בירור | פיתוח בטוח
-
כשמדברים על פיתוח מאובטח, על מה מדובר?
אם יש מאגר מידע איך אפשר להצפין בו את הנתונים? הרי אם אחרי זה ארצה לבדוק משהו עם שאילתא הוא לא ימצא כלום כי במקום נתונים יש שם גיבוב של תווים. -
כשמדברים על פיתוח מאובטח, על מה מדובר?
אם יש מאגר מידע איך אפשר להצפין בו את הנתונים? הרי אם אחרי זה ארצה לבדוק משהו עם שאילתא הוא לא ימצא כלום כי במקום נתונים יש שם גיבוב של תווים. -
@עידו300 כתב בבירור | פיתוח בטוח:
כשמדברים על פיתוח מאובטח, על מה מדובר?
על המון המון דברים, אי אפשר ללמד את כל התורה על רגל אחת
לגבי ההצפנה - תביא את הדרישההחוקיתהמדויקת@צדיק-תמים יש דרישה חוקית?
לא כל התורה, קו מנחה, על מה בכלל מדובר?
הרי אף אחד כאן לא בונה לעצמו את כל הספריות, ובכל הספריות יש חולשות בפרט אם הן קוד הפתוח לעיני כל.
אז משתדלים לעדכן את כל מה שמשתמשים בו, משתדלים להמנע מsql injection, בודקים כל קלט של המשתמש, מפרידים בין קוד שמוצג למשתמש לבין הקוד שבפועל עושה דברים.בפרט שלדעתי רוב האבטחה זה בהגדרות השרת עצמו, מה אני בתור מפתח קוד צריך לעשות?
אני לא מאמין שכולם מממשים בדיקות לכל החולשות שנמצאו עד היום כמו Null Byte Injection, גלישת מידע וחוצצים ועוד.@kasnik כתב בבירור | פיתוח בטוח:
@עידו300 רק אצלך יש את הקידוד לפיענוח
לא הבנתי, בדאטהבייס זה נראה כמו בליל אקראי של תווים, איך אני דואג שכאחפש מילה אמיתית עם משמעות הוא ידע להשוות אותה לבלאגן שהולך שם?, כאילו לא נראה לי שאני אמור לדאוג להכניס את זה מוצפן ואז לתת לשרת SQL להתמודד, יכול להיות שהמאגר מידע עושה את זה בעצמו? ולהצפין כל נתון שמחפשים זה חתיכת בלאגן ושריפת זמן.
-
@צדיק-תמים יש דרישה חוקית?
לא כל התורה, קו מנחה, על מה בכלל מדובר?
הרי אף אחד כאן לא בונה לעצמו את כל הספריות, ובכל הספריות יש חולשות בפרט אם הן קוד הפתוח לעיני כל.
אז משתדלים לעדכן את כל מה שמשתמשים בו, משתדלים להמנע מsql injection, בודקים כל קלט של המשתמש, מפרידים בין קוד שמוצג למשתמש לבין הקוד שבפועל עושה דברים.בפרט שלדעתי רוב האבטחה זה בהגדרות השרת עצמו, מה אני בתור מפתח קוד צריך לעשות?
אני לא מאמין שכולם מממשים בדיקות לכל החולשות שנמצאו עד היום כמו Null Byte Injection, גלישת מידע וחוצצים ועוד.@kasnik כתב בבירור | פיתוח בטוח:
@עידו300 רק אצלך יש את הקידוד לפיענוח
לא הבנתי, בדאטהבייס זה נראה כמו בליל אקראי של תווים, איך אני דואג שכאחפש מילה אמיתית עם משמעות הוא ידע להשוות אותה לבלאגן שהולך שם?, כאילו לא נראה לי שאני אמור לדאוג להכניס את זה מוצפן ואז לתת לשרת SQL להתמודד, יכול להיות שהמאגר מידע עושה את זה בעצמו? ולהצפין כל נתון שמחפשים זה חתיכת בלאגן ושריפת זמן.
