Чи є безпечним Уанет?
22:57 27.03.2008Відповідь на питання поставлене у заголовку доволі банальна: ні, Уанет не є безпечним. Це добре видно по моїм новинам і знайденим мною уразливостям, про які я пишу в себе на сайті. Більш цікаве інше питання - чи зміниться ситуація з безпекою найближчим часом? В цьому в мене є деякі сумніви і для цього наведу вам наочний приклад.
Сьогодні розпочалася (і буде проводитися 27 та 28 березня) конференція UA WEB 2008 - перша українська конференція для веб розробників. І я бажаю конференції, її організаторам та всім доповідачам успіху. В даному випадку розглянемо зазначену конференцію в контексті безпеки.
Чи піднімаються на конференції питання веб безпеки? Майже зовсім не піднімаються. І це звична ситуація, я вже давно звертаю увагу, що всі Інтернет-орієнтовані конференції в Україні зовсім не приділяють увагу безпеці. В даному випадку ситуація подібна - тема безпеки не винесена як окремий напрямок і слова “безпека” ви в назвах доповідей не побачите .
Серед шести категорій доповідей дві доповіді, які стосуються безпеки, були віднесені до категорій “Серверная часть, базы данных, системы управления контентом” та “Тестирование”. Але тестування сайта та аудит безпеки сайта - це принципово різні речі, а категорія “Серверна частина” також лише опосередковано пов’язана з безпекою. І тому безпека потребує окремої категорії і детального розгляду. Всього пов’язаними з безпекою будуть дві доповіді: “Тестирование Уязвимости Вебсайтов и Web-Приложений” та “Теория и практика CAPTCHA-защиты интерфейсов”. Але дані доповіді лише частково (лише по деяким напрямкам) описують сучасні проблеми з безпекою в Інтернеті, що видно по їх тезисам. Тому в цілому сучасний стан веб безпеки не буде розглянутий.
Зі своєї сторони я ще в минулому році написав організаторам конференції і запронував свою тему для виступу - щоб розповісти про сучасний стан безпеки в Уанеті та Інтернеті. Але відповіді не отримав. Зовсім їм не цікава дана тема (що добре видно по фінальному розкладу конференції). Більш того сам сайт конференції уразливий (що є звичним явищем для сайтів конференцій, як можна побачити з моїх новин). На сайті має місце Persistent XSS уразливість. І я ще в минулому році повідомив про це адмінам. Але жодної відповіді не отримав і дірка по сьогодні так і не була виправлена. Так що тема безпеки та безпека власного сайта організаторів конференції зовсім не цікавить.
Виходячи з вищесказаного, ще раз повторю риторичне запитання: чи зміниться ситуація з безпекою в Уанеті найближчим часом? З подібним підходом, як у випадку конференції UA WEB, наврядчи щось зміниться на краще. Але незвачаючи на апатію в Уанеті до питань безпеки, зі своєї сторони я щодня працюю для покращення безпеки в Мережі. Тому зміни на краще будуть обов’язково, лише строки цього процесу напряму залежать від громадськості.