28.08.2001 Мнения, Идеи и практики автоматизацииГОРЯЧАЯ ЛИНИЯДжоди ПатильяВолна истерии по поводу взлома, краткий всплеск трафика, множество испорченных сайтов - сегодня этим никого не удивить. Последним звеном в цепи подобных неприятностей стало недавнее появление червяка Code Red, вихрем пронесшегося по Интернету и поразившего тысячи систем на основе Web-сервера Microsoft IIS, где не были установ- лены нужные заплаты. Пострадал даже узел обновления самой Microsoft. Но это лишь капля в море инцидентов, порожденных ошибками коммерческого Web-серверного ПО. В последнее время они происходят настолько часто, что многие потенциальные жертвы просто не в силах уследить за выпуском все новых заплат для серверных программ. Джоди ПатильяСлов нет: порча страницы на сайте - вещь неприятная, но главную опасность, на мой взгляд, создают бреши в системе безопасности, которые возникают из-за плохо продуманных Web-приложений, созданных собственными силами. Это могут быть и сценарии CGI, и серверные исполнимые файлы, и активные скрипты, и многое другое. Слишком уж часто методы аутентификации оказываются чересчур слабыми, информация о сеансе связи - излишне открытой, а вводимые пользователем данные - плохо проверенными. Такой список можно продолжать до бесконечности, но самый простой путь к конфиденциальным данным клиента или бизнеса открывается именно через эти бреши. Более того, их, как правило, труднее отыскать и закрыть, ведь заплат для них не предлагает ни один производитель. И встречаются они, к сожалению, чуть ли не на каждом шагу ...
читать далее.
