Здравствуйте, Sinclair, Вы писали:

L>>Вэб приложения могут использоваться не только в internet-е
S>И что? Проблема в том, что они могут использоваться не только в интранете.

Многие приложния используются именно что только в интранете.

S>Более того, ваша идея (подразумеваемый ограниченный доступ) поднимает целый новый класс проблем.
S>В частности, далеко не всякий произвольный интранет так уж реально ограничивает доступ. Никакой гарантии того, что в него не войдет некий злоумышленник, нету.

Каким образом, если, например ограничить доступ виндовой аутентификацией для ограниченного круга лиц?

S>Резюме: нет причины раскладывать грабли. Даже если вам кажется, что по ним никто не будет ходить.

Если стоимость уборки граблей велика, а потери — маловероятны и малы, то почему бы и не оставить такие "грабли"?

Здравствуйте, Sinclair, Вы писали:

S>Здравствуйте, Lloyd, Вы писали:
L>>Вэб приложения могут использоваться не только в internet-е
S>И что? Проблема в том, что они могут использоваться не только в интранете.
S>Более того, ваша идея (подразумеваемый ограниченный доступ) поднимает целый новый класс проблем.
S>В частности, далеко не всякий произвольный интранет так уж реально ограничивает доступ. Никакой гарантии того, что в него не войдет некий злоумышленник, нету.
S>Резюме: нет причины раскладывать грабли. Даже если вам кажется, что по ним никто не будет ходить.

Как "краевед" хочу отметить, что атаки инсайдеров на интранет-системы, по крайней мере в нашей компании, случаются не реже чем атаки аутсайдеров на интернет-системы

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, vayerx, Вы писали:

KV>>>Т.е. код решающий поставленные перед ним задачи, но при этом рассылающий спам, или копию результатов решения задач кому либо, это корректно работающий код?

V>>да, безусловно, но до тех пор пока обратное не оговоренно. ибо защита "от всего на свете" требует дополнительных человекомесяцев, а это — деньги.

KV>Не надо лукавить. "Все на свете" не может быть оговорено в ТЗ по причине своего стремления к бесконечности. Тут речь не о каких-либо специальных мерах защиты, требующих написания дополнительного кода, а требование написания кода в рамках функциональных требований без совершения в нем ошибок определенного класса.

так вот еще раз пытаюсь донести свое утверждение: описанный тобой "определенный класс ошибок" далеко не всегда является самым опасным из набора возможных. в сравнении с общим количеством способов получения доступа к данным или системе в целом, этот "определенный класс" не заслуживает столь длинной оды в топике.

V>>если подменить исполняемый модуль целиком, то рассылка спама и прочие радости тоже могут иметь место ;)

KV>Вот уязвимость в Lotus Notes. ... Не думаю, что им кто-то отдельно платил за дополнительные человеко-часы, потраченные на устранение данной уязвимости, т.к. эта атака была возможна из-за ошибки в их коде (точнее, в инсталяторе) и позволяла скомпроментировать всю систему. Или на IBM равняться не стоит?

а это ты вообще к чему? как бы тут повлиял управляемый код?
подмена модуля — это как раз пример способа атаки, от которого управляемый код не спасает

Здравствуйте, vayerx, Вы писали:

KV>>Не надо лукавить. "Все на свете" не может быть оговорено в ТЗ по причине своего стремления к бесконечности. Тут речь не о каких-либо специальных мерах защиты, требующих написания дополнительного кода, а требование написания кода в рамках функциональных требований без совершения в нем ошибок определенного класса.

V>так вот еще раз пытаюсь донести свое утверждение: описанный тобой "определенный класс ошибок" далеко не всегда является самым опасным из набора возможных.

Можно все-таки озвучить "весь набор возможных"? Ну или хотя бы его часть, значимую для обсуждаемой темы?...

V>в сравнении с общим количеством способов получения доступа к данным или системе в целом,

...или хотя бы "общее количество способов"?

V>этот "определенный класс" не заслуживает столь длинной оды в топике.

Атаки инъекции бинарного кода являются наиболее распространенными в среде неуправляемых платформ, а также наиболее часто эксплуатируемыми и несущими наиболее весомые риски, связанные с эксплуатацией уязвимого продукта. Это так, просто для информации.

