Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 58
Кто бы не отвечал, за вами уже выехали :)
Чьи сайты смотрели — наши или буржуйские? Весьма познавателен был бы более полный отчет, но низзя, бо кулхацкеры сразу ломанутся, как пройдутся по всем аккаунтам контакта (из недавней темы)
Насколько знаю — единой службы никакой нет, многие сайты вообще создавались и поддерживались руками энтузиастов-сотрудников либо по команде сверху местный админ за недельку на готовой cms ваял
Насколько знаю — единой службы никакой нет, многие сайты вообще создавались и поддерживались руками энтузиастов-сотрудников либо по команде сверху местный админ за недельку на готовой cms ваял
Наши. Подробный отчёт — увольте, не опубликую :)
Я пару раз пробовал писать на адреса поддержки, которые указаны на сайте — нулевая реакция, на одном вообще пришёл ответ, что адреса такого не существует.
Я пару раз пробовал писать на адреса поддержки, которые указаны на сайте — нулевая реакция, на одном вообще пришёл ответ, что адреса такого не существует.
тогда другой вопрос — по статистике изученных сайтов какое соотношение бесплатных\платных CMS либо собственных решений было определено невооруженным взглядом?
Примерно треть — самоделки, по крайней мере не удаётся определить производителя (круче всех ФСТЭК — сайт свёрстан во FrontPage :))
Примерно четверть сделана на Битрикс, Лотус или РБК-Софт (не знаю, как у них CMS называется), кажется где-то видел Joomla.
Остальное — на разных CMS российского производства от разных веб-студий.
Примерно четверть сделана на Битрикс, Лотус или РБК-Софт (не знаю, как у них CMS называется), кажется где-то видел Joomla.
Остальное — на разных CMS российского производства от разных веб-студий.
>Или каждый отвечает сам за себя?
Скорее никто не отвечает ни за что.
Скорее никто не отвечает ни за что.
а www.fsb.ru проверяли? ))
А разве правительственные сайты не для обналичивания денег делаются?
У нас в Украине вообще на сайте Внешнего Независимого Тестирования заявили что на их сайт совершена DDoS атака, хотя я более чем уверен что у них просто сервера не выдержали нагрузки в день опубликования результатов. После этого на сайте поставили проверку на реферера — если реферер не этот сайт то вылазит ссылка на этот же сайт :) Таким образом сделали защиту от людей (бот ведь реферер без проблем поставит)
примерно в 2000 году писали софт для управления налоговой по Башкирии
там очень внимательно и вдумчиво проверяли. притом сперва проверял ИТ отдел. а потом уже шла тестовая эксплуатация в целевом отделе для которого собственно этот софт предназначался.
там очень внимательно и вдумчиво проверяли. притом сперва проверял ИТ отдел. а потом уже шла тестовая эксплуатация в целевом отделе для которого собственно этот софт предназначался.
Давайте пролоббируем услуги по поддерже всех сайтов министерст и ведомств, ну и заработаем на этом хорошо и пользу принесем.
Не знаю, как в России, но в Украине ответственность несет то ведомство, которому принадлежит ресурс.
Есть изданные в виде нормативного документа (НД ТЗІ 2.5-010-03, html-версия) требования по защите от НСД. За их исполнением, по идее, должна следить гос.служба спецсвязи и защиты информации Украины.
Благодаря национальному славянскому разгильдяйству, естественно, никто ничего не соблюдает, и никто за этим не наблюдает.Ну или наблюдает в своих коррупционных целях.
В то же время, сами сайты в подавляющем большинстве случаев существуют только ради галочки, т.к. кто-то свыше сказал «Надо». И создаются они троюродными племянниками двоюродной сестры главы отдела за ящик пива в лучшем случае. А остаток средств, выделенных на это дело, оседает сами знаете где.
Есть изданные в виде нормативного документа (НД ТЗІ 2.5-010-03, html-версия) требования по защите от НСД. За их исполнением, по идее, должна следить гос.служба спецсвязи и защиты информации Украины.
Благодаря национальному славянскому разгильдяйству, естественно, никто ничего не соблюдает, и никто за этим не наблюдает.
В то же время, сами сайты в подавляющем большинстве случаев существуют только ради галочки, т.к. кто-то свыше сказал «Надо». И создаются они троюродными племянниками двоюродной сестры главы отдела за ящик пива в лучшем случае. А остаток средств, выделенных на это дело, оседает сами знаете где.
а хотя бы ссылки на сайты что проверяли?
Пожалуйста: www.gov.ru/main/ministry/isp-vlast44.html
Осталось пробрутить ЖЖ Медведева по словарю.
Статья ни о чем. Или факты и ссылки в студию, или это просто треп.
Любой может сказать, что «проверил 27 сайтов, из которых 19 — дырявые, но доказывать не буду, ссылки не дам».
