Re[4]: Сказка о циничном ученом, простреленных ногах разрабо
От: FR  
Дата: 30.10.08 05:40
Оценка: 2 (1) +3
Здравствуйте, kochetkov.vladimir, Вы писали:

KV> я пишу на C#, но исключительно потому что мне его возможностей хватает с головой. Если решу сменить язык, то это будет (на данный момент) либо IronPython либо Nemerle. Выбор платформы очевиден и, в общем-то, озвучен в топике.


Ну тогда твой опус сильно мимо, на этих языках программирования и этой платформе тоже нет абсолютных гарантий ни по безопасности ни по корректности.

FR>>Так делаю пометку "Защищенный код" как планировал углубленно не изучать, также опасно для психики как функциональщина, лучше изучить нормально Хаскель, так как меня уже записали в злобные функциональщики


KV>Ну и зря "Защищенный код" вполне полезно почитать даже самым злобным функциональщикам, это совершенно не взаимоисключающие вещи.


Так я же читал уже, вот теперь побаиваюсь перечитывать
Re[3]: Сказка о циничном ученом, простреленных ногах разрабо
От: FR  
Дата: 30.10.08 05:43
Оценка: +1
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Ок, зайдем издалека: что именно НАДО разработчикам-не-ламерам? Чтобы написанный ими код работал в соответствии с поставленной задачей?


Конечно надо чтобы работал, но вот очень большому чимлу этих разработчиков нет никакой необходимости писать защищенный код, так как влияние этой самой защищенности на работоспособность кода у подавляющего большинства на сто каком-то месте.
Re[6]: Сказка о циничном ученом, простреленных ногах разрабо
От: gandjustas Россия http://blog.gandjustas.ru/
Дата: 30.10.08 05:46
Оценка:
Здравствуйте, vayerx, Вы писали:

V>>>что касается уязвимостей, то для каждой задачи должно быть четкое понимание того, что делать желательно, необходимо, не нужно. защита от описанных вами уязвимостей, во-первых, нужна/необходима далеко не везде,

KV>>Можешь провести четкую границу, где она нужна, а где нет? Я — не могу
V>а при чем тут четкая граница? это предметно-зависимый вопрос. к примеру, в заводских прошивках подавлящиего числа электроники такая защита никому не нужна.
Хорошо защищенное ПО чаще всего являет наиболее надежным. Именно в заводских прошивках надежность должна быть максимальная. Поэтому "никому не нужна" — слишком утрированно.

V>>>снятие головной боли в их отношении, безусловно, приятно, но не является панацеей от всех возможных ошибок

KV>>А я нигде и не утверждал, что это является панацеей. Я лишь говорил о том, что использование управляемых сред позволяет снять головную боль, обусловленную "особенностями" одной конкретной архитектуры вычислительных систем.
V>так вот я утверждаю, что эта самая головная боль заметна лишь для ограниченного круга задач. безусловно, полезно, когда защита есть на уровне платформы разработки, но ее отсутствие в общем случае не фатально.
Да, "ограничееный круг задач" — примерно 90% сейчас, и только увеличивается.
Re[3]: Сказка о циничном ученом, простреленных ногах разрабо
От: minorlogic Украина  
Дата: 30.10.08 05:59
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Ок, зайдем издалека: что именно НАДО разработчикам-не-ламерам? Чтобы написанный ими код работал в соответствии с поставленной задачей?


А вы подумайте ? я даже не знаю какой класс приложений вы пишите где так важна защита от злоумышленника. Я например разрабатываю программы которые направленны на работу с добросовестным пользователем. А попытки неправильного использования не рассматриваются как use case
... << RSDN@Home 1.2.0 alpha 4 rev. 1111>>
Ищу работу, 3D, SLAM, computer graphics/vision.
Re[6]: Сказка о циничном ученом, простреленных ногах разрабо
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 30.10.08 09:20
Оценка:
Здравствуйте, vayerx, Вы писали:

KV>>Перечислишь уязвимости, являющиеся опасней выполнения произвольного кода в контексте атакуемого приложения?


V>исполнение произвольного кода еще не дает полного доступа к системе. способы же его получения не ограничиваются инъекцией кода.


Это если конечной целью атаки является система. а если все-таки наше приложение и обрабатываемая/хранимая/передаваемая им информация?

V>>>снятие головной боли в их отношении, безусловно, приятно, но не является панацеей от всех возможных ошибок


KV>>А я нигде и не утверждал, что это является панацеей. Я лишь говорил о том, что использование управляемых сред позволяет снять головную боль, обусловленную "особенностями" одной конкретной архитектуры вычислительных систем.


V>так вот я утверждаю, что эта самая головная боль заметна лишь для ограниченного круга задач. безусловно, полезно, когда защита есть на уровне платформы разработки, но ее отсутствие в общем случае не фатально.


Если как уже сказали, "ограниченный круг задач" это хотя бы 90% — то согласен. Рассказать, почему при разработке 100%-го аналога виндового калькулятора необходимо озаботиться вопросами отсутствия в нем уязвимостей?

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[5]: Сказка о циничном ученом, простреленных ногах разрабо
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 30.10.08 09:20
Оценка: :))
Здравствуйте, FR, Вы писали:

FR>>>Так делаю пометку "Защищенный код" как планировал углубленно не изучать, также опасно для психики как функциональщина, лучше изучить нормально Хаскель, так как меня уже записали в злобные функциональщики


KV>>Ну и зря "Защищенный код" вполне полезно почитать даже самым злобным функциональщикам, это совершенно не взаимоисключающие вещи.


FR>Так я же читал уже, вот теперь побаиваюсь перечитывать


Тут есть один маленький, но важный момент. Я не разработчик

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[4]: Сказка о циничном ученом, простреленных ногах разрабо
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 30.10.08 09:20
Оценка:
Здравствуйте, FR, Вы писали:

FR>Здравствуйте, kochetkov.vladimir, Вы писали:


KV>>Ок, зайдем издалека: что именно НАДО разработчикам-не-ламерам? Чтобы написанный ими код работал в соответствии с поставленной задачей?


FR>Конечно надо чтобы работал, но вот очень большому чимлу этих разработчиков нет никакой необходимости писать защищенный код, так как влияние этой самой защищенности на работоспособность кода у подавляющего большинства на сто каком-то месте.


А почему многие считают, что незащищенный код == рабочий код?

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[4]: Сказка о циничном ученом, простреленных ногах разрабо
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 30.10.08 09:20
Оценка:
Здравствуйте, minorlogic, Вы писали:

M>Здравствуйте, kochetkov.vladimir, Вы писали:


KV>>Ок, зайдем издалека: что именно НАДО разработчикам-не-ламерам? Чтобы написанный ими код работал в соответствии с поставленной задачей?


M>А вы подумайте ? я даже не знаю какой класс приложений вы пишите где так важна защита от злоумышленника.


Я считаю, что такому классу приложений как виндовый калькулятор — уже важна защита от злоумышленника Более того, ведущие эксперты по информационной безопасности это мнение разделяют (точнее, это я его разделяю с ними )

M>Я например разрабатываю программы которые направленны на работу с добросовестным пользователем. А попытки неправильного использования не рассматриваются как use case


Вы готовы поговорить тут об этом (ваших программах и решаемых ими задачах) подробнее?

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[4]: Сказка о циничном ученом, простреленных ногах разрабо
От: gandjustas Россия http://blog.gandjustas.ru/
Дата: 30.10.08 09:22
Оценка: +1
Здравствуйте, minorlogic, Вы писали:

M>Здравствуйте, kochetkov.vladimir, Вы писали:


KV>>Ок, зайдем издалека: что именно НАДО разработчикам-не-ламерам? Чтобы написанный ими код работал в соответствии с поставленной задачей?


M>А вы подумайте ? я даже не знаю какой класс приложений вы пишите где так важна защита от злоумышленника. Я например разрабатываю программы которые направленны на работу с добросовестным пользователем. А попытки неправильного использования не рассматриваются как use case


Даже боюсь представить что за программы вы разрабатываете.
Re[4]: Сказка о циничном ученом, простреленных ногах разрабо
От: Sinclair Россия http://corp.ingrammicro.com/Solutions/Cloud.aspx
Дата: 30.10.08 09:22
Оценка: 8 (2) +4 -1 :)
Здравствуйте, minorlogic, Вы писали:
M>А вы подумайте ? я даже не знаю какой класс приложений вы пишите где так важна защита от злоумышленника. Я например разрабатываю программы которые направленны на работу с добросовестным пользователем. А попытки неправильного использования не рассматриваются как use case

Для веб-приложений все разработчики делятся на две группы. Тех, кто работает над безопасностью, и тех, кто будет над ней работать.

Потому что стоит тебе выставить в веб софтинку с уязвимостью типа privilege escalation, как тебя тут же заставят выпустить хотфикс. Даже если сама софтина — хрень для астропрогнозов.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
http://rsdn.org/File/5743/rsdnaddict.GIF
Re[7]: Сказка о циничном ученом, простреленных ногах разрабо
От: Aikin Беларусь kavaleu.ru
Дата: 30.10.08 09:27
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Рассказать, почему при разработке 100%-го аналога виндового калькулятора необходимо озаботиться вопросами отсутствия в нем уязвимостей?

Было бы интересно
Re[5]: Сказка о циничном ученом, простреленных ногах разрабо
От: Lloyd Россия  
Дата: 30.10.08 09:29
Оценка: +2
Здравствуйте, Sinclair, Вы писали:

M>>А вы подумайте ? я даже не знаю какой класс приложений вы пишите где так важна защита от злоумышленника. Я например разрабатываю программы которые направленны на работу с добросовестным пользователем. А попытки неправильного использования не рассматриваются как use case

S>
S>Для веб-приложений все разработчики делятся на две группы. Тех, кто работает над безопасностью, и тех, кто будет над ней работать.

Вэб приложения могут использоваться не только в internet-е
... << RSDN@Home 1.2.0 alpha 4 rev. 1111>>
Re[7]: Сказка о циничном ученом, простреленных ногах разрабо
От: vayerx  
Дата: 30.10.08 09:35
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Это если конечной целью атаки является система. а если все-таки наше приложение и обрабатываемая/хранимая/передаваемая им информация?


об этом я уже писал в том же самом сообщении


V>>так вот я утверждаю, что эта самая головная боль заметна лишь для ограниченного круга задач. безусловно, полезно, когда защита есть на уровне платформы разработки, но ее отсутствие в общем случае не фатально.


KV>Если как уже сказали, "ограниченный круг задач" это хотя бы 90% — то согласен. Рассказать, почему при разработке 100%-го аналога виндового калькулятора необходимо озаботиться вопросами отсутствия в нем уязвимостей?


рассказать.
Re[5]: Сказка о циничном ученом, простреленных ногах разрабо
От: vayerx  
Дата: 30.10.08 09:37
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, FR, Вы писали:


FR>>Конечно надо чтобы работал, но вот очень большому чимлу этих разработчиков нет никакой необходимости писать защищенный код, так как влияние этой самой защищенности на работоспособность кода у подавляющего большинства на сто каком-то месте.


KV>А почему многие считают, что незащищенный код == рабочий код?


код может считаться корректно работающим, но быть незащищенным. обратное, разумеется, неверно.
Re[6]: Сказка о циничном ученом, простреленных ногах разрабо
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 30.10.08 09:40
Оценка:
Здравствуйте, vayerx, Вы писали:

V>Здравствуйте, kochetkov.vladimir, Вы писали:


KV>>Здравствуйте, FR, Вы писали:


FR>>>Конечно надо чтобы работал, но вот очень большому чимлу этих разработчиков нет никакой необходимости писать защищенный код, так как влияние этой самой защищенности на работоспособность кода у подавляющего большинства на сто каком-то месте.


KV>>А почему многие считают, что незащищенный код == рабочий код?


V>код может считаться корректно работающим, но быть незащищенным. обратное, разумеется, неверно.


Т.е. код решающий поставленные перед ним задачи, но при этом рассылающий спам, или копию результатов решения задач кому либо, это корректно работающий код?

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[4]: Сказка о циничном ученом, простреленных ногах разрабо
От: _d_m_  
Дата: 30.10.08 09:42
Оценка:
Здравствуйте, minorlogic, Вы писали:

M>Здравствуйте, kochetkov.vladimir, Вы писали:


KV>>Ок, зайдем издалека: что именно НАДО разработчикам-не-ламерам? Чтобы написанный ими код работал в соответствии с поставленной задачей?


M>А вы подумайте ? я даже не знаю какой класс приложений вы пишите где так важна защита от злоумышленника. Я например разрабатываю программы которые направленны на работу с добросовестным пользователем. А попытки неправильного использования не рассматриваются как use case


Ну прямо коммунизм в отдельно взятом месте.
Re[7]: Сказка о циничном ученом, простреленных ногах разрабо
От: vayerx  
Дата: 30.10.08 09:47
Оценка:
Здравствуйте, gandjustas, Вы писали:

G>Здравствуйте, vayerx, Вы писали:

V>>а при чем тут четкая граница? это предметно-зависимый вопрос. к примеру, в заводских прошивках подавлящиего числа электроники такая защита никому не нужна.
G>Хорошо защищенное ПО чаще всего являет наиболее надежным. Именно в заводских прошивках надежность должна быть максимальная. Поэтому "никому не нужна" — слишком утрированно.

