|
|
|
|
|
для: Trianon
(29.12.2007 в 04:13)
| | Теперь ясно | |
|
|
|
|
|
|
|
для: Shorr Kan
(28.12.2007 в 19:20)
| | почему сразу паяльник?
А если не паяльник?
А если просто подождали, пока человек отлить отошел?
И время было на один единственный селект с его терминала?
Вы понятия не имеете какие будут атаки, на какие точки, и какой силы.
И никогда не будете иметь.
Не лично Вы, а любой админ.
И поэтому единственно правильный подход в защите - усиливать всё звенья, а не одно два.
Да и с паяльником, не всегда нарвешься на того кто знает именно рут-пароль. | |
|
|
|
|
|
|
|
для: Thrasher
(28.12.2007 в 10:09)
| | Понятно | |
|
|
|
|
|
|
|
для: Loki
(28.12.2007 в 10:54)
| | Немного неточный пример - толстые стены можно взять методичным соскребыванием. Со скриптами такого не бывает. Передача чего-то не того - бывает. Перехват пакетов - бывает. Это сравнение разных категорий, аналогия совсем не годится. Но суть я понял. Не понял я лишь одного - засунули ему паяльник... так ведь это рут-доступ на сервер... а тут уже всё - в том числе и запись введенного в формы в логи. Хэширование тут как-то в стороне остается. | |
|
|
|
|
|
|
|
для: cheops
(28.12.2007 в 11:56)
| | Тогда понятно | |
|
|
|
|
|
|
|
для: Shorr Kan
(27.12.2007 в 15:14)
| | >каким образом он загрузит php-shell ?
А это может быть не ваш скрипт, а соседний - нет возможности контролировать все скрипты, которые устанавливаются на сайт (по крайней мере такая возможность редко бывает). | |
|
|
|
|
|
|
|
для: Shorr Kan
(28.12.2007 в 02:57)
| | >Где узкие места в этом случае?
В заднице у админа - если туда засунуть паяльник, то пароли от неприступного хостинга будут известны меньше чем через минуту.
Вот вам встречный вопрос для размышления: если в банковских хранилищах такие толстые двери, то зачем там охрана и сигнализация?
Если сможете ответить на него, то и вопрос с хэшами, скорее всего, прояснится. | |
|
|
|
|
|
|
|
для: Shorr Kan
(27.12.2007 в 16:52)
| | чтобы одному хэшу соответствовал один пароль. | |
|
|
|
|
|
|
|
для: Shorr Kan
(28.12.2007 в 05:30)
| | Кстати, вы правы вот в чем. Если ваши скрипты действительно не имеют дыр, то шифрование не нужно. Но такого, как показывает практика, не бывает. Возможно это не ваши, дыры, а хостинга, но уязвимость можно найти в подавляющем большинстве случаев. Т.е. защита скриптов - это как-бы первое кольцо обороны, а хэширование - это второе кольцо, на случай, если первое будет прорвано. Абсолютно неуязвимые скрипты бывают только теоретически, а практически - их пишут люди, а им свойственно ошибаться. Если бы был скажем абсолютно защищенный скрипт авторизации, то все только им бы и пользовались. Но такого нет, поэтому каждый изобретает какие-то свои ноу-хау для защиты и в каждом из них есть слабые места.
Если вы напишите неуязвимый сервис - решиться глобальная проблема, вы сможете его продавать за огромные деньги. Попробуйте... | |
|
|
|
|
|
|
|
для: Unkind
(28.12.2007 в 03:13)
| | Угу | |
|
|
|
|