Serwery stojące w Acer Computer GmbH, twierdzą, że działają pod Apache z F5 Big-IP, w tym roku to już standard przy włamaniach.

A serwery stojące w Acer Europe Services s.r.l., podają odpytane, że działają pod Apache/2.0.46 (Tao Linux lub CentOS) , gratulujemy optymizmu i niewiedzy administratorom, deweloperom i zarządowi.

@tad, standardem przy takich włamaniach jest dokonanie ich za pomocą "przejętej" maszyny wpiętej do firmowej sieci, należącej do jakiegoś mniej rozgarniętego pracownika którego zainteresuje powiększenie ptaszka czy rabaty przy zakupach Viagry. Zwykle te komputery pracują pod kontrolą jednego z twoich faworyzowanych systemów operacyjnych co znakomicie ułatwia zadanie wszelkim hakerom. Trochę psychologii społecznej i można się obyć bez łamania Linuksowych zabezpieczeń.

siwy: co za rozpaczliwe tłumaczenie się. Dzięki. Oczywiście każdy system można skonfigurować dowolnie źle, podobnie pod każdy system można napisać oprogramowanie z dowolnymi szkolnymi błędami, ale... Życie nie jest 0-1 (skoro nie ideał to odrzucamy lub 2 nieideały są jednakowo warte). Współczesne większe aplikacje pisze się warstwowo i modułowo (i jeszcze wiele innych technik), aby odwołać się z danego do innego to trzeba aby spełnił się lokalnie przewidziany komplet reguł biznesowych (claims based), podobnie aby dostać rezultaty zamiast komunikatu o odmowie - a nie tylko przynależność do grupy czy roli jakiegoś naiwnego użytkownika. Warstwy są ponadto separowane jako usługi serwisowe, komunikujące się za pomocą zdarzeń (wiem pod linuksem wciąż za drogie i za trudne w większych złożonych systemach), w czym znakomicie pomaga obecny WCF, Rx (Reactive Extensions) czy LINQ i EF4.1 i tak piękne serwery specjalizowane do robienia wariantów bus service czy walidacji i grupowania usług itd itd. Dlatego tworzenie odpowiedzialnego softu pod VS jest coraz łatwiejsze względem miernie rozwijającej się konkurencji. Poprawnie napisany soft zauważyłby, że ktoś próbuje wyciągać dane ponad biznesowe potrzeby dla danego profilu lub, że wzrasta zapotrzebowanie, bo wywołałby odpowiedni ciąg zdarzeń blokujący dalszą zabawę i rozsyłający komunikaty do zainteresowanych. Takie naiwności jak XSS, Forgery (przechwycenie), czy wstrzyknięcia to już historia od lat. Jednak jeżeli coś jest napisane w stylu z ubiegłego wieku lub przez dyletantów (np. z odwołaniami wprost do bazy danych z aplikacji klienckiej to nie system czy jezyki są winne a kierownictwo dopuszczająca do tego.

@tad facet, że niby pod linuksem nie ma obsługi zdarzeń? a dbus to niby co? Masz rację, że poprawnie napisany soft zauważy próbę wyciągnięcia danych - ale to można zrobić za pomocą struktury: QTimer, QNetworkRequest i int; Dlaczego akurat takie? poczytaj sobie. Ich oprogramowanie do wyłapywania nieautoryzowanego dostępu trwa dwie minuty;

nick: oczywisćie , że można zrobić pod linuksem i można zrobić w c++ (i nie tylko) ale koszt i to co proponujesz to o klasę niżej, to jak zamiast programowania obiektowego zastosować dawne proceduralne i bez nowszych bibliotek. Ponadto nie chodzi o wyłapywanie nieautoryzowanego dostępu (to był cel generację aplikacji temu). Teraz nowe systemy nie ograniczają się do autoryzacji (logowanie- autentykacja-grupy-role-autoryzacja) ale są oparte o wstrzykiwane dynamicznie zmiennych reguł dopuszczeń (claims based) , które są znacznie szerszym rozwiązaniem (i w z karesie co można i z czym można i w jakim kontekście wyznaczanym na moment sprawdzenia np. tylko tych co nie mają statystycznej regresji i co pracują np. od tygodnia i co w innych czynnościach nie mieli więcej niż czegoś tam, itd). Również komunikacja między modułami oparta o zdażenia to coś zancznie więcej niż wyłapywanie prób włamań, to oczekiwanie spełnienia reguł biznesowych na wejście, na otrzymanie wyników lub tylko ich części lub odmowy. To co piszesz działa ale to inny świat, świat gdzie złożoność systemów powoduje rosnące szybciej niż liniowo problemy z analizą, optymalizacją i brakiem precyzyjnego wymuszenia spełniania reguł biznesowych na stykach każdego z modułów i każdej z warstw. TO co podajesz to tylko obserwowanie powierzchni bez wnikania w istotę tego co sie dzieje pod spodem, a jeżeli już to po koszcie dla deweloperów rosnącym kwadratowo do złożoności systemu, co jest nieakceptowalne od lat ale w specyficznych środowiskach tolerowane lub wyciszane bo to linuks.

nick: można ale jest ale - nie te czasy nie ten poziom. Nie chodzi już ledwie o wykrycie wkrótkim czasie próby przechwycenia dostępu opartego o ledwie autentykację-grupy-role-autoryzację sesyjny guid itp. zgrubne podejście powierzchniowe, ale o wstrzykiwane wymuszenie niedopuszczenia do inicjacji przetwarzania ani do przesłania każdego z wyników (lub braku w/w a oczekiwanych), dla każdego procesu biznesowego i każdego modułu, o niski koszt rozwoju i zmian tego - znacznie wolniejszy od kwadratowego lub liniowy. To co opisujesz to tylko obserwacja powierzzchni (jak wędkarz wnioskujący o rybkach i dramatach w stawie i mule) a to tylko jedna grupa zaniechań z wielu obecnie coraz częściej implementowanych i ważnych (choć dopiero teraz efektywnie od początku do końca zrobionych dla dewelopera) - dlatego VS i jego ogromne otoczenie.

@tad pier***licie hipolicie. Podejście jest stricte obiektowe i oparte na zdarzeniach. Twój bełkot marketingowy zdaje się odrzucać najważniejsze. zarówno VS jak i Qt są obiektowe i używają głównie C++ (chyba, że jakiś idiota zamierza się męczyć w C lub .NET)