V>>>если подменить исполняемый модуль целиком, то рассылка спама и прочие радости тоже могут иметь место

KV>>Вот уязвимость в Lotus Notes. ... Не думаю, что им кто-то отдельно платил за дополнительные человеко-часы, потраченные на устранение данной уязвимости, т.к. эта атака была возможна из-за ошибки в их коде (точнее, в инсталяторе) и позволяла скомпроментировать всю систему. Или на IBM равняться не стоит?

V>а это ты вообще к чему? как бы тут повлиял управляемый код?
V>подмена модуля — это как раз пример способа атаки, от которого управляемый код не спасает

Управляемый код — не спасает, а вот в одной из известных мне управляемых платформ есть встроенные механизмы подписи используемых модулей и контроля их целостности. И будь LN написан под .net, у меня бы не получилось, даже имея полные права на бинарный файл, подменить его на свой из под записи рядового пользователя и заставить его выполниться вместо оригинального.

Здравствуйте, Lloyd, Вы писали:

L>Каким образом, если, например ограничить доступ виндовой аутентификацией для ограниченного круга лиц?

И при этом в самом приложении не должно быть распределения по ролям, все пользователи, имеющие доступ к интранету одинаковые и имеют одинаковый доступ к приложению, причем приложение не содержит информации с ограниченным доступом. Ты такие приложения имеешь ввиду? Что-то я ни разу не встречал подобного интранет приложения

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, vayerx, Вы писали:

V>>так вот еще раз пытаюсь донести свое утверждение: описанный тобой "определенный класс ошибок" далеко не всегда является самым опасным из набора возможных.

KV>Можно все-таки озвучить "весь набор возможных"? Ну или хотя бы его часть, значимую для обсуждаемой темы?...

хотя бы отсюда: http://en.wikipedia.org/wiki/Category:Security_exploits


V>>подмена модуля — это как раз пример способа атаки, от которого управляемый код не спасает

KV>Управляемый код — не спасает, а вот в одной из известных мне управляемых платформ есть встроенные механизмы подписи используемых модулей и контроля их целостности. И будь LN написан под .net, у меня бы не получилось, даже имея полные права на бинарный файл, подменить его на свой из под записи рядового пользователя и заставить его выполниться вместо оригинального.

лукавишь.

во-первых, подписывание исполняемого файла не имеет ни малейшего отношения к фон-Неймановской архитектуре. оно может быть реализованно как для управляемых так и для неуправляемых модулей.

во-вторых, на *nix эта фича .net уже портированна? а на C64?

в-третьих, для защиты исполняемого файла из под "записи рядового пользователя" есть такая вещь как chmod+chown

Здравствуйте, vayerx, Вы писали:


V>хотя бы отсюда: http://en.wikipedia.org/wiki/Category:Security_exploits


Ну вот атака из твоего списка: Denial-of-service attacks
Очевидно, что данная атака менее опасна, чем выполнение произвольного кода в контексте атакуемого приложения, ибо самое безобидное, что может сделать эксплоит — это уронить сервер (что и есть Denial-of-service attacks)

Так что давай другую ссылку, эта не в тему.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Да не абы какую, а самую, что ни на есть простую и дешевую, в основе которой лежал принципе хранения данных и кода в единой, совместно разделямой ими памяти. Но мало кто знал, что скрывается за созданием этой архитектуры.

Фон-Нейман то — да, другое дело McCarthy:

While it is not uncommon for Lisp programmers to devise an alternate form for the language (of which MLISP is one example), some of which use M-expressions, such dialects generally lack the homoiconicity of S-expressions, which is considered an important part of the expressiveness of the language.

Здравствуйте, prVovik, Вы писали:

V>Ну вот атака из твоего списка: Denial-of-service attacks
V>Очевидно, что данная атака менее опасна, чем выполнение произвольного кода в контексте атакуемого приложения, ибо самое безобидное, что может сделать эксплоит — это уронить сервер (что и есть Denial-of-service attacks)

1. "уронить сервер" — это потенциально огромные финасовые потери.
2. это далеко не единственный вид атак, приведенный в википедии

V>Так что давай другую ссылку, эта не в тему.
эксклюзивно

Здравствуйте, vayerx, Вы писали:

V>1. "уронить сервер" — это потенциально огромные финасовые потери.

