Administrace komentářů

stačí si dobře rozmyslet každé použití uživatelem zadané hodnoty a vyhnout se známým věcem

...

Největší chyba kterou můžete udělat je, že si myslíte že něco stačí a pak už to bude dobrý. Ono to tak může vypadat když stojíte na začátku cesty, myslíte si, že to uděláte dobře a všechno si ohlídáte, jenže pak přijdou složité věci, narychlo dělané úpravy, delegace činnosti jiným a kdoví co ještě a najednou máte produkt plný chyb, z nichž nějaká část budou chyby v zabezpečení. Autor drupalu a možná i autoři těch chybných doplňků jsou si určitě vědomi základních principů, ale i přes to se stále objevují nové a nové záplaty.

Jenom blázen, který neví co dělá dá na stůl produkt a řekne, že je 100% bezpečný. Předpokládat že něco funguje dobře a bezchybně jenom podněcuje ledabylost v používání.

U zabezpečení se rozlišuje několik úrovní: odpuzení, ochrana, detekce průniku a omezení škod. Co se tu snažíte říci, je, že dáváte všechny svoje síly na první dva stupně, v naději že se nebudete muset zabývat tím zbytkem. Co říkám já je, že to je metodicky špatně a musíte se zabývat celým problémem, ne jen jeho polovinou. Je mi úplně jedno, jaké nástroje k tomu použijete (jen jsem jeden doporučil), hlavně když to splní svou funkci.

Neomezený rozpočet nebudete mít nikdy a vždycky budete muset vážit co naimplementujete, to se týká nejen bezpečnosti ale i funkčnosti. Ale mohl byste to udělat líp, než většina firem které se ženou za úspěchem, tj. a nejdřív nakódujou všechny možné tintítka a až teprve když internet zaplaví masa útoků na jejich produkt tak se začnou věnovat zabezpečení.

Více se mi k tomuto tématu psát nechce. Pokud to někdo dočetl až sem, doufám že si vzal poučení (jakékoliv).