https://www.opennet.ru/openforum/vsluhforumID3/69351.html Компания Qualys, специализирующаяся на безопасности, выпустила (http://news.qualys.com/2010/07/qualys-releases-blindelephant.html) Open Source приложение Blind Elephant (http://blindelephant.sourceforge.net/) (Слепой Слон) главное назначение которого - анализ уязвимостей в веб-приложениях. Одной из основных проблем, которую призвана решить утилита, это точное определение установленных web-приложений и их версий, что порой сделать самому достаточно затруднительно.<br><br><br>С помощью Blind Elephant было проанализировано более миллиона веб-сайтов, и была собрана следующая статистика по уязвимостям:<br><br><br>- уязвимы 91% сайтов с blog-движком Movable Type;<br>- уязвимы 92% сайтов с CMS Joomla!;<br>- уязвимы 95% сайтов с CMS MediaWiki;<br>- уязвимы 85% сайтов с веб-приложением PHPMyAdmin для управления СУБД MySQL;<br>- уязвимы 74% сайтов с CMS Moodle;<br>- уязвимы 70% сайтов с CMS Drupal;<br>- уязвимы 65% сайтов с SPIP;<br><br><br><br><br>Самым небезопасным приложением в статистике оказался форумный движок phpBB - уязвимос...<br><br>URL: http://www.net https://www.opennet.ru/openforum/vsluhforumID3/69351.html#44 Wed, 04 Aug 2010 22:11:02 GMT &gt;&gt;подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервере<br>&gt;<br>&gt;Чушь какая-то. У этих британских ученых был доступ к файловым системам "более <br>&gt;миллиона веб-сайтов"? Как они иначе могли подсчитать контрольные суммы? <br><br>у вас он тоже есть. Чтобы определить версию движка, необязательно все исходники на РНР лопатить. Достаточно составить уникальную сигнатуру. Например, changelog.txt или еще что-нибудь. Если взять несколько таких файлов, то надёжность определения повышается.<br> https://www.opennet.ru/openforum/vsluhforumID3/69351.html#43 Mon, 02 Aug 2010 14:47:12 GMT Точнее не совсем конечно ликвидировать, но совершенно точно реформировать инструментарий коренным образом можно.<br> https://www.opennet.ru/openforum/vsluhforumID3/69351.html#42 Mon, 02 Aug 2010 14:45:02 GMT То есть я тут подумал на досуге и пришел к выводу, что фактически можно ликвидировать всю нишу антивирусного софта лёгкими манипуляциями по предоставлению в открытый доступ хэш-суммы файлов программных продуктов.<br> https://www.opennet.ru/openforum/vsluhforumID3/69351.html#41 Mon, 02 Aug 2010 09:14:22 GMT Это конечно касается только тех, кто заинтересован в том чтобы его софт был защищен максимально надежно.<br> https://www.opennet.ru/openforum/vsluhforumID3/69351.html#40 Mon, 02 Aug 2010 08:51:54 GMT Можно всё что угодно сделать, речь о другом, речь о том что с помощью контрольных сумм можно очень малыми усилиями создать существенные трудности вирусописателям. Сайт переодически проверяют и легко заметить подмену.<br> https://www.opennet.ru/openforum/vsluhforumID3/69351.html#39 Mon, 02 Aug 2010 06:42:37 GMT &gt;Иногда на опеннете пишут страшные вещи про WordPress. Что уязвимости находятся редко, <br>&gt;но зато какие!!! Поэтому его, наверно, и обновляют на 96% проверенных <br>&gt;сайтов. <br><br>Многие владельцы сайтов на WP не читают опеннет, которые и на сразу кстати пишет о дырах в WP.<br><br>Но об этих дырах сам WP обязательно предупреждает владельцев, и обновление делается одним нажатием кнопки, что играет на безопасность платформы в целом.<br> https://www.opennet.ru/openforum/vsluhforumID3/69351.html#38 Mon, 02 Aug 2010 06:40:56 GMT Это скорее говорит о "стоимости" вхождения в язык.<br><br>Но никак не говорит, что приложения на .NET "в среднем по больнице" будут безопаснее, чем написанные на PHP. Это лишь говорит, что авторам исследования попалось меньше софта, написанного на одном языке, чем на другом.<br><br>Другой вопрос, что на Pyton-е гораздо меньше пишется в том числе и потому, что хостинг с ним дороже, и готового софта, подходящего для неискушенных начинающих веб-мастеров, поменьше будет.<br><br>А то слышно порой: "мне нужно быстро поднять сайт, что бы такое взять? куплю хостинг за 30 руб в месяц и поставлю туда "хакерскую" сборку какой-нибудь CMS-ки", а что и хостинг дырявый, и сборка неофициальная, и содержит компоненты, давно не поддерживаемые, и дырявые - это уже никто не смотрит. А анонимусы потом кричат, аж слюной исходят, что PHP дырявый.<br> https://www.opennet.ru/openforum/vsluhforumID3/69351.html#37 Mon, 02 Aug 2010 05:58:22 GMT &gt;кстати если в практику ввести обязательную дисциплину публикации контрольных сумм всех файлов <br>&gt;входящих в дистрибы, то фактически отпадает необходимость в антивирусах... <br><br>Угу, кто бы еще их использовал, эти контрольные суммы :) Тем более что можно хакнуть страничку и повесить свои :)<br> https://www.opennet.ru/openforum/vsluhforumID3/69351.html#36 Sun, 01 Aug 2010 16:50:26 GMT кстати если в практику ввести обязательную дисциплину публикации контрольных сумм всех файлов входящих в дистрибы, то фактически отпадает необходимость в антивирусах...<br>