abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 20:00 | Komunita

    Byly zpracovány a na YouTube zveřejněny videozáznamy z konference LinuxDays 2025.

    Ladislav Hagara | Komentářů: 0
    4.10. 15:22 | IT novinky

    Na konferenci LinuxDays 2025 byl oficiálně představen nový router Turris Omnia NG.

    Ladislav Hagara | Komentářů: 21
    4.10. 05:22 | Komunita

    Přímý přenos (YouTube) z konference LinuxDays 2025, jež probíhá tento víkend v Praze v prostorách FIT ČVUT. Na programu je spousta zajímavých přednášek.

    Ladislav Hagara | Komentářů: 11
    3.10. 22:44 | IT novinky

    V únoru loňského roku Úřad pro ochranu osobních údajů pravomocně uložil společnosti Avast Software pokutu 351 mil. Kč za porušení GDPR. Městský soud v Praze tuto pokutu na úterním jednání zrušil. Potvrdil ale, že společnost Avast porušila zákon, když skrze svůj zdarma dostupný antivirový program sledovala, které weby jeho uživatelé navštěvují, a tyto informace předávala dceřiné společnosti Jumpshot. Úřad pro ochranu osobních údajů

    … více »
    Ladislav Hagara | Komentářů: 6
    3.10. 19:00 | Nová verze

    Google Chrome 141 byl prohlášen za stabilní. Nejnovější stabilní verze 141.0.7390.54 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 21 bezpečnostních chyb. Za nejvážnější z nich (Heap buffer overflow in WebGPU) bylo vyplaceno 25 000 dolarů. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    3.10. 17:11 | Upozornění

    eDoklady mají kvůli vysoké zátěži technické potíže. Ministerstvo vnitra doporučuje vzít si sebou klasický občanský průkaz nebo pas.

    Ladislav Hagara | Komentářů: 19
    3.10. 17:00 | Komunita

    Novým prezidentem Free Software Foundation (FSF) se stal Ian Kelling.

    Ladislav Hagara | Komentářů: 1
    3.10. 14:33 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za září (YouTube).

    Ladislav Hagara | Komentářů: 0
    3.10. 12:33 | Upozornění

    Vyšla kniha Počítačové programy a autorské právo. Podle internetových stránek nakladatelství je v knize "Významný prostor věnován otevřenému a svobodnému softwaru, jeho licencím, důsledkům jejich porušení a rizikům „nakažení“ proprietárního kódu režimem open source."

    javokajifeng | Komentářů: 0
    3.10. 01:11 | Bezpečnostní upozornění

    Red Hat řeší bezpečnostní incident, při kterém došlo k neoprávněnému přístupu do GitLab instance používané svým konzultačním týmem.

    Ladislav Hagara | Komentářů: 0
    Jaké řešení používáte k vývoji / práci?
     (38%)
     (45%)
     (16%)
     (18%)
     (20%)
     (15%)
     (18%)
     (16%)
     (16%)
    Celkem 176 hlasů
     Komentářů: 12, poslední 4.10. 20:35
    Rozcestník

    Bezpečnost webových aplikací

    21.7.2008 20:24 | Přečteno: 1832× | phpMyAdmin | poslední úprava: 21.7.2008 21:46

    Na bezpečnostním mailing listu phpMyAdmina se objevil nějaký etický hacker a začal trochu šťourat do našeho kódu, což je jenom dobře :-). První výsledky tohoto šťourání už přinesla verze 2.11.7.1, ale s většinou změn přijde až 2.11.8.

    Kromě spousty určitě užitečných připomínek, ale přišel i s jedním kontroverzím nápadem a to znemožnit potenciálnímu útočníkovi zjistit o jakou verzi phpMyAdmina jde. Kromě toho, že samozřejmě pořád bude existovat dostatek starých verzí, které to o sobě řeknou, tak to stejně jenom zavání security by obscurity. Nicméně to ale může útočníkovi trochu zkomplikovat život. Na druhou stranu schování těchto informací je práce navíc a vynutilo by si odstranění textového ChangeLogu.

    Co si o tom myslíte vy? Má smysl skrývat jakoukoliv zmínky o tom o jakou verzi se jedná (včetně například ChangeLogu) před nepřihlášeným návštěvníkem?

    Objev týdne: Salamandra

           

    Hodnocení: 100 %

            špatnédobré        

    Anketa

    Skrývat verzi phpMyAdmina před nepřihlášeným uživatelem?
     (44 %)
     (1 %)
     (55 %)
    Celkem 85 hlasů

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    21.7.2008 20:36 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Ne, ničemu to nepomůže. Tak bude muset místo jednoho exploitu vyzkoušet 10, ale stejně na to nakonec příjde.
    21.7.2008 20:44 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Moje reakce byla naprosto stejná ... dokonce i na čísle 10 jsme se shodli ;-).
    21.7.2008 21:13 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    dokonce i na čísle 10 jsme se shodli ;-).
    :-)
    21.7.2008 20:48 c4i
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    hmm, aspon automaty by to odkoplo. Precejenom potencialni utocnik jde po tom "mene zabezpecenem"...
    21.7.2008 21:10 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Neodkoplo... Prostě by jim jeden scan netrval 2 sekundy, ale 20. :-) Naopak by to spíš odstranilo ty script kiddie, kteři si na to neumí napsat skriptík... Protože by se jim nechtělo zkoušet několikero exploitů, ale to je tak všechno a upřímě... ti kteří si neumí napsat bota stejě nebudou vědět co s ukořistěným phpMyadminem dělat :-)
    21.7.2008 23:55 Kvakor
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Presne tak - automatizovany skript casto vubec neresi nejakou verzi, proste slepe zkousi jeden exploit po druhem a sleduje jenom vysledek. Svym zpusobem je to rozumejsi reseni - hlasena verze totiz vubec nemusi odpovidat verzi skutecne, obzvlast u tak snadno uzivatelsky upravitelnych nastroju jakoji phpMyadmin, kde je prepsani retezce verze celkem primitivni operace (ve srovnatni s napr. upravenim a prelozenim vlastni verze Apache).
    21.7.2008 21:14 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    To je docela zajímavé. Ve většině publikací o bezpečnosti se člověk naopak dočte, že skrytí verze je jedním z dobrých a doporučených protiopatření. Ten, kdo bude opravdu chtít, tak to prolouskne, script kiddie, které ale za normálních okolností zjistí verzi, prožene to databází známých chyb a použije předpřipravený exploit, v tomhle případě utře. Je to jako se zabezpečením bytu. Můžeš dát jen alarm. Nebo taky můžeš použít alarm, a k tomu fotobuňku u okna, která rozsvítí světlo při pohybu. Nebo k tomu můžeš přidat venkovní rolády. A co teprve mříže? Nic z toho krádeži stoprocentně nezabrání, kombinace ale dokáže útočníka natolik zdržet, že si to předem rozmyslí. V každém případě máš čas navíc. Základní poučka bezpečnosti zní, že nejlepší obrana je kombinace protiopatření.
    Luboš Doležel (Doli) avatar 21.7.2008 20:45 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Čas strávený maskováním by asi bylo lepší věnovat něčemu, co by detekovalo děravou verzi a křičelo na uživatele.
    21.7.2008 20:46 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Tak tyhle úvahy původně vznikly ;-).
    belisarivs avatar 21.7.2008 20:51 belisarivs | skóre: 22 | blog: Psychobláboly
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    potencionalnim -> potencialnim
    IRC is just multiplayer notepad.
    21.7.2008 20:53 Ladicek | skóre: 28 | blog: variace | Havlíčkův brod
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Salamandra zní dost dobře, díky za tip!
    Ještě na tom nejsem tak špatně, abych četl Viewegha.
    alblaho avatar 21.7.2008 23:54 alblaho | skóre: 17 | blog: alblog
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Jsem nevěděl, že jsi metalista :-)

    Ale jo, nezní to špatně, totiž má to fakt tradiční zvuk. Btw, před tím jsem si z nostalgie pustil Believe od Cher (rok asi 1998), tak to byl trochu šok :-)
    22.7.2008 11:20 Ladicek | skóre: 28 | blog: variace | Havlíčkův brod
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Nejsem, tohle totiž podle pravověrných metlošů není metal, nýbrž sračka :-D A Believe je taky super.
    Ještě na tom nejsem tak špatně, abych četl Viewegha.
    22.7.2008 00:11 Martin | skóre: 10 | blog: Nádraží Perdido
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    No, úplně zlé to není. Akorát to tu už všechno asi miliónkrát bylo.
    21.7.2008 21:41 cenda | skóre: 24 | blog: dedalebedanebohurvajs | Planá nad Lužnicí
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    ...nápadem a to znemonit potenciálnímu útočníkovi...
    tsLnox avatar 22.7.2008 12:20 tsLnox | skóre: 31 | blog: Blog jednoho ukecaného Gentoolemana | Žďár nad Sázavou
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Tyjo... Ze mě se snad ještě stane metalista :-D

    Fakt to zní dobře

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.