Jump to content
Geekforum.cz
Sign in to follow this  
Shoot

"Hacking topics" a otázka bezpečnosti

Recommended Posts

Ahoj,

 

"Hacking topics":

 

Prečo tu na GF nemáme žiadne "hacking topics"? Nikto sa o to nezaujíma, alebo nikto nechce odovzdávať know-how na túto tému?

 

Otázka bezpečnosti:

 

Bez ohľadu na môj post o User roles a ich ošetrovanie - čo je najbezpečnejšia cesta prevádzky aplikácie? Resp. v akých prípadoch je aplikácia najmenej náchylná na napadnutie a poškodenie / odchytenie dát?

  1. Prevádzka aplikácie na intranete
  2. Prevádzka aplikácie na intranete + povolenie prístupu, napr. cez VPN
  3. Prevádzka aplikácie na internete (útočník nepozná URL)

Za predpokladu, že priamemu vstupu do "Dashboard" predchádza prihlasovanie užívateľa a tomu predchádza Htaccess Authentication (pre všetkých userov spoločná). Aplikáciu používa len BFU, ktorý nie je schopný ničoho okrem klikania a vypĺňania políčok. Prípadne nemá dôvod testovať diery v aplikácií.

 

Prosím, nemyslite si, že sa chcem vyhnúť programovaniu a ošetrovaniu (hlavne tí, ktorí čítali môj predošlý post) - zaujíma ma to zo všeobecného hľadiska.

Share this post


Link to post
Share on other sites

No ono to nie je také jednouché treba si o tom študovať kvantum zdrojov.

Samotné prevádzkovanie aplikácie a hlavne bezpečnej aplikácie k tomu potrebuješ nejaké znalosti o best practices jak by sa to malo robiť.

 

Základom je navrhnúť to od minima.

Vedieť veci ako overovať, overovať, overovať a potom validovať a znova...

A samozrejme také veci ako administrácia určite nie pristupná z vonkajšej siete a podobné srandičky.

 

Je toho kvantum

Share this post


Link to post
Share on other sites

Kde je vůle, tam je i cesta.

 

Všechny z těch 3 možností co jsi uvedl jde ojebat. Mohl bych tu vše rozepsat, ale sem na to poměrně líný, jelikož jak říká Jamira. Jsou kvanta informací, která se dají spracovat. Obrovská kvanta.

Share this post


Link to post
Share on other sites

Web za firewallem a přístup jen přes VPN je to nejlepší, co můžeš udělat. Pokud útočník získá přístup k počítači s VPN, ukradne certifikáty a následně uhádne passphrase, tak to je už tak pokročilej útok, že nedává smysl se tomu bránit, ne u normálních systémů (nedává smysl investovat do zabezpečení více, než je hodnota samotnýho systému/informací/produktu). Samozřejmě PC s VPN nesmí být veřejně dostupný a musí být rozumně zabezpečen.

 

Útočník pak musí být někdo z tvejch vlastních lidí a tomu nezabráníš nikdy.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...