Комментарии 32
вот жеж, прочитав заголовок решил что это очередной опрос BBC и хотел проголосовать за Аткинсона
P.S. ну хоть бы скрин кто сделал, полюбоваться работой :)
P.S. ну хоть бы скрин кто сделал, полюбоваться работой :)
эх жаль, зачетный бы был председатель, ходил бы на заседание с мишкой
НЛО прилетело и опубликовало эту надпись здесь
Кстати, они не сильно по-моему похожи. Ну то есть похожи, но не в той степени, какой я ожидал.
этот председатель получше будет. пусть его оставят!
Я люблю этот мир
Вот бывают же хакеры с чувством юмора и меры. Не «Х$@» написать большими красными буквами и не форму для ввода паролей или номеров кредиток повесить, а пошутить на тему мистера Бина как председателя Евросоюза. Взломав систему безопасности за 12 лимонов. Молодцы ребята.
Эпический фейл. Но ребята действительно молодцы, в очередной раз доказали, что абсолютно защищенных систем не бывает и соотношение «количество потраченного бабла/защищенность» отнюдь не линейное.
«Инцедент усугубился падением сайта из-за наплыва посетителей, желавших оценить сходство британского актера с премьером Испании» — Так они до этого не видели мистера Бина и все повалили на взломанный сайт, чтобы посмотреть на него?
вчерашний кеш гугла показывает уже нормальный сайт. Узнать бы точную дату когда все это было
12 млн. евро… В распиле денег мы не одиноки :)
Да, а масштабы то какие!!! (О.о)
О бесплатной OpenBSD они не слышали, видимо.
В OpenBSD встроена защита от XSS?
Защита от XSS стоит 12 млн евро?
Безотносительно стоимости — при чем тут OpenBSD?
Я пытался сказать, что глупо вкладывать миллионы долларов в безопасность системы (которую все равно поломали), если есть открытая бесплатная система, известная своей безопасностью.
1. Оставим в стороне затраты Испании либо кого-либо еще на обеспечение безопасности eu2010.es, я обращаю внимание не на это.
2. Важно понимать, какие именно компоненты (аппаратное обеспечение, сети передачи данных, ПО и протоколы) вовлечены в работу, в данном случае, WWW, и какую роль несет каждая их указанных компонент в реализации уязвимости. Понимание, что же такое на самом деле XSS, приведет к пониманию факта, что ОС, в среде которой запущен веб-сервер, обслуживающий сайт с XSS-уязвимостью, не имеет никакого отношения к реализации этой уязвимости. Смею утверждать, что уязвимость имела бы место в случае, если веб-сервер работал бы под OpenBSD, NetBSD, Windows 3.11 либо GNU/Hurd.
3. Безопасность — не результат, а процесс. Рассуждать об эффективности организации безопасности eu2010.es (равно как и об эффективности затрат на такую организацию) можно лишь, как минимум, после ознакомления с моделью угроз, которой руководствовались субъекты организации безопасности. Если угроза XSS, ведущая к помещению на сайт произвольного изображения, была рассмотрена как вероятная, но не имеющая деструктивного эффекта, а также были предусмотрены меры противодействия и восстановления — значит с точки зрения политики безопасности все сделано верно, остается лишь открытым вопрос реализации этой политики.
2. Важно понимать, какие именно компоненты (аппаратное обеспечение, сети передачи данных, ПО и протоколы) вовлечены в работу, в данном случае, WWW, и какую роль несет каждая их указанных компонент в реализации уязвимости. Понимание, что же такое на самом деле XSS, приведет к пониманию факта, что ОС, в среде которой запущен веб-сервер, обслуживающий сайт с XSS-уязвимостью, не имеет никакого отношения к реализации этой уязвимости. Смею утверждать, что уязвимость имела бы место в случае, если веб-сервер работал бы под OpenBSD, NetBSD, Windows 3.11 либо GNU/Hurd.
3. Безопасность — не результат, а процесс. Рассуждать об эффективности организации безопасности eu2010.es (равно как и об эффективности затрат на такую организацию) можно лишь, как минимум, после ознакомления с моделью угроз, которой руководствовались субъекты организации безопасности. Если угроза XSS, ведущая к помещению на сайт произвольного изображения, была рассмотрена как вероятная, но не имеющая деструктивного эффекта, а также были предусмотрены меры противодействия и восстановления — значит с точки зрения политики безопасности все сделано верно, остается лишь открытым вопрос реализации этой политики.
Вы все правильно говорите. Разумеется, никакая ОС не обеспечит защиту от XSS. При желании защиту от XSS можно реализовать в CMS.
Я в свое время написал такой движок. Защита от XSS была реализована в классе, отвечающем за работу с шаблонами. В шаблон можно было подставить только данные определенного типа — или integer или string (и, помнится, еще дату). В первом случае производилось преобразование в число, во втором — htmlspecialchars. Но что-то меня не в ту степь понесло :)
В общем я ни коем образом не пытаюсь сказать что OpenBSD спасает от XSS уязвимостей. Ровно как и от слабых паролей и многого другого. Меня как раз беспокоит вопрос, касающийся затрат, который вы так настойчиво хотите отбросить. Мне не понятно, как можно потратить такую кучу денег на безопасность одного сайта.
Я в свое время написал такой движок. Защита от XSS была реализована в классе, отвечающем за работу с шаблонами. В шаблон можно было подставить только данные определенного типа — или integer или string (и, помнится, еще дату). В первом случае производилось преобразование в число, во втором — htmlspecialchars. Но что-то меня не в ту степь понесло :)
В общем я ни коем образом не пытаюсь сказать что OpenBSD спасает от XSS уязвимостей. Ровно как и от слабых паролей и многого другого. Меня как раз беспокоит вопрос, касающийся затрат, который вы так настойчиво хотите отбросить. Мне не понятно, как можно потратить такую кучу денег на безопасность одного сайта.
Всегда вызывает массу позитивных эмоций вот такие вот «добрые» проделки хакеров.
тем более когда им противостоит такие мощные «бюджеты защиты»
тем более когда им противостоит такие мощные «бюджеты защиты»
Аткинсона в Президенты Евросоюза! Блэра на мыло! (или он уже сам отказался?)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Роуэн Аткинсон как председатель Евросоюза