Как стать автором
Обновить

Комментарии 32

вот жеж, прочитав заголовок решил что это очередной опрос BBC и хотел проголосовать за Аткинсона

P.S. ну хоть бы скрин кто сделал, полюбоваться работой :)
Жёлтый заголовок, подумал так же как и beliyadm.

Кстати нашёл скрин
НЛО прилетело и опубликовало эту надпись здесь
эх жаль, зачетный бы был председатель, ходил бы на заседание с мишкой
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Кстати, они не сильно по-моему похожи. Ну то есть похожи, но не в той степени, какой я ожидал.
Они очень похожи, когда Бин строит гримасы, как на скриншоте :)
Для того, чтобы получить мистера Бина из премьера Испании нужна одна итерация, из президента РФ — две.
Президент Российской Федерации не нуждается в итерациях. Это Мистер Бин под него итерируется!
улыбка похожа
этот председатель получше будет. пусть его оставят!
Я тоже обеими руками голосую за Аткинсона. Он крут!
Вот бывают же хакеры с чувством юмора и меры. Не «Х$@» написать большими красными буквами и не форму для ввода паролей или номеров кредиток повесить, а пошутить на тему мистера Бина как председателя Евросоюза. Взломав систему безопасности за 12 лимонов. Молодцы ребята.
Эпический фейл. Но ребята действительно молодцы, в очередной раз доказали, что абсолютно защищенных систем не бывает и соотношение «количество потраченного бабла/защищенность» отнюдь не линейное.
«Инцедент усугубился падением сайта из-за наплыва посетителей, желавших оценить сходство британского актера с премьером Испании» — Так они до этого не видели мистера Бина и все повалили на взломанный сайт, чтобы посмотреть на него?
Мыслите не так)
вчерашний кеш гугла показывает уже нормальный сайт. Узнать бы точную дату когда все это было
12 млн. евро… В распиле денег мы не одиноки :)
Да, а масштабы то какие!!! (О.о)
О бесплатной OpenBSD они не слышали, видимо.
В OpenBSD встроена защита от XSS?
Защита от XSS стоит 12 млн евро?
Безотносительно стоимости — при чем тут OpenBSD?
Я пытался сказать, что глупо вкладывать миллионы долларов в безопасность системы (которую все равно поломали), если есть открытая бесплатная система, известная своей безопасностью.
1. Оставим в стороне затраты Испании либо кого-либо еще на обеспечение безопасности eu2010.es, я обращаю внимание не на это.

2. Важно понимать, какие именно компоненты (аппаратное обеспечение, сети передачи данных, ПО и протоколы) вовлечены в работу, в данном случае, WWW, и какую роль несет каждая их указанных компонент в реализации уязвимости. Понимание, что же такое на самом деле XSS, приведет к пониманию факта, что ОС, в среде которой запущен веб-сервер, обслуживающий сайт с XSS-уязвимостью, не имеет никакого отношения к реализации этой уязвимости. Смею утверждать, что уязвимость имела бы место в случае, если веб-сервер работал бы под OpenBSD, NetBSD, Windows 3.11 либо GNU/Hurd.

3. Безопасность — не результат, а процесс. Рассуждать об эффективности организации безопасности eu2010.es (равно как и об эффективности затрат на такую организацию) можно лишь, как минимум, после ознакомления с моделью угроз, которой руководствовались субъекты организации безопасности. Если угроза XSS, ведущая к помещению на сайт произвольного изображения, была рассмотрена как вероятная, но не имеющая деструктивного эффекта, а также были предусмотрены меры противодействия и восстановления — значит с точки зрения политики безопасности все сделано верно, остается лишь открытым вопрос реализации этой политики.
Вы все правильно говорите. Разумеется, никакая ОС не обеспечит защиту от XSS. При желании защиту от XSS можно реализовать в CMS.

Я в свое время написал такой движок. Защита от XSS была реализована в классе, отвечающем за работу с шаблонами. В шаблон можно было подставить только данные определенного типа — или integer или string (и, помнится, еще дату). В первом случае производилось преобразование в число, во втором — htmlspecialchars. Но что-то меня не в ту степь понесло :)

В общем я ни коем образом не пытаюсь сказать что OpenBSD спасает от XSS уязвимостей. Ровно как и от слабых паролей и многого другого. Меня как раз беспокоит вопрос, касающийся затрат, который вы так настойчиво хотите отбросить. Мне не понятно, как можно потратить такую кучу денег на безопасность одного сайта.
Я бы начал с поиска первоисточника указанной суммы. А то окажется, как в известном анекдоте: «И не выиграла, а проиграла...».
Всегда вызывает массу позитивных эмоций вот такие вот «добрые» проделки хакеров.
тем более когда им противостоит такие мощные «бюджеты защиты»
Аткинсона в Президенты Евросоюза! Блэра на мыло! (или он уже сам отказался?)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории