Fw: [閒聊] 無形成本就在這裡

作者: LaPass (LaPass)   2012-11-16 13:54:00
※ [本文轉錄自 startup 看板 #1Gf9n5Ro ]
作者: LaPass (LaPass) 看板: startup
標題: [閒聊] 無形成本就在這裡
時間: Thu Nov 15 15:39:47 2012
被XXS攻擊搞到停站的網站
http://f23ko.com/432/popo-tw
http://www.popo.tw/
http://i.imgur.com/07WBw.jpg
http://i.imgur.com/LyLB7.jpg
雖然聽別人講過這次攻擊的手法
但我PO這篇的重點跟技術無關,只是借題發發牢騷而已
簡單來講,就是這個站被駭到讓站方關站維修了
其實.....
那個漏洞已經足已將使用者資料給撈走,而且不留任何痕跡
那駭客會這麼高調是為了把漏洞給桶出來
我自己本身是寫網頁程式的
主要工作的是在後端
看到這個畫面,感觸很深
有些看不到的東西,是很貴的
很多防護、撰寫程式要注意的細節,很傷神又費工
但客戶、老闆、主管往往看不到,也不會去看那些地方
他們只會看、也只看得懂那些前端部分
例如版面怎麼排、圖漂不漂亮、滑鼠移上去會不會出現提示訊息之類的小地方
而且評鑑進度時,也只會看XXX功能有沒有完成之類的
安全性等功能,通常會被忽略
因為客戶不懂、也不會去注意這一方面
有時候,客戶可能也會有一些安全性上的要求
例如說,要求變更私人資料時要再次輸入密碼
但是,該怎麼實行又是個大問題
我看過只出現個視窗驗證密碼,但是session cookies全部都沒動
也就是說,那個驗證功能根本是「假的」
頂多防止,別人趁使用者離開電腦時去修改他的資料而已
要探究這種現象原因,大概又是因為趕工、規格變動的關係
而有意無意把那些考量給忽略了
其實,要寫出一個堅固、好的程式,需要縝密思考
很多非預期的使用者行為,根本不是客戶規畫中會去想的
但如果要把資安問題納入考量,這些都是寫程式時要去想、做的功能
或許有些剛進入這一行的人會去思考這些東西
但是,去做了之後就會發現,客戶、主管根本不會感激你做了這些防護
只會因為你沒使用最快的方式把功能給做出來,而發火、扣款等
而且,多做防護的另一個負面效果
就是當客戶要求變更規格時,容易讓程式變得難以修改
有時候流程、規格變化之大,讓人難以想像
老實說,潛在漏洞,並不是那麼容易出問題
我曾經在一個已經運行將近十年的網頁系統上發現一個重大漏洞
而且這個漏洞是在系統的核心元件上
也就是說
這十年間
不論是在哪個網頁頁面,都可以用幾行script
把整個系統的資料庫整個幹掉
但這個漏洞卻這樣沉睡了十年,沒人發現過.....
所以..... 懂程式、懂攻擊的人並不多
即使一個程式設計師了解安全性的嚴重性
在這種得過且過的環境下,久而久之,也就不會在乎那些東西
當程式設計師變成主管、老闆時
他也知道在客戶的眼中,安全性的順位排在很後面
自然會叫屬下先弄出漂亮的介面跟華麗的flash來討客戶開心
而把安全問題忽略掉了
反正,出問題時,吃虧的是客戶,也不是自己
作者: koller (別迷戀哥 哥只是一個傳說)   2011-01-15 17:20:00
懂程式、懂攻擊的人並不多....我笑了
作者: LaPass (LaPass)   2011-01-15 18:53:00
樓上的水桶紀錄蠻輝煌的...
作者: Giuliani (the mortal)   2011-01-15 21:26:00
優文
作者: GG5 (GG5)   2011-01-15 21:29:00
大推文 深感我心呀!!最近接到一案就是老闆根本不重視資安只注重網站用最快最簡單的方式做,我寧願不做免得後患
作者: kongyeah (^.^)   2011-01-16 12:25:00
滿有道理的
作者: snaketsai (さいでんし)   2011-01-16 12:42:00
不太懂koller噓是在反對哪點?
作者: asadfish (老二比領帶長)   2011-01-16 18:55:00
客戶、主管根本不會感激你做了這些防護...(淚)
作者: monghan   2011-01-21 15:37:00
套一句分析師的話...資安是有錢時才會在乎的附加價值...
作者: Antarez (Antarez)   2012-02-21 07:46:00
所以資安已經是獨立出來的部門 而不是併在development裡了
作者: sillymoon13 (冬季的過客)   2012-02-22 10:31:00
等痛過一次就知道資安的重要了

Links booklink

Contact Us: admin [ a t ] ucptt.com