נכתב במקור על ידי
Bralo00
אוקי המדריך נכתב על ידי ורק על ידי, פורסם בעבר בפורום אחר.
כל ה"אבטחות" החינמיות שרצות באינטרנט מה אתם חושבים עליהם ? לא שמעתי על אחת רצינית ופופולרית.
לדעתי הם מיותרים ומפגרים למה עוקפים אותם ב-5 שניות וסתם זה מעקב את הפורץ ולא באמת עוצר אותו. אתה מכליל פה, דבר לא מי-יודע-מה יאה לבצע. ראשית, צריך לדעת איפה והיכן משתמשים במערכת מוכנה. כל אתר שמאוחסן בענקית ההוסטינג sPD.co.il משתמש במערכת מוגדרת (לא בהכרח בקבצי האחסון עצמו, אולי בקופניגרציית האפאצ'י או במשהו מיוחד שמוסמך לניהול הבקשות מהקליינט; מערכת מחויבת, על פי החוזה שלהם לפי מה שהבנתי) לכל אתרים המאוחסנים שלו. מערכת שחוסמת כל נסיון הזרקת SQLI, את רוב נסיונות הזרקת XSS (מחרוזות חשודות בכתובת), ודי קשוחה לכל הנוגע במילות קישור (LFI, RFI) ועוד התקפות פחות פופולריות. אני מדגיש SQLI, כי אני יודע במלוא האחוזים כי המערכת שלהם (במטודת GET) אינה חדירה ב100%. לפי דעתי הפחות-או-יותר מנוסה בנושא. זה הופך את האתר לחסין במידה ברוטאלית לרוב נסיונות ההתקפה האפשריים (למרות שלדעתי POST SQLI ניתן לניצול), ומבחינה כללית הרבה יותר בטוח.
כדאי לסגור את החורים עצמם או לרכוש אבטחה רצינית לדעתי ...
דוגמה לאבטחה חינמית :
חסימת מילים מה-URL(שורת דפדפן) כדי לחסום SQL INJECTION דרך השורת כתובת. דווקא אחד מצורות של מערכת האבטחה היותר יעילות. כאשר חוסמים את כל השאילתות במטודת GET שעוברות דרך השרת (כשאילתות, ולא כמחרוזות, חשוב להדגיש זאת.) אפשר כבר לשכוח מSQLI.
יתרונות :
*בחינם
*עדיף על כלום לא ?
חסרונות :
*לא עובד ולא יעיל - לא באמת עוצר את הפורץ אולי במקרים מסויימים רק מעקב אויש, פה זה תלוי. כל מערכת 'חינמית' ואיכותית יכולה לחסום פריצות בצורה שטחית.
*לא מקצועי
*מראה על אי מקצועיות באתר/פורום = *לא מקצועי
לסיכום :
לפי דעתי אבטחות חינמיות הן בזבוז זמן וסתם גורמות לאנשים לחשוב שאתרם מאובטח בזמן שהוא ממש לא וגם רק בדרך אגב רוב האבטחות החינמיות רצות על מערכות IPB 1.3/2.0 שתי המערכת האלה במיוחד 1.3 ממש לא מאובטחות .. ודרושה עבודה יסודית של מאבטח מידע מקצועי.
...מה? ממתי מערכת אבטחה על אתר רצה על מערכת פורומים?
אני הייתי Bralo,
המשך יום נעים.
אבטחות חינמיות לאתרים
ציטוט ההודעה