Ничего личного :)
Любой может сказать, что «проверил 27 сайтов, из которых 19 — дырявые, но доказывать не буду, ссылки не дам».
Ничего личного :)
А вы из правительства?
а мне кажется вы просто хотите напортачить на том единственном, который подвержен SQL-injections
Я и не собирался доказывать, что они дырявые. По-моему так они очень даже ничего, я ожидал худшего.
Вопрос в другом: если я таки обнаружил проблему (ну или не я, а кто-то другой обнаружил) — куда следует сообщить, особенно если администрация самого сайта не реагирует?
Вопрос в другом: если я таки обнаружил проблему (ну или не я, а кто-то другой обнаружил) — куда следует сообщить, особенно если администрация самого сайта не реагирует?
Небольшое дополнение.
Конечно, все эти сайты министерств и ведомств — они по сути своей «сайты-визитки», там нет никакой сверхсекретной информации (ну или не должно быть). Поэтому спереть оттуда ничего интересного нельзя.
Однако наличие уязвимости может позволить злоумышленнику сделать дефейс сайта, и мне лично будет неприятно узнать, что какие-нибудь турецкие хакеры оставили неприличную надпись на главной странице какого-нибудь российского министерства.
Поэтому мне в данном конктексте не так важно, кто делал сайт, как при этом попилили деньги. Я не собираюсь тыкать пальцем в кривой дизайн или функционал. Я хочу просто понять, куда надо сообщить, если я обнаружил проблему.
Конечно, все эти сайты министерств и ведомств — они по сути своей «сайты-визитки», там нет никакой сверхсекретной информации (ну или не должно быть). Поэтому спереть оттуда ничего интересного нельзя.
Однако наличие уязвимости может позволить злоумышленнику сделать дефейс сайта, и мне лично будет неприятно узнать, что какие-нибудь турецкие хакеры оставили неприличную надпись на главной странице какого-нибудь российского министерства.
Поэтому мне в данном конктексте не так важно, кто делал сайт, как при этом попилили деньги. Я не собираюсь тыкать пальцем в кривой дизайн или функционал. Я хочу просто понять, куда надо сообщить, если я обнаружил проблему.
вообще-то есл мне не изменяет память — за эти дела ФАПСИ отвечает. Ведь интернет и все с ним связанное в понимании госорганов относится к связи, а госсвязь — это ФАПСИ.
Указом Президента России от 11 марта 2003 года № 308 «О мерах по совершенствованию государственного управления в области безопасности Российской Федерации» Федеральное агентство правительственной связи и информации при Президенте Российской Федерации упразднено, а его функции переданы ФСБ России, СВР России и Службе специальной связи и информации ФСО России.
Цитируется отсюда: ru.wikipedia.org/wiki/%D0%A4%D0%90%D0%9F%D0%A1%D0%98
То есть, видимо, за это теперь должна отвечать ФСО, служба специальной связи и информации. Спасибо, хорошая идея!
Цитируется отсюда: ru.wikipedia.org/wiki/%D0%A4%D0%90%D0%9F%D0%A1%D0%98
То есть, видимо, за это теперь должна отвечать ФСО, служба специальной связи и информации. Спасибо, хорошая идея!
>>Но вот что я хотел бы узнать – имеется ли какая-то единая служба, которая отвечает за информационную защищенность всех сайтов министерств и ведомств
есть фсб, но она отвечает насколько я знаю только за kremlin.ru и fsb.ru
есть фсб, но она отвечает насколько я знаю только за kremlin.ru и fsb.ru
Однажды заргеил интересный домен, через пару дней позвонили Оттуда и вежливо-настоятельно рекомендовали его не использовать.
Так что, следят…
Так что, следят…
А можете в личку написать про сайт Президента? Я всё-таки имею какое-то отношение к этой теме.
В США есть us-cert.gov отвечающая за информационную безопасность гос. компьютеров.
www.ufms.nnov.ru/form/form.php
я недавно пробовал оставить сообщение на сайте УФМС… не вышло… или не дали…
грустно
я недавно пробовал оставить сообщение на сайте УФМС… не вышло… или не дали…
грустно
Не знаю, как другим, но лично мне было бы очень интересно почитать, какие лично Вы используете инструменты, приёмы и «техники» для тестирования и проверки сайтов на ошибки и уязвимости. Разумеется, ни в коем случае не в духе «а теперь набираем SELECT… в адресной строке и получаем рутовый пароль», и не на конкретных сайтах, а в конструктивно-профессиональном стиле с изложением основных принципов. Может напишите отдельную публикацию по этому делу?
Лично я за такой материал был бы очень благодарен.
Лично я за такой материал был бы очень благодарен.
предлагаю продолжить тему
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Защищенность правительственных сайтов