Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"25 самых опасных ошибок при создании программ"	+/–
Сообщение от opennews (??), 13-Янв-09, 17:56
Институт SANS (SysAdmin, Audit, Network, Security), совместно с организацией MITRE и ведущими экспертами по компьютерной безопасности, подготовил рейтинг (http://cwe.mitre.org/top25/) 25 самых опасных ошибок, приводящих к возникновению серьезных уязвимостей. Ошибки были отобраны с учетом их распространенности, трудоемкости обнаружения и простоты эксплуатации уязвимости. В опубликованном документе подробно разбирается каждый из 25 видов ошибок, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок. Ниже краткое обобщение списка: -   Небезопасное взаимодействие между компонентами , определяет проблемы, вызванные небезопасной отправкой или получением данных между  модулями, программами, процессами, нитями или системами. - CWE-20 (http://cwe.mitre.org/top25/#CWE-20): Некорректная проверка входящих данных, например, отсутствие проверки предотвращающей появление спецсимволов в идентификаторах; - CWE-116 (http://cwe... URL: http://www.sans.org/top25errors/ Новость: http://www.opennet.dev/opennews/art.shtml?num=19763
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от cherep (??), 13-Янв-09, 17:56	+/–
самая опасная ошибка это программер :)
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (-), 13-Янв-09, 18:04	+/–
26. Использование заведомо глючной платформы (Windows, PHP, и т.п.)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #7

3. Сообщение от Аноним (14), 13-Янв-09, 18:49	+/–
Неспособность,Неспособность,Неспособность... они ошибки анализируют? по-моему пальцем тыкают в недостатки программиста...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

4. Сообщение от metallic (?), 13-Янв-09, 19:10	+/–
>26. Использование заведомо глючной платформы (Windows, PHP, и т.п.) и какая же альтернатива ПХП у нас есть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6, #28, #46

5. Сообщение от tesseract (?), 13-Янв-09, 19:24	+/–
>Неспособность,Неспособность,Неспособность... >они ошибки анализируют? по-моему пальцем тыкают в недостатки программиста... А программы флудерасты что-ли пишут? ИМХО это ошибки критичны больше как раз для *nix систем, в винде баги по другому пишутся :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #8, #11

6. Сообщение от none (??), 13-Янв-09, 19:54	+/–
ой, пхпшника задели
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10

7. Сообщение от RapteR (ok), 13-Янв-09, 20:02	+/–
>26. Использование заведомо глючной платформы (Windows, PHP, и т.п.) Не удачный сексуальный опят с PHP? Почему у меня нет таких проблем? Я считаю большинство проблем PHP связанно с тем, что ледивые девелоперы используют всякие фреймворки, библиотеки и прочую не нужную хрень копирую за одно себе ошибки других кодеров. По этому я против всяких там CMS и прочих гадостей "все в одном", зачем нужен бесполезный код?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #9, #49

8. Сообщение от busik (?), 13-Янв-09, 20:13	+/–
>>Неспособность,Неспособность,Неспособность... >>они ошибки анализируют? по-моему пальцем тыкают в недостатки программиста... > >А программы флудерасты что-ли пишут? ИМХО это ошибки критичны больше как раз >для *nix систем, в винде баги по другому пишутся :-) Ага. С большой буквы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

9. Сообщение от tesseract (?), 13-Янв-09, 20:20	+/–
Точно даёшь 100% нативный код. Каждому веб-сайту по собственному веб-серверу! Фрэймворки кстати снижают число ошибок, а не повышают их. У каждого программиста свой фрэймворк - в голове. Любой исполнимый файл - уже фрэймворк, он же практически в  ОС исполняется. Хотя это не отменяет дебилизма в использовании  PHP  на крупных порталах, это всё-таки скотч, а не сварка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

10. Сообщение от vitek (??), 13-Янв-09, 22:34	+/–
а если всё-таки ответить? слабо?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #14, #27, #29

11. Сообщение от vitek (??), 13-Янв-09, 22:38	+/–
> в винде баги по другому пишутся :-) там они не пишутся.. там они бесплатным бонусом идут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

12. Сообщение от Аноним (12), 13-Янв-09, 22:41	+/–
все зависит от квалификации специалиста и только частично от средств реализации
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #40

14. Сообщение от Аноним (14), 13-Янв-09, 23:14	+/–
Есть рельсы, есть джанго, вполне достойная замена пыхпыху
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #18, #37

15. Сообщение от pavlinux (ok), 13-Янв-09, 23:16	+/–
Особо понравились:   > # Использование ненадежных или рискованных криптографических алгоритмов; > # CWE-330: Использование предсказуемых случайных значений; Может кто подскажет, надежные и не рискованные криптоалгоритмы?   Наши ФСБшники от слов Camellia и Blowfish ржут как кони, а от AES, ващще,  по полу катаются!!! А так же, уравнение создания НЕпредсказуемых случайных значений? Один видел, размером с холодильник, на газоразрядных лампах...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #21, #41

16. Сообщение от vitek (??), 13-Янв-09, 23:26	+/–
>все зависит от квалификации специалиста >и только частично от средств реализации истину глаголишь.... хороший спец и проблемы найдет, и пути их решения предложит. многих таких встречал... приятно работать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

17. Сообщение от vitek (??), 13-Янв-09, 23:29	+/–
ну ты даешь стране угля. пропал то куда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #19

18. Сообщение от vitek (??), 13-Янв-09, 23:35	+/–
>Есть рельсы, есть джанго, вполне достойная замена пыхпыху ага. есть шпалы.. :-D а если нужно что-то попроще?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

19. Сообщение от pavlinux (ok), 14-Янв-09, 00:23	+/–
Миднайт кодим :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #20

20. Сообщение от vitek (??), 14-Янв-09, 00:40	+/–
дык это твоя идея при копировании местами полоску менять? лучше в mcedit кодировки вставь... или скажи куда присобачить, то сам вставлю.. через iconv.. ни хрена заявленная не работает:-D ещё вот хочу через fuse базы данных монтировать и этим mcedit (или ещё чем) править... что-то идеи как это правильно в дереве отразить кончились... что скажешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

21. Сообщение от ll (?), 14-Янв-09, 01:18	+/–
>>Может кто подскажет, надежные и не рискованные криптоалгоритмы?   >>Наши ФСБшники от слов Camellia и Blowfish ржут как кони, а от AES, ващще,  по полу >>катаются!!! Вы хотите сказать, что ваши фсбшники способны вскрыть данные алгоритмы, в не зависимости от длинны пароля, за разумное время? Батенька, назвали бы тогда уж альтернативу какую :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #22

22. Сообщение от pavlinux (ok), 14-Янв-09, 01:25	+/–
Дык, они закрыты :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #23

23. Сообщение от pavlinux (ok), 14-Янв-09, 01:27	+/–
Кстати, многими любимый ГОСТ 2004, на эллептич крывых... тоже засада, ....... ладно,   и так много наболтал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #24, #25, #35

24. Сообщение от vitek (??), 14-Янв-09, 01:46	+/–
слышали уже... спи спокойно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

25. Сообщение от ll (?), 14-Янв-09, 01:55	+/–
>Кстати, многими любимый ГОСТ 2004, на эллептич крывых... тоже засада, ....... ладно, >  и так много наболтал RSA то хоть можно пользоваться? Или паника не избежна? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #26

26. Сообщение от Аноним (-), 14-Янв-09, 06:06	+/–
неизбежна, уже поступили кластеры на приставках =))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

27. Сообщение от none (??), 14-Янв-09, 07:16	+/–
>а если всё-таки ответить? >слабо? не слабо.  perl.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

28. Сообщение от Аноним (14), 14-Янв-09, 09:00	+/–
aspx :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #31, #39

29. Сообщение от Eratothene (?), 14-Янв-09, 09:02	+/–
Python, Perl А также Java EE. Ну а для сильнозагруженных и ресурсоограниченных есть: С++ server pages, KLONE.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #32, #38

30. Сообщение от Аноним (14), 14-Янв-09, 09:29	+/–
>>Неспособность сохранения целостной структуры SQL запроса, что может привести к подстановке злоумышленником SQL запроса (SQL Injection); SQL - зло. Точнее не зло, а просто инструмент используемый не по назначению. Его ж придумывали для конечного пользователя, в рассчете, что серкретарши будут запросами таскать данные с базы данных. Но в связи с общей деградацией человеческого материала, SQL прихватили себе программисты и понеслась бодяга с бесконечными snprintf и их распарсиванием на сревере. Вместо того, чтобы юзать нормальное API ...
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от 999 (ok), 14-Янв-09, 09:42	+/–
>aspx :) и винда с ишаком в наследсво
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

32. Сообщение от vitek (??), 14-Янв-09, 10:15	+/–
j2ee - это corba, ejb, jsp, jsf,...? и без сервера приложений это имеет смысл? с питоном - может ещё и соглашусь... а вот всё остальное альтернативой можно назвать с большой натяжкой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

33. Сообщение от Аноним (14), 14-Янв-09, 11:22	+/–
Это какие такие "нормальное API" для запросов в БД ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

34. Сообщение от geekkoo (ok), 14-Янв-09, 12:11	+/–
>Это какие такие "нормальное API" для запросов в БД ? Как в BerkeleyDB, например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #36

35. Сообщение от atom (?), 14-Янв-09, 12:37	+/–
>Кстати, многими любимый ГОСТ 2004, на эллептич крывых... тоже засада, ....... ладно, >  и так много наболтал Балабол. Каждый может нафантазировать что ФСБ все читает, пишет и следит за каждым. А еще в России самые секретистые и стрАААшные разработки, лучшее оружие, спецслужбы и армия. Просто это все на столько секретно, что никто не видел и не увидит никогда. Параноики ,kznm.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

36. Сообщение от Аноним (-), 14-Янв-09, 14:51	+/–
Где-то так. То что SQL изначально не был turing-complete уже четко очерчивает область его применения (сравните с sieve, который тоже не полон). Это потом его уже стали раздувать до размеров полноценного языка, откуда и возникли все эти injections. В смысле, выразительной мощи языка уже стало хватать для всяких пакостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

37. Сообщение от User294 (ok), 14-Янв-09, 15:20	+/–
>Есть рельсы, есть джанго, вполне достойная замена пыхпыху И где примеры достойных приложений на этой достойной замене?Ну хоть что-то не позорнее PHPBB V3, SMF, WordPress, Joomla, ... - оно, простите, где?А то воплей о крутости много а результата почему-то почти ноль.Есть горстка никому не нужных уродцев написаных на "крутом" языке.На этом все и заканчивается почему-то.У меня такое подозрение что "дело было не в бобине - долбо%# сидел в кабине".То есть облажаться можно на любом языке и в любой системе.Дураки умудряются обойти любую защиту от дурака.В языках программирования - в частности.А специалисты даже на нифига не безопасных сях напишут надежный код который хрен сломаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #45

38. Сообщение от User294 (ok), 14-Янв-09, 15:23	+/–
>Python, Perl >А также Java EE. >Ну а для сильнозагруженных и ресурсоограниченных есть: С++ server pages, KLONE. По наблюдениям - на питоне есть относительно небольшое число довольно уродливых приблуд(назовите плиз аналоги на питоне упомянутых веб-приложений?).Остальное вообще днем с огнем не найдешь (разве что у некоторых корпоративщиков и бизнеса, традиционно падких на всякое дерьмо, лишь бы сделано было побыстрее).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #48

39. Сообщение от User294 (ok), 14-Янв-09, 15:28	+/–
>aspx :) На ЭТОМ почему-то традиционно написаны... САМЫЕ УРОДСКИЕ И СТРАШНЫЕ сайты.Например ни 1 нормального форума на ЭТОМ я вообще не встречал за всю жизнь.Ну а интернет-магазины на ЭТОМ отличаются по жизни тормозами, глюками и убогостью.Как пример - chip&dip например.Убойно тормозной веб-магазин.Крайне мучителен в использовании - пока заказ оформишь, 7 потов сойдет.Да еще страницы часто загружаются раза с 3-го.Или вебмани с их недоношенным аяксом когда невзирая на мнимую аяксность оно все-равно мелькает и перегружается полностью в половине случаев.Нормальных веб-приложений на aspx которые было бы реально юзать без тошноты я еще не видел честно говоря.Отлично понимаю почему MS в вебе - такие лузеры.Они не умеют его готовить.А aspx в итоге юзают видимо только наиболее убогие мозгом... (ну во всяком случае глядя на результат такой вывод напрашивается)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

