Комментарии 28
Хороший вопрос! в основном большинство людей в России не задумывается о безопасности до первого взлома. Хотя и после первого не все что нибудь предпринимают для повышения защиты
Насколько я понимаю, проблема с https невелика: если продукт поддерживает только http, всегда можно кинуть запросы транзитом через Apache, на котором настроен SSL и, скажем, gzip.
О какой безопасности может идти речь, если у 50% главбухов на 1С базе стоят пароли "111", "123", "1" и на вопрос "а как же безопасность?" они отвечают "да кому мы нужны?".
Вопросы безопасности вряд ли будут волновать широкие массы людей до тех пор, пока по НТВ пару раз во всех подробностях не расскажут как "компьютерные хакеры" смогли тиснуть информацию, как они ее смогли использовать, и что при этом потеряла фирма.
А пока - просто отсутствует понимание потенциальных рисков.
Вопросы безопасности вряд ли будут волновать широкие массы людей до тех пор, пока по НТВ пару раз во всех подробностях не расскажут как "компьютерные хакеры" смогли тиснуть информацию, как они ее смогли использовать, и что при этом потеряла фирма.
А пока - просто отсутствует понимание потенциальных рисков.
Вы не поверите, пароль главбуха из трех цифровых символов, это недостаток сис. админа ;)
К тому же причем тут главбухи? вопрос идет все о тех же ИТ профессионалах, которые должны заботится безопастности своих проектов, то есть если пользователя ламанули с паролем 123 банальным подбором, это отчасти, проблемы пользователя, но какой смысл использовать пароли dlkgj;lz#$%, если они передаются по http как plaintext
К тому же причем тут главбухи? вопрос идет все о тех же ИТ профессионалах, которые должны заботится безопастности своих проектов, то есть если пользователя ламанули с паролем 123 банальным подбором, это отчасти, проблемы пользователя, но какой смысл использовать пароли dlkgj;lz#$%, если они передаются по http как plaintext
И недостаток разработчика системы (в частности 1С) - если она позволяет ставить такие пароли. Меня убило с непривычки требование к паролю при регистрации гугловского ящика, но я их понимаю - иначе и я поставил бы что-нибудь удобное, а не безопасное.
Не важно чья это вина или недостаток. Важно то, что других требований не возникнет, пока не будет осознания возможных убытков. А осознания не будет, пока это не популяризируют.
И нет особой разницы в безопасности хранения данных бухгалтерии и безопастности какого-то проекта. Это общий вопрос подхода к информационной безопастности.
И нет особой разницы в безопасности хранения данных бухгалтерии и безопастности какого-то проекта. Это общий вопрос подхода к информационной безопастности.
Позволю себе не согласиться по поводу пароля на 1С.
Был случай: Есть 1C, есть "удобный" пароль на неё. Сообщаем главбуху, что такой пароль - плохой, и его надо сменить, начинаются споры, возмущения и т.д. После чего главбух идёт к гендиру и рассказывает, что её хотят заставить запомнить и вводить сложный пароль. После гендиру объясняется вся важность установки правильного пароля. В итоге следует указание сверху оставить пароль, который нравится бухгалтерии, ну а на едине и без "посторонних" гендир поясняет, что шуму слишком много из-за этого пароля, пусть уж лучше старый пароль остаётся, это всё исходя из "... не тронешь, вонять не будет", и в итоге в качестве пароля остаётся что-то типа 123.
P.S. Это несогласие по поводу того, что плохой пароль это недостаток сис.админа.
Был случай: Есть 1C, есть "удобный" пароль на неё. Сообщаем главбуху, что такой пароль - плохой, и его надо сменить, начинаются споры, возмущения и т.д. После чего главбух идёт к гендиру и рассказывает, что её хотят заставить запомнить и вводить сложный пароль. После гендиру объясняется вся важность установки правильного пароля. В итоге следует указание сверху оставить пароль, который нравится бухгалтерии, ну а на едине и без "посторонних" гендир поясняет, что шуму слишком много из-за этого пароля, пусть уж лучше старый пароль остаётся, это всё исходя из "... не тронешь, вонять не будет", и в итоге в качестве пароля остаётся что-то типа 123.
P.S. Это несогласие по поводу того, что плохой пароль это недостаток сис.админа.
Ну а проблема как раз в том, что человек не осознает важность, и возможную цену своего решения. Если бы он хоть на минуту представил/увидел в телевизоре, как из-за решения "чтобы не воняло" разорилась контора - он бы решил "повоняет, да бросит". А так для него этот пароль - всего лишь разница между "gEvYsUpA54H" и "123", а не вопрос потери всей прибыли предприятия.
НЛО прилетело и опубликовало эту надпись здесь
Надо попробовать совместить удобность и сложность - пусть хотя бы чуть-чуть, но повысить безопасность. Нравится 123, а 1!2@3# чем плох?
набирать тяжело %) 123 удобнее..
дык никто не спорит, я вообще не могу представить, как это не уболтать пользователя, пусть хоть самого высокого ген директора (хотя с ними как раз легче наверно) ну пусть наиглавнешего главбуха, на пароль типа
"qwE321"
я понимаю, что это тоже не верх секьюрезности, но в сравнение с 123 :)
дык никто не спорит, я вообще не могу представить, как это не уболтать пользователя, пусть хоть самого высокого ген директора (хотя с ними как раз легче наверно) ну пусть наиглавнешего главбуха, на пароль типа
"qwE321"
я понимаю, что это тоже не верх секьюрезности, но в сравнение с 123 :)
В особо тяжёлых случаях пароль пишут на бумажке и прилепляют на монитор :)
А Вы вкурсе что пароль юзера на 1С-ную базу (DBF 7,7) снимается легким движением руки и без специального софта?
НЛО прилетело и опубликовало эту надпись здесь
К чему деления на "у них" и "у нас"? А вы точно знаете что "у них" не так? Я вот думаю что сотрудников с паролями "111", "123" и пр. в конфиденциальных системах "у них" не меньше.
В этом вопросе есть одна хорошая книга - "Защищенный код". Если кто не читал просто советую почитать.
Ёмана, https и шифрование не защищает от xss
Все таки короткий пароль - вина админа.
В старой организации (банк) где я работал, у главбуха вообще ключ - флешка была, и паролей 123 и им подобным там близко ни у кого не было.
Если ген согласен с главбухом, промолчите, а потом случайно подсуньте ему пару статей про взломы организаций (только обязательно вроде вашей), сам прикажет всем пароли сменить на более сложные.
В старой организации (банк) где я работал, у главбуха вообще ключ - флешка была, и паролей 123 и им подобным там близко ни у кого не было.
Если ген согласен с главбухом, промолчите, а потом случайно подсуньте ему пару статей про взломы организаций (только обязательно вроде вашей), сам прикажет всем пароли сменить на более сложные.
у нас в мелких веб-конторах начальству даже на качество кода (как серверного, так и клиентского) как-то плевать.. написано быстро, работает хоть как-то, деньги приносит - и слава богу.
увы.
увы.
Извините а за сколько у нас делаются стартапы?
Сейчас пройдусь по YCombinator :)
Дается 3 месяца.
Как вы думаете что за такой срок можно сделать с безопастностью?
Обязатель, когда поджимают сроки - на безопастность никто смотреть не будет.
Я считаю проект закончен тогда когда он закончен т.е. по окончанию проекта обязательый рефакторинг кода (это кстати может занять как миниму 1 мес.!). Далее написана документация. Далее проведено бета-тестирование на юзерах... (кстати привет супер хабру, сколько уже тестируют) ... а Вы (YCombinator) говорите 3 месяца.
Сейчас пройдусь по YCombinator :)
Дается 3 месяца.
Как вы думаете что за такой срок можно сделать с безопастностью?
Обязатель, когда поджимают сроки - на безопастность никто смотреть не будет.
Я считаю проект закончен тогда когда он закончен т.е. по окончанию проекта обязательый рефакторинг кода (это кстати может занять как миниму 1 мес.!). Далее написана документация. Далее проведено бета-тестирование на юзерах... (кстати привет супер хабру, сколько уже тестируют) ... а Вы (YCombinator) говорите 3 месяца.
В догонку... очень хорошо сравнение с китайскими автомобилями. Разнообразие большое и выходят модели быстро... вроде и автомобиль, вроде и ездит, а сертификацию и креш-тесты проходят единицы... так вот креш-тест - это вопрос безопастности.
А теперь посмотрим на продажи китайцев в Европе и Америке?
А теперь посмотрим на продажи китайцев в Европе и Америке?
В догонку... очень хорошо сравнение с китайскими автомобилями. Разнообразие большое и выходят модели быстро... вроде и автомобиль, вроде и ездит, а сертификацию и креш-тесты проходят единицы... так вот креш-тест - это вопрос безопастности.
А теперь посмотрим на продажи китайцев в Европе и Америке? Да китайцы нас поубивать наверно хотят своими автомобилями, чтобы потом расселиться по всем территориям. Кстати например качество немецких ауди по безопастности я ощутил на себе, когда в меня вьехали на скорости 100 км/ч стоящего, машина отлетела на 20 метров и вся сложилась в гармошку и металл даже негде не лопнул, а у меня и пассажира - не царапины, вот что значит 5 звезд за безопастность удара сзади у неё. Сколько и китайцев?
А теперь посмотрим на продажи китайцев в Европе и Америке? Да китайцы нас поубивать наверно хотят своими автомобилями, чтобы потом расселиться по всем территориям. Кстати например качество немецких ауди по безопастности я ощутил на себе, когда в меня вьехали на скорости 100 км/ч стоящего, машина отлетела на 20 метров и вся сложилась в гармошку и металл даже негде не лопнул, а у меня и пассажира - не царапины, вот что значит 5 звезд за безопастность удара сзади у неё. Сколько и китайцев?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Отношение к безопасности у нас и там