Ага, а эксплоит вообще много чего умеет. Например, утянуть номера кредитных карточек клиентов.

V>2. это далеко не единственный вид атак, приведенный в википедии

При наличии возможности эксплоита, остальные варианты атак ИМХО вообще теряют смысл. Зачем лезть в бронированную форточку, если двери открыты нараспашку?

Здравствуйте, prVovik, Вы писали:

V>Здравствуйте, vayerx, Вы писали:

V>>1. "уронить сервер" — это потенциально огромные финасовые потери.
V>Ага, а эксплоит вообще много чего умеет. Например, утянуть номера кредитных карточек клиентов.

способы "утянуть кредитные карточки" в вики тоже есть. читайте

V>>2. это далеко не единственный вид атак, приведенный в википедии
V>При наличии возможности эксплоита, остальные варианты атак ИМХО вообще теряют смысл. Зачем лезть в бронированную форточку, если двери открыты нараспашку?

чушь.
во-первых, инъекцию кода, мы ведь о ней изначально говорили, еще нужно сделать — открытые дыры есть не везде и приглашение не всегда висит.
во-вторых, кроме инъекции кода есть масса других способов.

Здравствуйте, vayerx, Вы писали:

V>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Здравствуйте, vayerx, Вы писали:

V>>>так вот еще раз пытаюсь донести свое утверждение: описанный тобой "определенный класс ошибок" далеко не всегда является самым опасным из набора возможных.

KV>>Можно все-таки озвучить "весь набор возможных"? Ну или хотя бы его часть, значимую для обсуждаемой темы?...

V>хотя бы отсюда: http://en.wikipedia.org/wiki/Category:Security_exploits

Ну и какие из них несут более высокие риски, нежели инъекция бинарного кода? Учитывая, что навскидку, треть из перечисленных там — это как раз всевозможные варианты бинарных инъекций и есть.

V>>>подмена модуля — это как раз пример способа атаки, от которого управляемый код не спасает

V>во-первых, подписывание исполняемого файла не имеет ни малейшего отношения к фон-Неймановской архитектуре. оно может быть реализованно как для управляемых так и для неуправляемых модулей.

Подмена исполнимых файлов, упомянутая тобой, тоже к данной архитектуре имеет весьма опосредованное отношение. К чему ты тогда вообще ее тут озвучил?

V>во-вторых, на *nix эта фича .net уже портированна?

да

V>а на C64?

хз, к чему этот вопрос?

V>в-третьих, для защиты исполняемого файла из под "записи рядового пользователя" есть такая вещь как chmod+chown

и тем не менее, в lotus notes это не было сделано, что и обусловило существование данной уязвимости.

Здравствуйте, vayerx, Вы писали:

V>Здравствуйте, prVovik, Вы писали:

V>>Ну вот атака из твоего списка: Denial-of-service attacks
V>>Очевидно, что данная атака менее опасна, чем выполнение произвольного кода в контексте атакуемого приложения, ибо самое безобидное, что может сделать эксплоит — это уронить сервер (что и есть Denial-of-service attacks)

V>1. "уронить сервер" — это потенциально огромные финасовые потери.

А "оставить в сервере закладку и взять его под контроль" — это еще большие риски, т.к. с использованием данной закладки на сервер может осуществляться и DoS атаки в том числе.

V>>Так что давай другую ссылку, эта не в тему.
V>эксклюзивно

Т.е. аргументы кончились

Здравствуйте, vayerx, Вы писали:

V>во-вторых, кроме инъекции кода есть масса других способов.

Обусловленных архитектурой фон-Неймана? Если нет, то к чему их приводить здесь?

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, vayerx, Вы писали:

V>>во-вторых, кроме инъекции кода есть масса других способов.
KV>Обусловленных архитектурой фон-Неймана? Если нет, то к чему их приводить здесь?
нет, именно не обусловенных архитектурой фон-Неймана. смысл их преведения здесь — подтверждение мысли о том, что в твоем опусе "проблема прострелляных ног" очень сильно утрированна и притянута за уши.

KV>Т.е. аргументы кончились :(
нет, предложенные аргументы еще не были разобранны.