хорошо защищеное ПО не обязанно быть написанно именно на управляемой платформе.
понятие надежности ПО — это не то же самое, что защита от переполнения буфера и т.п, хотя, включает такие зашиты.
с прошивками я, наверное, в самом деле привел не совсем хороший пример — на значительной части применяемых контроллеров/процессоров данные и код физически разделены, что не совсем вписывается в тему.


V>>так вот я утверждаю, что эта самая головная боль заметна лишь для ограниченного круга задач. безусловно, полезно, когда защита есть на уровне платформы разработки, но ее отсутствие в общем случае не фатально.

G>Да, "ограничееный круг задач" — примерно 90% сейчас, и только увеличивается.
ну 90, не 90, но действительно много, и действительно растет.
Re[7]: Сказка о циничном ученом, простреленных ногах разрабо
От: vayerx  
Дата: 30.10.08 09:53
Оценка: -1
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, vayerx, Вы писали:


V>>код может считаться корректно работающим, но быть незащищенным. обратное, разумеется, неверно.


KV>Т.е. код решающий поставленные перед ним задачи, но при этом рассылающий спам, или копию результатов решения задач кому либо, это корректно работающий код?


да, безусловно, но до тех пор пока обратное не оговоренно. ибо защита "от всего на свете" требует дополнительных человекомесяцев, а это — деньги.

если подменить исполняемый модуль целиком, то рассылка спама и прочие радости тоже могут иметь место ;)
Re[6]: Сказка о циничном ученом, простреленных ногах разрабо
От: Sinclair Россия http://corp.ingrammicro.com/Solutions/Cloud.aspx
Дата: 30.10.08 11:01
Оценка: +1
Здравствуйте, Lloyd, Вы писали:
L>Вэб приложения могут использоваться не только в internet-е
И что? Проблема в том, что они могут использоваться не только в интранете.
Более того, ваша идея (подразумеваемый ограниченный доступ) поднимает целый новый класс проблем.
В частности, далеко не всякий произвольный интранет так уж реально ограничивает доступ. Никакой гарантии того, что в него не войдет некий злоумышленник, нету.
Резюме: нет причины раскладывать грабли. Даже если вам кажется, что по ним никто не будет ходить.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
http://rsdn.org/File/5743/rsdnaddict.GIF
Re[8]: Сказка о циничном ученом, простреленных ногах разрабо
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 30.10.08 11:09
Оценка: +1 -1
Здравствуйте, vayerx, Вы писали:

V>Здравствуйте, kochetkov.vladimir, Вы писали:


KV>>Здравствуйте, vayerx, Вы писали:


V>>>код может считаться корректно работающим, но быть незащищенным. обратное, разумеется, неверно.


KV>>Т.е. код решающий поставленные перед ним задачи, но при этом рассылающий спам, или копию результатов решения задач кому либо, это корректно работающий код?


V>да, безусловно, но до тех пор пока обратное не оговоренно. ибо защита "от всего на свете" требует дополнительных человекомесяцев, а это — деньги.


Не надо лукавить. "Все на свете" не может быть оговорено в ТЗ по причине своего стремления к бесконечности. Тут речь не о каких-либо специальных мерах защиты, требующих написания дополнительного кода, а требование написания кода в рамках функциональных требований без совершения в нем ошибок определенного класса.

V>если подменить исполняемый модуль целиком, то рассылка спама и прочие радости тоже могут иметь место


Вот уязвимость в Lotus Notes, обнаруженная мной чуть больше года назад. Заключается именно в подмене исполняемого модуля с целью повышения локальных привилегий в системе. Bugtraq признал это уязвимостью данного продукта и (что еще важнее) ее признали и IBM, и приложили некоторые усилия для того, чтобы закрыть ее в следующих версиях. Не думаю, что им кто-то отдельно платил за дополнительные человеко-часы, потраченные на устранение данной уязвимости, т.к. эта атака была возможна из-за ошибки в их коде (точнее, в инсталяторе) и позволяла скомпроментировать всю систему. Или на IBM равняться не стоит?

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.