@עידו300 בארץ אין חיוב אבל יש חיוב להגדיר נוהל
בגדול הנקודה היא שמי שניגש לדיסק לא יוכל להוציא את המידע. כלומר מתוך השרת הפועל יש גישה למידע אבל אם יגנבו את הדיסק לא תהיה גישה. לצורך העניין גם ביטלוקר עונה על הדרישה. אבל יש כאלה שיגידו שזה לא מספיק וצריך שכבת הצפנה נוספת אפליקטיבית (כלומר בתוך השרת ולא רק ברמת אמצעי האחסון) כדי להגן מדברים נוספים
בכל מקרה מדובר על הצפנה בזמן שהמידע לא בשימוש ופענוח שקוף כדי להשתמש במידע ולא שאתה עובד על ג'יבריש מוצפן (שגם טכנולוגיות כאלה קיימות אגב)@עידו300 כתב בבירור | פיתוח בטוח:
לא כל התורה, קו מנחה, על מה בכלל מדובר?
הרי אף אחד כאן לא בונה לעצמו את כל הספריות, ובכל הספריות יש חולשות בפרט אם הן קוד הפתוח לעיני כל.
אז משתדלים לעדכן את כל מה שמשתמשים בו, משתדלים להמנע מsql injection, בודקים כל קלט של המשתמש, מפרידים בין קוד שמוצג למשתמש לבין הקוד שבפועל עושה דברים.תקרא על OWASP Top 10
רק מציין לגבי sql injection שלא "משתדלים להימנע" אלא מי שעובד לפי הספר זה לא קורה לו אף פעם, ומי שזה קורה לו כנראה שיש לו בקוד עוד המון בעיות -
@עידו300 בארץ אין חיוב אבל יש חיוב להגדיר נוהל
בגדול הנקודה היא שמי שניגש לדיסק לא יוכל להוציא את המידע. כלומר מתוך השרת הפועל יש גישה למידע אבל אם יגנבו את הדיסק לא תהיה גישה. לצורך העניין גם ביטלוקר עונה על הדרישה. אבל יש כאלה שיגידו שזה לא מספיק וצריך שכבת הצפנה נוספת אפליקטיבית (כלומר בתוך השרת ולא רק ברמת אמצעי האחסון) כדי להגן מדברים נוספים
בכל מקרה מדובר על הצפנה בזמן שהמידע לא בשימוש ופענוח שקוף כדי להשתמש במידע ולא שאתה עובד על ג'יבריש מוצפן (שגם טכנולוגיות כאלה קיימות אגב)@עידו300 כתב בבירור | פיתוח בטוח:
לא כל התורה, קו מנחה, על מה בכלל מדובר?
הרי אף אחד כאן לא בונה לעצמו את כל הספריות, ובכל הספריות יש חולשות בפרט אם הן קוד הפתוח לעיני כל.
אז משתדלים לעדכן את כל מה שמשתמשים בו, משתדלים להמנע מsql injection, בודקים כל קלט של המשתמש, מפרידים בין קוד שמוצג למשתמש לבין הקוד שבפועל עושה דברים.תקרא על OWASP Top 10
רק מציין לגבי sql injection שלא "משתדלים להימנע" אלא מי שעובד לפי הספר זה לא קורה לו אף פעם, ומי שזה קורה לו כנראה שיש לו בקוד עוד המון בעיות@צדיק-תמים תודה
@צדיק-תמים כתב בבירור | פיתוח בטוח:
רק מציין לגבי sql injection שלא "משתדלים להימנע" אלא מי שעובד לפי הספר זה לא קורה לו אף פעם, ומי שזה קורה לו כנראה שיש לו בקוד עוד המון בעיות
התכוונתי שמשתמשים בPDO או בפונקציה ההיא שמכינה את השאילתא, לא מכניסים קלט של המשתמש ישירות, בעקרון זה אמור להספיק, אבל כל פעם מוצאים פרצות חדשות...
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}