Comments 32
вот жеж, прочитав заголовок решил что это очередной опрос BBC и хотел проголосовать за Аткинсона
P.S. ну хоть бы скрин кто сделал, полюбоваться работой :)
P.S. ну хоть бы скрин кто сделал, полюбоваться работой :)
+5
эх жаль, зачетный бы был председатель, ходил бы на заседание с мишкой
+3
UFO just landed and posted this here
Кстати, они не сильно по-моему похожи. Ну то есть похожи, но не в той степени, какой я ожидал.
0
этот председатель получше будет. пусть его оставят!
+2
Я люблю этот мир
+2
Вот бывают же хакеры с чувством юмора и меры. Не «Х$@» написать большими красными буквами и не форму для ввода паролей или номеров кредиток повесить, а пошутить на тему мистера Бина как председателя Евросоюза. Взломав систему безопасности за 12 лимонов. Молодцы ребята.
+21
Эпический фейл. Но ребята действительно молодцы, в очередной раз доказали, что абсолютно защищенных систем не бывает и соотношение «количество потраченного бабла/защищенность» отнюдь не линейное.
-1
«Инцедент усугубился падением сайта из-за наплыва посетителей, желавших оценить сходство британского актера с премьером Испании» — Так они до этого не видели мистера Бина и все повалили на взломанный сайт, чтобы посмотреть на него?
-6
вчерашний кеш гугла показывает уже нормальный сайт. Узнать бы точную дату когда все это было
0
12 млн. евро… В распиле денег мы не одиноки :)
+6
Да, а масштабы то какие!!! (О.о)
0
О бесплатной OpenBSD они не слышали, видимо.
-1
В OpenBSD встроена защита от XSS?
+1
Защита от XSS стоит 12 млн евро?
0
Безотносительно стоимости — при чем тут OpenBSD?
0
Я пытался сказать, что глупо вкладывать миллионы долларов в безопасность системы (которую все равно поломали), если есть открытая бесплатная система, известная своей безопасностью.
0
1. Оставим в стороне затраты Испании либо кого-либо еще на обеспечение безопасности eu2010.es, я обращаю внимание не на это.
2. Важно понимать, какие именно компоненты (аппаратное обеспечение, сети передачи данных, ПО и протоколы) вовлечены в работу, в данном случае, WWW, и какую роль несет каждая их указанных компонент в реализации уязвимости. Понимание, что же такое на самом деле XSS, приведет к пониманию факта, что ОС, в среде которой запущен веб-сервер, обслуживающий сайт с XSS-уязвимостью, не имеет никакого отношения к реализации этой уязвимости. Смею утверждать, что уязвимость имела бы место в случае, если веб-сервер работал бы под OpenBSD, NetBSD, Windows 3.11 либо GNU/Hurd.
3. Безопасность — не результат, а процесс. Рассуждать об эффективности организации безопасности eu2010.es (равно как и об эффективности затрат на такую организацию) можно лишь, как минимум, после ознакомления с моделью угроз, которой руководствовались субъекты организации безопасности. Если угроза XSS, ведущая к помещению на сайт произвольного изображения, была рассмотрена как вероятная, но не имеющая деструктивного эффекта, а также были предусмотрены меры противодействия и восстановления — значит с точки зрения политики безопасности все сделано верно, остается лишь открытым вопрос реализации этой политики.
2. Важно понимать, какие именно компоненты (аппаратное обеспечение, сети передачи данных, ПО и протоколы) вовлечены в работу, в данном случае, WWW, и какую роль несет каждая их указанных компонент в реализации уязвимости. Понимание, что же такое на самом деле XSS, приведет к пониманию факта, что ОС, в среде которой запущен веб-сервер, обслуживающий сайт с XSS-уязвимостью, не имеет никакого отношения к реализации этой уязвимости. Смею утверждать, что уязвимость имела бы место в случае, если веб-сервер работал бы под OpenBSD, NetBSD, Windows 3.11 либо GNU/Hurd.
3. Безопасность — не результат, а процесс. Рассуждать об эффективности организации безопасности eu2010.es (равно как и об эффективности затрат на такую организацию) можно лишь, как минимум, после ознакомления с моделью угроз, которой руководствовались субъекты организации безопасности. Если угроза XSS, ведущая к помещению на сайт произвольного изображения, была рассмотрена как вероятная, но не имеющая деструктивного эффекта, а также были предусмотрены меры противодействия и восстановления — значит с точки зрения политики безопасности все сделано верно, остается лишь открытым вопрос реализации этой политики.
0
Вы все правильно говорите. Разумеется, никакая ОС не обеспечит защиту от XSS. При желании защиту от XSS можно реализовать в CMS.
Я в свое время написал такой движок. Защита от XSS была реализована в классе, отвечающем за работу с шаблонами. В шаблон можно было подставить только данные определенного типа — или integer или string (и, помнится, еще дату). В первом случае производилось преобразование в число, во втором — htmlspecialchars. Но что-то меня не в ту степь понесло :)
В общем я ни коем образом не пытаюсь сказать что OpenBSD спасает от XSS уязвимостей. Ровно как и от слабых паролей и многого другого. Меня как раз беспокоит вопрос, касающийся затрат, который вы так настойчиво хотите отбросить. Мне не понятно, как можно потратить такую кучу денег на безопасность одного сайта.
Я в свое время написал такой движок. Защита от XSS была реализована в классе, отвечающем за работу с шаблонами. В шаблон можно было подставить только данные определенного типа — или integer или string (и, помнится, еще дату). В первом случае производилось преобразование в число, во втором — htmlspecialchars. Но что-то меня не в ту степь понесло :)
В общем я ни коем образом не пытаюсь сказать что OpenBSD спасает от XSS уязвимостей. Ровно как и от слабых паролей и многого другого. Меня как раз беспокоит вопрос, касающийся затрат, который вы так настойчиво хотите отбросить. Мне не понятно, как можно потратить такую кучу денег на безопасность одного сайта.
0
Всегда вызывает массу позитивных эмоций вот такие вот «добрые» проделки хакеров.
тем более когда им противостоит такие мощные «бюджеты защиты»
тем более когда им противостоит такие мощные «бюджеты защиты»
+3
Аткинсона в Президенты Евросоюза! Блэра на мыло! (или он уже сам отказался?)
0
Sign up to leave a comment.
Роуэн Аткинсон как председатель Евросоюза