2014 dxdy logo

Научный форум dxdy

Математика, Физика, Computer Science, Machine Learning, LaTeX, Механика и Техника, Химия,
Биология и Медицина, Экономика и Финансовая Математика, Гуманитарные науки




Начать новую тему Ответить на тему На страницу Пред.  1, 2
 
 Re: О разработке веб-приложений
Сообщение03.06.2019, 20:17 


15/11/15
1081
arseniiv в сообщении #1397506 писал(а):
Потому это в первую очередь security through obscurity
Ну, не электронная подпись, а любое стойкое шифрование, например, RSA. Может, вы не прочли, я писал:
gevaraweb в сообщении #1397371 писал(а):
клиент под вин и андроид
Geen в сообщении #1397503 писал(а):
Вам же сказали забыть про PHP
А, вы про фразу
rockclimber в сообщении #1397384 писал(а):
Как говорится, забудьте всё, чему вас учили в php+MySQL и начните заново.
Вот ее я действительно не понял, что имелось в виду ) печалька

 Профиль  
                  
 
 Re: О разработке веб-приложений
Сообщение03.06.2019, 20:39 
Заслуженный участник
Аватара пользователя


01/09/13
4676
gevaraweb в сообщении #1397540 писал(а):
клиент под вин и андроид

А что, в таком клиенте можно спрятать ключ от злоумышленника??...

 Профиль  
                  
 
 Re: О разработке веб-приложений
Сообщение03.06.2019, 20:45 


15/11/15
1081
Geen в сообщении #1397547 писал(а):
А что, в таком клиенте можно спрятать ключ от злоумышленника??...
Дык, другие приложения прячут, значит, можно )

 Профиль  
                  
 
 Re: О разработке веб-приложений
Сообщение03.06.2019, 20:51 
Заслуженный участник


27/04/09
28128
gevaraweb в сообщении #1397548 писал(а):
Дык, другие приложения прячут, значит, можно )
А подробнее? Вы интересовались, что именно они прячут, как оно используется там? И кто, так как не всё одинаково целесообразно взламывать.

 Профиль  
                  
 
 Re: О разработке веб-приложений
Сообщение03.06.2019, 21:06 
Аватара пользователя


31/10/08
1244
gevaraweb
Дык, нормальная практика. Оцените только время необходимое на взлом.

 Профиль  
                  
 
 Re: О разработке веб-приложений
Сообщение03.06.2019, 21:13 


15/11/15
1081
Pavia в сообщении #1397554 писал(а):
Дык, нормальная практика. Оцените только время необходимое на взлом.

Да, мне априори думается, что задача декомилирования exe, чтобы вытащить оттуда алгоритм шифрования - на порядок тяжелее, чем взломать веб-приложение дилетанта )

 Профиль  
                  
 
 Re: О разработке веб-приложений
Сообщение03.06.2019, 21:50 
Аватара пользователя


31/10/08
1244
gevaraweb
gevaraweb в сообщении #1397555 писал(а):
Да, мне априори думается, что задача декомилирования exe, чтобы вытащить оттуда алгоритм шифрования - на порядок тяжелее, чем взломать веб-приложение дилетанта )

Это плохая оценка. Что-бы оценить задачу нужно разбить её на подзадачи и оценить их затраты. И разбивать надо до тех пор пока у вас не останутся элементарные задачи для которых вам точно известны результаты.

Выяснить какой алгоритм используется для шифрования не представляет труда устанавливаешь отладчик устанавливаешь плагин и он тут же тебе покажет, что за алгоритм. Или любой сигнатурный сканер коих пруд пруди в интернете.
Время 5-15 минут.

А что-бы проанализировать протокол нужно поставить хуки. Это дело 1-2 часов.

Время указана для нуба с учётом времени необходимого на изучение.

Ещё 1-2 час на прикрутить фазер для поиска SQL инейкций.
Так что взлом вашей программы ничуть не сложнее чем время потраченное на её написание.

PS. Ах, да совсем забыл мою оценку смело надо умножать на 3 и это будет точное время.

 Профиль  
                  
 
 Re: О разработке веб-приложений
Сообщение03.06.2019, 23:13 


15/11/15
1081
Плохо (

 Профиль  
                  
 
 Re: О разработке веб-приложений
Сообщение03.06.2019, 23:46 
Заслуженный участник


27/04/09
28128
gevaraweb
Потому оставьте иллюзии, что одним ходом можно съесть сразу все фигуры противника. И так же оставьте страхи, что вашу систему сразу же станут ломиться атаковать всеми известными способами (за это aa_dav не очень-то спасибо; он мог бы так сильно и не пугать). Начните с чего-нибудь и на каждом шаге используйте best practices, но не копируйте ничего бездумно, а спрашивайте: что это добавление даёт в нормальной ситуации? что в остальных? — и скорее всего результат всегда будет достаточно защищённым, чтобы если уровень игры станет выше и появится необходимость пригласить под конец какого-то специалиста, он не фейспалмил и не просил миллионы за работу.

Если подойти к вопросу сознательно, оказывается, что недостаточно просто информации, ну и не грех в наши дни захотеть какой-то один способ получить доступ сразу ко всему основному, что известно. Надо всего-то чтобы кто-то посоветовал пособие по прикладной (к софту) криптографии (какие алгоритмы когда использовать, какие подводные камни не забыть и т. п.); я не специалист и мне бы тоже такое пригодилось. Надеюсь, кто-то из заходивших в эту тему знает что-нибудь.

 Профиль  
                  
 
 Re: О разработке веб-приложений
Сообщение04.06.2019, 00:12 
Заслуженный участник


06/07/11
5627
кран.набрать.грамота
gevaraweb в сообщении #1397540 писал(а):
Geen в сообщении #1397503 писал(а):
Вам же сказали забыть про PHP
А, вы про фразу
rockclimber в сообщении #1397384 писал(а):
Как говорится, забудьте всё, чему вас учили в php+MySQL и начните заново.
Вот ее я действительно не понял, что имелось в виду ) печалька
Это была скорее шутка, но просто со временем сложилось такое впечатление. Иногда слышу где-то "mysql не умеет то, не умеет сё", иногда читаю вопросы с меткой SQL на stackoverflow - почему-то самые тупые вопросы (да и ответы) попадаются от тех, кто использует mysql. Причем и объяснить людям что-то невозможно в принципе - прямо импринтинг какой-то. Вот втемяшилось им почему-то что-то такое - и всё, логика и аргументы на них не действуют уже. Я просто перестал смотреть там что-либо с тегом mysql.
Конечно, нормальные люди среди mysql-щиков тоже есть, но вот максимальная концентрация неадекватов именно там.

gevaraweb в сообщении #1397540 писал(а):
Ну, не электронная подпись, а любое стойкое шифрование, например, RSA.
Первое, что нужно понять - шифрование используется для общения двух агентов, которые доверяют друг другу и хотят скрыть детали своего общения от третьих лиц. Причем доверять друг другу они начали уже давно.
Когда вы делаете сайт для общего доступа - вам нечего шифровать. Когда пользователь открывает страницу - ее HTML и js код генерируются на вашем сервере и уходят куда-то. Как только страница ушла - это уже не ваша страница. Если вы не контролируете физически машину пользователя (а в интернете вы ее не контролируете в общем случае), то вы не можете достоверно знать, кто, как и с какой целью с вами общается. Ваш сервер один-одинешенек в кольце врагов и ему просто не с кем общаться с помощью шифрования. А уж сайт вы делаете, клиент под Windows, мобильное приложение или еще что-то - это уже детали.
Конечно, тут есть всякие исключения, когда вы предлагаете именно сервис по безопасному общению - но это именно исключение и вообще отдельная песня.

 Профиль  
                  
 
 Re: О разработке веб-приложений
Сообщение04.06.2019, 06:22 
Аватара пользователя


31/10/08
1244
arseniiv
Вот что бы всё и сразу и в одном месте у меня нету. Но думаю если изучить вот эти книги, то там будут все ответы.
Черемушкин А.В.-Криптографические протоколы. Основные свойства и уязвимости-Академия (2009)
CIS_Debian_Linux_8_Benchmark_v1.0.0.pdf
CIS_Apache_HTTP_Server_2.2_Benchmark_v3.4.1.pdf

 Профиль  
                  
 
 Re: О разработке веб-приложений
Сообщение04.06.2019, 13:38 


15/11/15
1081
rockclimber в сообщении #1397500 писал(а):
Вы топик создали для того, чтобы рассказать, как сильно вам не хочется ничего изучать? Это троллинг такой?
rockclimber в сообщении #1397406 писал(а):
"мы думали, что достигли дна, но тут снизу постучали" (с) :mrgreen:
а это хамство?

 Профиль  
                  
 
 Re: О разработке веб-приложений
Сообщение04.06.2019, 15:35 
Заслуженный участник


06/07/11
5627
кран.набрать.грамота
gevaraweb
В первом случае если и хамство - то с вашей стороны. Вы сначала задаете вопрос, как сделать что-то такое, а когда вам дают ответ, вы заявляете, что вам лень что-то изучать. Ну раз лень, что вы тут забыли? Вам нужно на hh.ru или на odesk.com. Там много людей, которые уже все что нужно выучили, и исполнят любой ваш каприз (после соответсвующей оплаты, конечно).
Вторая фраза к вам не имеет отношения вообще, а касается исключительно моего отношения к СУБД MySQL. Я и раньше был о ней невысокого мнения, а после вашего сообщения вообще перестал понимать, как ей можно нормально пользоваться.

 Профиль  
                  
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 28 ]  На страницу Пред.  1, 2

Модераторы: Karan, Toucan, PAV, maxal, Супермодераторы



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group