https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:28 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/1165-pulapki-profesjonalnego-cms.html#c12242 https://archive.mroczna-zaloga.org/archives/1165-pulapki-profesjonalnego-cms.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1165 nospam@example.com (bl4de) W pewnym sensie wypadkową takiego procesu jest to, że gdy w końcu trafi się im jakiś konkretny programista i jest w stanie przeforsować pewne koncepcje plus, jak wspomniałeś, wymagający klient - takie CMS-y są przepisywane niejako od nowa, z wykorzystaniem np. ZF czy Symfony, które same z siebie, z racji swojej architektury, niejako narzucają pewne konwencje architektoniczne jednocześnie podnosząc poziom bezpieczeństwa całego rozwiązania. Niestety, nadal pojęcia takie, jak OWASP ASVS czy choćby biblioteka ESAPI to pojęcia z gatunku abstrakcyjnych dla większości. Gdy w swojej poprzedniej pracy zorganizowałem mały, kilkugodzinny wykład na tema bezpieczeństwa aplikacji internetowych (gdzie m.in. wspomniałem o tych akurat dwóch projektach OWASP) mogłem podziwiać efekt znany jako "wielkie oczy" w reakcji na to, co prezentowałem :) A już autentyczny przykład kompletnego ataku na źle zabezpieczoną aplikację webową wraz z finalnym efektem w postaci zalogowania na konto poczty elektronicznej jednego z zarejestrowanych w atakowanej aplikacji userów wywołał reakcję porównywalną chyba tylko do reakcji publiczności obserwującej sztuczki Davida Copperfielda. A nie byli to programiści początkujący :/ Naprawdę jestem ciekaw, do czego to wszystko zmierza. Bardzo wielu programistów, nawet z dość długim stażem ma mgliste bądź bardzo niewielkie pojęcie o bezpieczeństwie. W sumie się nie dziwię, bo ilość wiedzy koniecznej do przyswojenia, by w miarę swobodnie posługiwać się dowolną technologią wzrasta niemal w postępie geometrycznym i często gęsto nie mają oni czasu na to, by ogarniać jeszcze tematykę security (która, jak wiesz z autopsji, sama w sobie też jest delikatnie mówiąc obszerną dziedziną). Tue, 05 Feb 2013 13:49:01 +0100 https://archive.mroczna-zaloga.org/archives/1165-guid.html#c12242 https://archive.mroczna-zaloga.org/archives/1165-pulapki-profesjonalnego-cms.html#c12167 https://archive.mroczna-zaloga.org/archives/1165-pulapki-profesjonalnego-cms.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1165 nospam@example.com (Paweł Goleń) A widzisz, poprawianie się bezpieczeństwa aplikacji wraz z tym, jak autorzy takiego "profesjonalnego CMS" zyskują coraz ważniejszych klientów często należy zawdzięczać tymże klientom. Zlecają oni testy tego, co zostaje im dostarczone, a później taka agencja interaktywna łata to. Często łata wielokrotnie, bo kompletnie nie rozumie o co chodzi, co jest źle i jak powinno to być zrobione poprawnie. Sat, 02 Feb 2013 17:03:29 +0100 https://archive.mroczna-zaloga.org/archives/1165-guid.html#c12167 https://archive.mroczna-zaloga.org/archives/1165-pulapki-profesjonalnego-cms.html#c12166 https://archive.mroczna-zaloga.org/archives/1165-pulapki-profesjonalnego-cms.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1165 nospam@example.com (bl4de) Skąd ja to znam :) W czasie swojej kilkuletniej pracy jako programista aplikacji internetowych w PHP miałem wątpliwą przyjemność w "grzebaniu" w paru takich "autorskich" rozwiązaniach. Stopień nieznajomości zagadnień związanych z bezpieczeństwem takich aplikacji często jest porażający. Kuriozum stanowią przypadki autorskich CMS-ów posiadających poważne luki (SQLi, stored XSS) oferowane przez masę firemek typu "agencja interaktywna". Znalezienie takiej luki w jednym z serwisów, następnie analiza portfolio takiej agencji (z reguły jest to dział szumnie nazwany "wybrane realizacje" tudzież "wdrożenia") - i mamy listę od kilkunastu do kilkudziesięciu serwisów zbudowanych w oparciu o taki CMS, oczywiście większość podatnych na znalezione wcześniej błędy. Choć przyznam, że wielokrotnie spotykam się z sytuacją, gdy w portfolio znajduję nowe, poprawione wersje, odporne na luki z wersji wcześniejszych. Pewną stwierdzoną przeze mnie empirycznie prawidłowością jest to, że w miarę, jak agencja interaktywna zdobywa coraz lukratywniejsze zlecenia, stopień bezpieczeństwa aplikacji rośnie. Pewnie wynika to z faktu, że większe zlecenia przyciągają do pracy lepszych, lepiej ogarniętych koderów, którzy przy okazji prac nad nowym zleceniem łatają bądź piszą od nowa kod CMS-a/CRM-a/sklepu czy innego produktu. Nie zmienia to faktu, że widząc "autorski, profesjonalny CMS" mam podobny pogląd na sytuację, jak Ty :) pozdrawiam, bl4de Sat, 02 Feb 2013 11:02:24 +0100 https://archive.mroczna-zaloga.org/archives/1165-guid.html#c12166 https://archive.mroczna-zaloga.org/archives/1165-pulapki-profesjonalnego-cms.html#c12057 https://archive.mroczna-zaloga.org/archives/1165-pulapki-profesjonalnego-cms.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1165 nospam@example.com (mao) Hej, kiedyś w czasie testów trafiłem na takie "autorskie" rozwiązanie :-) Tylko po ok. godz analizy, okazało się, że autorstwo jest i owszem...ale raczej innego osobnika. Stąd tak czy owak, zdarza się albo tak jak wspomniał szanowny autor albo tak, że CMS oparty jest na innym znanym (często tak bezpiecznym jak jego pierwotna wersja) Fri, 01 Feb 2013 23:47:41 +0100 https://archive.mroczna-zaloga.org/archives/1165-guid.html#c12057