщиков… И так по кругу. Где же выход, по-вашему?
С уважением,
Ирина
Четвер, 23:59 22.01.2009
Ирина
Естественно, работа над сайтом должна быть основной деятельностью, а не постоянное латание дыр в ПО сайта. Но чтобы этого достичь, нужно приложить усилия.
Для обеспечения безопасности своего сайта нужно потратить или своё время (и самому найти и исправить все уязвимости), или потратить деньги и нанять профессионалов для этой работы. А в 99%, на данный момент, владельцы сайтов на безопасности экономят - не вкладывая ни времени, ни средств в неё.
Потому и ситуация такая в Сети сложилась (и очень медленно изменяется). Т.к. по прежнему все экономят на безопасности и не уделяют ей внимания. А если этого не делать, то сами собою веб приложения безопасными не станут. Как известно, без труда не выловишь и рыбки из пруда . Так что должен измениться подход владельцев сайтов и веб разработчиков к вопросам безопасности, чтобы уменьшить ежедневный поток атак на веб сайты и пользователей.
Нужно, чтобы и веб девелоперы и дизайн студии следили за безопасностью своих разработок. Чего они делать пока не спешат. А не думали только о том как урвать денег побольше, как это имеет место сейчас. Как видно из моих новостей, я регулярно нахожу дыры в различных веб приложениях, а также на сайтах веб девелоперов и дизайн студий. И пока не видно, что они начали задумываться об уделении внимания безопасности.
Это извечное противостояние брони и снаряда. В данном случае нужно лишь в защиту вкладывать больше, чем вкладывают в атаку, и тем самым быть на шаг впереди. А выход здесь в изменении человеческих подходов - нужно чтобы люди перестали заниматься плохими делами. А т.к. это является сутью природы человека и за всё время своего существования люди не смогли этого сделать, то остаётся лишь надеятся на защиту.