кстати, ты хотел "рассказать, почему при разработке 100%-го аналога виндового калькулятора необходимо озаботиться вопросами отсутствия в нем уязвимостей" ;)

Здравствуйте, eao197, Вы писали:

E>Вам, должно быть, еще страшнее от осознания того факта, что ПО, контролирующее, управляющее и противоборствующее тем самым младшим сестрам ядреной бомбы, написано на тех самых дырявых платформах и языках.

Да что ты, бог с тобой. Они же просто это... как бы сказать, не то, чтобы уж совсем не понимают, а отправили куда-то далеко в подсознание и боятся вытащить наружу.

Здравствуйте, prVovik, Вы писали:

L>>Каким образом, если, например ограничить доступ виндовой аутентификацией для ограниченного круга лиц?

V>И при этом в самом приложении не должно быть распределения по ролям, все пользователи, имеющие доступ к интранету одинаковые и имеют одинаковый доступ к приложению, причем приложение не содержит информации с ограниченным доступом. Ты такие приложения имеешь ввиду? Что-то я ни разу не встречал подобного интранет приложения

Не встречал, но требования все-равно гораздо ниже, т.к. круг потенциальных злоумышленников гораздо уже и отследить их гораздо проще, чем в интернете.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Как "краевед" хочу отметить, что атаки инсайдеров на интранет-системы, по крайней мере в нашей компании, случаются не реже чем атаки аутсайдеров на интернет-системы

Сказочки, либо "краеведный" отдел откровенно мается фигнёй.

С Уважением, Andir!

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Между тем, лучик надежды блеснул гораздо раньше, когда начали появляться интерпретируемые языки. Ведь если интерпретатор выполняет написанный код покомандно, значит он (в теории) имеет возможность полностью контролировать ход выполнения программы и, в случае чего, адекватно отреагировать на попытку обмануть процессор.

Слушай, неужели ты в это всерьез веришь ? Неужели ты не понимаешь, что что бы ты ни делал и на чем бы не писал, в конечном счете работает оычный процесс Windows ? Который вполне можно хакнуть вместе с рантаймом .Net, при этом полностью игнорируя все его внутренние свойства! да, это нелегко будет сделать, придется разбираться во внутренностях .Net, но принципиально это вполне возможно.

KV>Так и ковыляют они и по сей день, искалеченные, хмурые, с вросшими костылями под мышками, и бухтят, бухтят, бухтят... И поняли люди, что не излечить их, и что нужно просто дождаться их есстественного вымирания,

А дай — кось я допишу. Но не в виде сказки, а в виде притчи.

И сбылось оно. Вымерли они, Как динозавры. Сказано было так, и стало так.
И хорошо без них стало. Не ковыляют, не бухтят. Благодать. Идут себе год за годом.

Только вот нечто странное обнаружилось. Новые версии Windows перестали появляться. Новая аппаратура перестала появляться — для нее драйвера нужны, а драйверописатели вымерли. Да и сама .Net что-то перестала развиваться — вымерли те, кто ее нативный уровень писал на презренном С++, а те, кто умеет только новые классы C# создавать, без них ни бе ни ме ни кукареку.

А новых средств нет — деньги платить заказчики перестали. За что платить-то ?

Собрались тут все управляемые программисты и коллективно отправились на могилу циничного ученого,и вопияли, и вознесли молитву богу — воскреси ты нам тех, кто нам работу обеспечивал и новые версии нативного ПО создавал.

И раздался трубный голос с неба : Не будет вам никакого их воскрешения. Выделите из себя, презренные, тех, кто еще хоть немного соображать умеет, и посадите их за изучение архитектуры машин и программирования. И будут они опять себе ноги простреливать, и пока не научатся стрелять как следует — будет у них плач и скрежет зубовный и в муках они будут рождать неуправляемый код. Будут они с тоской вспоминать милые дотнетовские времена и ругать на чем свет стоит великого циничного ученого. Но ничего, когда-нибудь все-таки научатся, и пойдет история своим ходом.

И пошли они, солнцем палимы...

Здравствуйте, vayerx, Вы писали:


V>чушь.
V>во-первых, инъекцию кода, мы ведь о ней изначально говорили, еще нужно сделать — открытые дыры есть не везде и приглашение не всегда висит.

Чушь. (с)
Дальше что?

V>во-вторых, кроме инъекции кода есть масса других способов.

И что с того? Это повод не бороться с дырами, так как у vayerx`а есть ссылочка на википедию, где перечислены всевозможные названия атак?