Par labo praksi

GT raksta:

Arī IT drošības profesionāļiem gadās aizmirst par labo praksi, ja tā jāpielieto pašiem, nevis jāmāca citiem. Te ir attēls no zone-h.org šorīt. Es nevaru komentēt kāpēc ir atliecies viņu saits, taču kļūdas gadījumā iepazīstināt plašu publiku ar izmantoto DBPS un DB servera iekšējā tīkla adresi viennozīmīgi ir sliktais tonis. Kas par to šaubās, lai izlasa, piemēram, http://www.owasp.org/documentation/topten/a7.html.

Varētu jau nepievērst uzmanību, bet konkrētais saits zināmā mērā ir daļa no PR kompānijai Domina Security, kas sevi pozicionē kā konsultantu IT drošības jautājumos http://www.dominasecurity.com/rus/company.php.

Vēlos uzsvērt, ka mana spama mērķis nav “noriet”, kādu konkrētu uzņēmumu, bet gan atgādināt pods.lv publikai, ka labo praksi tieši tāpēc sauc par praksi, ka tai nevajadzētu palikt tikai “uz papīra”.

21 thoughts on “Par labo praksi

  1. slicer

    IMHO, tas nebūt nav sliktais tonis. SQL serveris, iespējams, sēž aiz proxy kā tam arī pateisībā vajadzētu būt un tam no ārējās IP nav nekādas jēgas un, patiesībā arī vajadzības.
    Ļoti normāla prakse. Un, ja DB serveris ir nosmacis, tad reālā IP jau viņu neglābs no komas!!! =)

    Atbildēt
  2. noisex

    nezinu gan coolynx kur tu tadas stulbibas esi salasijies, tachu DB ieksh DMZ, vai dest.ip over NAT vai Port FWD ir lielako IT uznjemumu prakse, imho tas <b>tieshi ir pareizi</b> 🙂 …turet kaut ko uz areja servera ir nedroshi.

    Atbildēt
  3. Kaklz

    ibio, runa nav par to, vai iekšējā, vai kāda adrese, bet par to, ka nav labi rādīt visai pasaulei to, kur un uz kādas IP tev atrodas DB serveris un kāpēc viņš patiesībā tev ir nosprādzis. Tieši tas pats arī attiecas uz citiem PHP un pārējo servera puses programmēšanas valodu izdotajām miršanas pazīmēm. PHP gadījumā production environmentā viennozīmīgi ir jāizslēdz display_errors. Par to jau ir runa, nevis par mistiskām IP adrešu izmantošanām.

    Atbildēt
  4. slicer

    2 Kaklz. Šādu adresi var rādīt visai pasaulei droši, jo tu no ārpuses tāpat neko nevarēsi izdarīt. DB serveris ir aiz mūra, kam vaļā, droši vien (tā tam vajadzētu būt) ir tikai 80, 21, 22 un augšējie porti. Parādi man, kā tu varēsi pieslēgties pie servera 10.0.201, ja tā ir iekšējā IP (nevis mistiska kā tu saki)!? =)
    IP adreses hostname vietā bieži vien izmanto tādēļ, ka hostnames PHP neresolvē (IMHO atkarīgs no administrēšanas).

    Atbildēt
  5. Kaklz

    slicer, atliek man tikt klāt vienam no tava tīkla kompjiem un es uzreiz zinu, pie kādas adreses man jālien, lai tiktu pie datubāzes. Jebkāda informācija, kas neattiecas uz lapas apmeklētāju, viņam NAV JĀREDZ

    Atbildēt
  6. slicer

    Kaklz, jā zini, kur jālien, bet vai tu vari ielīst? Ok, salauzt var visu, bet ne visi to var izdarīt un personas, kas var tikt cauri tādai sistēmai un nokļūt līdz serverim, parasti nodarbojas ar citām, daudz svarīgākām lietām.
    Par to, ka nav jāredz, piekrītu. Tā jau ir saita izstrādes vaina.

    Atbildēt
  7. napalmEye

    Slicer: Droši, nedroši – tev laikam tomēr nepieleca. Ja tev sēžot uz poda pēkšņi zvana telefons, tu palūdz kādu atbildēt, ka d*rs vai arī esi aizņemts? 😉

    Atbildēt
  8. slicer

    =)
    Nevajag tik sāpīgi uztvert šādus saitu paziņojumus. Tas nekas, ka pasākums pieder drošības kompānijai. Visur ir līkas rokas. Unix arī skaitās viena no drošākajām sistēmām un vinalga tajā ir caurumi. Tā arī šeit. Nu zēni biki sakodēja greizi. Un kas par to?

    Atbildēt
  9. sas

    offtopic: kas jauns lattelekom maajas/pilseetas dsl – joprojaam pil, gljuko un velkas vai arii ir lietas uzlabojushaas. mans vasja provaideris gljuko biezaak nekaa straadaa ;(

    Atbildēt
  10. Mr.Venom

    nu, portabilitātes dēļ jau vienmēr var lietot localhost symlinkošanu
    jautājums – ar mysql atjaunošanu nāca lietotājs root@build – kas iraid tas build?

    Atbildēt
  11. slicer

    2 NeoX.
    Tur jau tā lieta, ka nekas nav. Daži "hakeri" domā, ka ja zin IP, tad visu var uzhakerēt…
    Citiem akal nepatīk, ka tādas lielas drošības kompānijas kā šī atļaujas kļūdas gadījumā visiem parādīt IEKŠĒJO IP. Tjip "Ārprāts. Kā tā drīkst!?" Paši tai pat laikā adminē citu veidotus blogus un ar savām līkajām ķepām nemāk neko uztaisīt no nulles.
    Eh, ka pateicu visu, ko domāju. Labi palika… =)

    Atbildēt
  12. NeoX

    2 slicer:
    Nu labi, taadaa zinjaa es piekriitu. Bet tikai nedomaaju ka TAADA notikuma deelj bija veerts rakstu rakstiit! 🙂 No otras puses vareeja jau tie admini uzlikt kaut kaadu error-handling etc.

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *