|
Двузвенка - как прячете пароли?
|
||
|---|---|---|
Участник
Откуда: Yo.! из "Сравнения субд"
Сообщения: 685 |
||
| 17.04.2019, 13:39 |
|
|
|
|
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
вадядаст то какие виды форм, поля в них есть. не даст сами данные, но даст структуру, кто и что может делать кучу инфы для анализа и возможных действий. ну посмотрел я в документации какие поля в SAP или OEBS. дальше то что? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 13:39 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
novexelfЯ так понял, что для каждого нового персонажа нужно тыкать галочки. Если будут созданы роли, то это ни чем не отличается от создания ролей на другом уровне. Да, для каждой роли нужно тыкать. И юзеров к ролям привязывать тоже надо. Но только я не пойму одного - а в чём здесь проблема? Типа работать не хочу? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 13:40 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
H5N1дай угадаю Не могу тебе в этом отказать. Покажи свою глупость. Посмеёмся. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 13:41 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
Очень лысыйК ним клиенты напрямую по ip собачатся. И ничего, годами работало, никто не ломал. Вот так и надо в рекламе писать - у нас годами двери открыты, и ничо, пока не всё своровали, ещё что-то осталось! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 13:42 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
maytonВобщем накидайте советов как обезопасить локальное рабочее место от хакеров. Делать трёхзвенку через веб. И всё. И пусть хоть вирусы на клиентах пишут (аналогично реальности корпоративных веб-серверов). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 13:43 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
H5N1ну посмотрел я в документации какие поля в SAP или OEBS. дальше то что? Дальше все видят - смотрел, но ничего не понял. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 13:44 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
skyANAmaytonпропущено... Я выше писал про подготовку персонала. Обычно безопасность наращивают одновременно на всех уровнях. Безполезно обязать всех вводить 30-символьные пароли и думать что решены все вопросы. Практика показывает что может стать еще хуже. Пароль приклееный стикером на монитор - вот ответка. Нанимается пара безопасников, одному ставиться задача получить доступ снаружи, второму изнутри. Через пару месяцев они делают доклад о том, как они успешно поимели компанию и в хвост и в гриву, и что надо сделать, чтобы закрыть все дыры. И собственно этим и занимаются. А разработчики, рассуждающие о том, где хранить пароли, с этого момента обязываются весь новый функционал проводить через security review и все найденные уязвимости молча править. Опасный тест. Я-бы сказал.. на грани закона. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 13:44 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
alex55555maytonВобщем накидайте советов как обезопасить локальное рабочее место от хакеров. Делать трёхзвенку через веб. И всё. И пусть хоть вирусы на клиентах пишут (аналогично реальности корпоративных веб-серверов). Да... но трехзвенка это не про безопасность. Это - про разделение ролей. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 13:47 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
H5N1вадядаст то какие виды форм, поля в них есть. не даст сами данные, но даст структуру, кто и что может делать кучу инфы для анализа и возможных действий. ну посмотрел я в документации какие поля в SAP или OEBS. дальше то что? тебе может и не скажут ничего, но кому-то и дадут информацию для дальнейших действий ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 13:52 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
maytonskyANAпропущено... Нанимается пара безопасников, одному ставиться задача получить доступ снаружи, второму изнутри. Через пару месяцев они делают доклад о том, как они успешно поимели компанию и в хвост и в гриву, и что надо сделать, чтобы закрыть все дыры. И собственно этим и занимаются. А разработчики, рассуждающие о том, где хранить пароли, с этого момента обязываются весь новый функционал проводить через security review и все найденные уязвимости молча править. Опасный тест. Я-бы сказал.. на грани закона. Какого закона, если всё по инициативе руководства? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 13:53 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
skyANAвадяпропущено... не получит, но вскрытие exe может и дать доступ Человек, что устроился в компанию и способный вскрыть exe и получить доступ к каким-то там формам, вряд-ли будет такой хернёй страдать. Скорее он просканирует на уязвимость внутреннюю инфраструктуру, заимеет админские права, заразит систему и стрясёт денег. С админскими правами ему и формы заодно будут доступны, правда на фиг не нужны. То же самое и в случае с трёхзвенкой. Только атака будет снаружи, а не изнутри. ситуации резные , в каких-то случаях может быть полезна всякая инфа для влома, заражения ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 13:54 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
вадяskyANAпропущено... Человек, что устроился в компанию и способный вскрыть exe и получить доступ к каким-то там формам, вряд-ли будет такой хернёй страдать. Скорее он просканирует на уязвимость внутреннюю инфраструктуру, заимеет админские права, заразит систему и стрясёт денег. С админскими правами ему и формы заодно будут доступны, правда на фиг не нужны. То же самое и в случае с трёхзвенкой. Только атака будет снаружи, а не изнутри. ситуации резные , в каких-то случаях может быть полезна всякая инфа для влома, заражения Разные? Приведи парочку из жизни. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 13:55 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
alex55555maytonВобщем накидайте советов как обезопасить локальное рабочее место от хакеров. Делать трёхзвенку через веб Браузер посылает серверу приложений введенные пользователем данные. Сервер приложений формирует SQL-запрос, обращается к БД, получает ответ, формирует страницу и отдает ее браузеру. Разработчик трехзвенки отлично знал, что в двухзвенке пароли слабое место, но не знал, что такое SQL-инъекция. А строку коннекта хранил в браузерных куках. Любая система имеет слабые места. Нет серебряной пули ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 13:55 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
skyANAmaytonпропущено... Опасный тест. Я-бы сказал.. на грани закона. Какого закона, если всё по инициативе руководства? Ну.. может быть вы и правы. Один IBM-щик рассказывал. В одном банке заказали penetration test самих себя. Защита выдержала. Файрволы ничего не пропустили. Но часть внешних ресурсов (веб) упали в коматоз. И еще их сутки выводили из этого состояния. Понесли убытки. После этого сказали - нах такие пенетрейшены... Будем по старинке. Код смотреть. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 13:58 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
alex55555maytonВобщем накидайте советов как обезопасить локальное рабочее место от хакеров. Делать трёхзвенку через веб. И всё. И пусть хоть вирусы на клиентах пишут (аналогично реальности корпоративных веб-серверов). Злоумышленник через XSS уводит куки босса, от его имени шлёт девочке в бухгалтерию письмо о том, что надо срочно перевести денег на счёт такого-то контрагента. И не нужно ему никакой базы и данных оттуда. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 14:00 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
Zmeelov2Разработчик трехзвенки отлично знал, что в двухзвенке пароли слабое место, но не знал, что такое SQL-инъекция. А строку коннекта хранил в браузерных куках. Любая система имеет слабые места. Нет серебряной пули Ой не надо рассказывать про сто лет назад обсосанные со всех сторон места. Хотя да, если разработчик идиот, то.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 14:01 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
maytonskyANAпропущено... Какого закона, если всё по инициативе руководства? Ну.. может быть вы и правы. Один IBM-щик рассказывал. В одном банке заказали penetration test самих себя. Защита выдержала. Файрволы ничего не пропустили. Но часть внешних ресурсов (веб) упали в коматоз. И еще их сутки выводили из этого состояния. Понесли убытки. После этого сказали - нах такие пенетрейшены... Будем по старинке. Код смотреть. А если бы не по заказу это было сделано и опубликовано? Потеря репутации тупо бы убила бизнес. На этом фоне сутки простоя части внешних ресурсов (веб) - семечки. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 14:02 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
skyANAЗлоумышленник через XSS уводит куки босса Ну если ты такую лажу в вебе пишешь, то да - уволить! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 14:03 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
alex55555skyANAЗлоумышленник через XSS уводит куки босса Ну если ты такую лажу в вебе пишешь, то да - уволить!Какую лажу? Уязвимости появляются их закрывают, они появляются новые. Ты их отслеживаешь? Нет. Ты тупо на форуме про пароли в двузвенке набрасываешь. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 14:05 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
Лажа - это думать: alex55555Делать трёхзвенку через веб. И всё. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 14:07 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
skyANAЛажа - это думать: alex55555Делать трёхзвенку через веб. И всё. Лажа, это думать, что никто кроме тебя ничего не знает. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 14:15 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
maytonОбычно product owner - человек шарящий. А чаще его просто нет. Я вот за двадцать с лишним лет в IT ни одного живьем не видел. maytonВ банках к примеру есть принцип "минимального знания". .... Лишнего не дадут. В банках не работал, может там и так. А очень много где - не так. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 14:17 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
alex55555skyANAЛажа - это думать: пропущено... Лажа, это думать, что никто кроме тебя ничего не знает. А я так и не думаю. Пока исключительно об авторе топика высказывал мнение :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 14:33 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
skyANAРазные? Приведи парочку из жизни.если ты мылишь произошедшими фактами - это твоя проблема. я допускаю все ситуации - и те которые были и те которые можно придумать. как говорится на любую ж с поворотом , найдётся х с крюком. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 14:54 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
skyANAmaytonпропущено... Ну.. может быть вы и правы. Один IBM-щик рассказывал. В одном банке заказали penetration test самих себя. Защита выдержала. Файрволы ничего не пропустили. Но часть внешних ресурсов (веб) упали в коматоз. И еще их сутки выводили из этого состояния. Понесли убытки. После этого сказали - нах такие пенетрейшены... Будем по старинке. Код смотреть. А если бы не по заказу это было сделано и опубликовано? Потеря репутации тупо бы убила бизнес. На этом фоне сутки простоя части внешних ресурсов (веб) - семечки. Сложно сказать. Возможно тихую кражу средств никто-бы не заметил. А банк списал бы на фрод. Он и так списывает. Просто не говорит. А недоступность порталов 24х - это ненужная шумиха. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2019, 15:03 |
|
||
|
|
start [/forum/topic.php?fid=33&msg=39802793&tid=1547157]: |
0ms |
get settings: |
10ms |
get forum list: |
11ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
61ms |
get topic data: |
10ms |
get forum data: |
2ms |
get page messages: |
60ms |
get tp. blocked users: |
1ms |
| others: | 225ms |
| total: | 386ms |
| 0 / 0 |
Извините, этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
... ля, ля, ля ...
