Re: 1.6.3 - Security release
A.L.E.C napisał(a):
Teraz już nie są w sesji wogóle przechowywane, więc chyba dobrze że zostało to poprawione. Jak dodać do tego, że sesja była zapisywana w lmsowym backupie, no to masz już dwa miejsca z których potencjalnie można było to hasło odczytać. Jeżeli miałeś dobrze zabezpieczoną bazę i system plików, to
Mylse ze to najwiekszy pozytek z tej zmiany. Backupy lubia sie walac po roznych miejscach, zwlaszcza jesli na jakims etapie trafiaja na cdromy. Poza tym wartosc archiwalna tabeli z sesjami jest zerowa a za to ominiecie ich przy robieniu backupow pozwoli zaoszczedzic troche miejsca na dyskach (i czasu procesora)
ok. Ale nie zaprzeczysz chyba, że jednak było to załatanie potencjalnych dziur? A dziury w kernelu o których czasem się słyszy? To też w większości przypadki, które mogą być wykorzystane tylko w określoonych warunkach. To że
Nie wiem jak u was ale ja mam paru klientow ktorzy co jaks czas przysylaja mi logi z jakigos norton firewala i bucza ze mieli proby wlamow do uslug ktore nie dzialaja na ich komputerach. Programy loguja proby polaczen na zamkniete porty i opisuja to jako proby wlamow. Jest super bo widac ze norton firewall dziala skoro pluje jakimis komunikatami, tylko ze robiac to nie zabezpiecza przed niczym a tylko wprowadza zamieszanie. To samo dotyka niektorych adnimow: googlaja po necie i wyszukuja listy portow i sekwencje pakietow oznaczajacych proby wlamow i dopisuja do do swoich firewali z opcja logowania. Pozniej bucza ze firewal im powoli chodzi i brakuje im miejsca na dyskach bo zapychaja sie logami ktorych i tak nikt nie czyta. A po jakims czasie okazuje sie ze jakis klient ma problem bo nie moze sie polaczyc z jakas zdalna aplikacja za ktora zaplacil komus gruba kase (np zarzadzanie flota robione przez ktoregos z komorczakow potrzebuje przepuszczania portu postgresa i paru innych)
Nie popadajmy w paranoje nasze serwery to nie mainframy w pentagonie.
Nie mam nic przeciwko lataniu potencjalnych dziur, apeluje tylko zeby nie doprowadzic do tego ze caly system bedzie nieprzyatny do czegokolwiek. A zdarzaly sie juz takie historie kiedys w PLD na przyklad.
Grzegorz Stanislawski
uczestnicy (1)
-
Grzegorz Stanislawski