40. Сообщение от User294 (ok), 14-Янв-09, 15:45	+/–
>все зависит от квалификации специалиста >и только частично от средств реализации Плохому танцору вечно ноги мешают.Простите, то есть, PHP, винды или что там еще.Хотя в принципе ни винды ни PHP сами по себе не запрещают написать все качественно и по уму.Если чье-то приложение под виндой валидирует все данные - вы и там его не сломаете нифига.И работать оно там как-то будет.Равно как на рельсах и под *nix можно родить уродливое решето запросто.А уж сколько на "безопасной" Java болтается у бизнесменов всякого дырявого фуфла полностью доверяющего входным данным от пользователя и писанного теми кто о шифровании знает только то что если на глаз не понятно что это - значит вроде как секурно... =).А так - например видел несколько смешных логических ошибок в нескольких биллинговых системах очень крупных компаний.При этом вообще пофигу на чем этот биллинг написан.А вот попадание для компании получается нефиговое, особенно когда юзверги (многие из которых не тупее тех кто биллинг писал) находят там смешные логические ляпы и начинается халява.Которая обнаруживается ессно лишь когда орды абонентов начинают откровенно наглеть :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #42

41. Сообщение от User294 (ok), 14-Янв-09, 15:54	+/–
>А так же, уравнение создания НЕпредсказуемых случайных значений? Павлин, скажи пожалуйста - если нечто описывается каким-то уравнением, какое ж оно тогда, нафиг, случайное?!Хорошая у тебя трава, забористая.Наверное ФСБшники с тобой щедро поделились =) А так - подсказываю: шум с микрофонного входа звуковухи можно считать до некоторой степени случайным.Тепловой шум - этот вообще качественная штука и вокруг его хоть отбавляй.Усиливай, цифруй, вот тебе и рандом.Хотя и требующий каких-то аппаратных довесков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #47

42. Сообщение от geekkoo (ok), 14-Янв-09, 15:58	+/–
>[оверквотинг удален] >можно родить уродливое решето запросто.А уж сколько на "безопасной" Java болтается >у бизнесменов всякого дырявого фуфла полностью доверяющего входным данным от пользователя >и писанного теми кто о шифровании знает только то что если >на глаз не понятно что это - значит вроде как секурно... >=).А так - например видел несколько смешных логических ошибок в нескольких >биллинговых системах очень крупных компаний.При этом вообще пофигу на чем этот >биллинг написан.А вот попадание для компании получается нефиговое, особенно когда юзверги >(многие из которых не тупее тех кто биллинг писал) находят там >смешные логические ляпы и начинается халява.Которая обнаруживается ессно лишь когда орды >абонентов начинают откровенно наглеть :) Ну, это жизнь. Эволюция. Т.е. видимо биллинг вначале заказали какому-то одному программеру, он его написал в соотвтествии с техзаданием, получил бабло и свалил. Потом до прова постепенно стало доходить, что в техзадании было заявлено чё-то не то, и они наняли другого программиста (парвый к этому моменту изрядно покрутел и уже начал предлагать предварительно записываться к нему на приём с предложениями о работе), чтобы тот доработала программу в соответствии с новыми веяниями.  Тот не разобравшись, написал решение для конкретного случая не разобрав остальные возможные варианты ... И так далее ... В этой связи хочется добавить, что только GPL обеспечивает нормальную обратную связь, кторая может предотвратить накопление патогенных мутаций ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #43

43. Сообщение от pavel_simple (??), 14-Янв-09, 16:11	+/–
>В этой связи хочется добавить, что только GPL обеспечивает нормальную обратную связь, >кторая может предотвратить накопление патогенных мутаций ... красиво сказал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #44

44. Сообщение от Andrey Mitrofanov (?), 14-Янв-09, 17:02	+/–
>>В этой связи хочется добавить, что только GPL обеспечивает нормальную обратную связь, >>кторая может предотвратить накопление патогенных мутаций ... >красиво сказал И неправильно. Не "только GPL", а "GPL + управление проектом + модель разарботки + поддерживаемое/-ющее жизнеспособное сообщество + свободные коммуникации + $и.т.д". Как-то так... :-j "Но и в этом случае сомнения не покидают меня."(ТМ)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

45. Сообщение от Alexander Q (?), 15-Янв-09, 09:09	+/–
twitter
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

46. Сообщение от YEG (?), 15-Янв-09, 10:53	+/–
python, perl
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

47. Сообщение от xxx (??), 15-Янв-09, 17:12	+/–
>>А так же, уравнение создания НЕпредсказуемых случайных значений? > >Павлин, скажи пожалуйста - если нечто описывается каким-то уравнением, какое ж оно >тогда, нафиг, случайное?!Хорошая у тебя трава, забористая.Наверное ФСБшники с тобой щедро >поделились =) По-моему он специально "НЕ" выделил и знак вопроса поставил, чтобы отметить, что уравнения дающие непредсказуемые значения - бред. Другое дело, что где это он видел чтобы говорилось, что уравнения дают случайные значения. В большинстве источников прямо оговорено что последовательность псевдослучайна, и лишь период огромен. >А так - подсказываю: шум с микрофонного входа звуковухи можно считать до некоторой степени случайным. Насколько я знаю в /dev/urandom появляются значния сгенерированные на основе поступления прерываний, ввода с клавиатуры, мышки, мусора в памяти и т. д. По-моему тоже достаточно случайно, или как знатоки в ФСБ считают?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

48. Сообщение от none (??), 18-Янв-09, 11:12	–1 +/–
>По наблюдениям - на питоне есть относительно небольшое число довольно уродливых приблуд(назовите >плиз аналоги на питоне упомянутых веб-приложений?).Остальное вообще днем с огнем не >найдешь (разве что у некоторых корпоративщиков и бизнеса, традиционно падких на >всякое дерьмо, лишь бы сделано было побыстрее). http://wiki.python.org/moin/ContentManagementSystems http://www.google.com/Top/Computers/Programming/Languages/Py.../ http://ru.wikipedia.org/wiki/Использование_Python 1. я не питонщик. 2. вы читали код каких-нибудь CMS на php?, а мне приходилось, хотя я и не php-шник :) читал Joomla, WordPress, osTube, какие-то отечественные, уж и не помню какие, их нынче тонны, и составлял баг-репорты. osTube в свое время порадовала: бажного кода больше, чем нормального. И давно уже сложилось такое мнение, что все криворукие программеры и пионеры сидят на пхп в силу его легкости освоения, а массовое распространения пхп, этому еще больше поспасобствовало. Сугубо на мой взгляд, пхп это и есть то дерьмо, на котором можно сделать как попало и побыстрее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

49. Сообщение от none (??), 18-Янв-09, 11:30	+/–
>Не удачный сексуальный опят с PHP? Почему у меня нет таких проблем? > >Я считаю большинство проблем PHP связанно с тем, что ледивые девелоперы используют >всякие фреймворки, библиотеки и прочую не нужную хрень копирую за одно >себе ошибки других кодеров. По этому я против всяких там CMS >и прочих гадостей "все в одном", зачем нужен бесполезный код? согласился бы, если бы пхп-шники сами не ломали свое поделие, причем у них это удается с завидной частотой и лихачеством. Про 5.2.7 помолчим... а вот в том году, по моему где-то в четвертой ветке (поправте если ошибаюсь) они сломали mkdir, когда толи при отсутствии на конце папки слеша, толи при наличии, папка не создавалась. Откатитываться назад было очень не желательно, т.к. в прошлой версии были критические уязвимости, а исправленной версии еще не предвиделось. До сих пор помню тот чудный секс...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема