Страница 12 из 16

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 12.10.2017 20:56:31
ElectroGuard
Проблема не в пхп коде, а в либах и самих скриптах. У нас форум (phpBB) ломали несколько раз. Причём, так, 'по взрослому'. Вместе со всем сайтом, троянами и так далее. Защищенность PHP - миф. Уж точно не больше, чем Паскаля/Делфи.

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 12.10.2017 22:53:25
ev
vitaly_l писал(а):Вообще-то, пхп можно защитить, точно также как и любую другую программу.

нет

vitaly_l писал(а):В том числе и зашифровать код и подписать код, так что, его никто не сможет прочесть кроме автора, а уж тем более внести изменения.

это вообще из другой области
любую другую последовательность бит можно "зашифровать и подписать", но это никак не относится к упоминаемой здесь безопасности :roll:

vitaly_l писал(а):Для взлома незащищённого пхп, тоже требуются знания, которыми владеют люди, которые не ломают сайты (им это ненужно).

это не так

vitaly_l писал(а):Этот форум написан на пхп и этот форум не защищён вышеописанным образом, и, что же в пхп этого форума ненадёжного?

еслиб я еще понял вопрос :?

vitaly_l писал(а):Если бы к форуму был-бы лёгкий доступ по пхп, то этот форум (и все на этом движке) были бы уже забиты спамом. Разве нет?

этот форум и забит спамом (его просто обычные пользователи не видят)
но спам тут вообще не к месту - спамеры очень редко используют уязвимости, гораздо проще и дешевле действовать иначе

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 12.10.2017 23:38:30
vitaly_l
Вы хотите скакать, что например 1с битрикс <= самая опасная программа в мире? (на ней сделано 50% продающих сайтов)
Такие движки как phpBB - не ломают, но получают к серверам доступ при обновлении и установке плагинов. Но это явно не взлом пхп.
Как по вашему можно взломать пхп, раз все так уверены, что пхп легче взломать чем паскаль?

например если сайт на php состоит из одной страницы index.php, которая соединяется с базой и выводит список из таблицы.
всё больше ничего на сайте нет (чтобы исключить киворукость и т.п.).

Вот как, вы такой php взломаете?

.

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 13.10.2017 08:22:08
ev
vitaly_l писал(а):Вы хотите скакать, что например 1с битрикс <= самая опасная программа в мире? (на ней сделано 50% продающих сайтов)

не могу судить про самую, т.к. надо набирать статистику
но то что она глючная и не особо безопасная - факт... и далеко не только из-за пхп она такая... не очень удачный пример выбрали :lol:

vitaly_l писал(а):Как по вашему можно взломать пхп, раз все так уверены, что пхп легче взломать чем паскаль?

не поленитесь и почитайче changelog - там конечно не все, но очень многое написано

vitaly_l писал(а):всё больше ничего на сайте нет (чтобы исключить киворукость и т.п.).

тогда уж надо исключить криворукость полностью - не запускать пхп
и вот тогда действительно взломать пхп не получится :lol:

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 13.10.2017 10:17:29
vitaly_l
ev писал(а):не поленитесь и почитайче changelog

прекрасный рабочий changelog. И надо учитывать что если написать то-же самое на паскале, то: changelog ошибок на паскале - будет намного длиннее.
ev писал(а):полностью - не запускать пхп

так действительно пхп будет невозможно взломать, но тогда вы даёте хакерам возможность взломать паскалевский движок :wink: . Куда не поворачивай, всё упирается в опыт и навыки хакера. Чем выше уровень хакера, тем сложнее написать защищённый сервер :cry: .

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 13.10.2017 13:05:27
ElectroGuard
Такие движки как phpBB - не ломают, но получают к серверам доступ при обновлении и установке плагинов. Но это явно не взлом пхп.

Его заломали именно снаружи, как раз после залома пришлось обновлять. Форум стоял какое-то время необновленным, заломали через какой-то эксплоит - то есть через дыру в коде форума. И никакое php не помогло, увы. Навешали пачку троянов.

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 13.10.2017 16:11:45
vitaly_l
ElectroGuard писал(а):заломали через какой-то эксплоит - то есть через дыру в коде форума

Специально проверил вариант на паскале и удостоверился, что паскалевский вариант ломается, точно такими же методами, что и пошипи. Соответственно, что Вы на пошипи - оставляете дыру, что на паскале оставляете эксплойты- один хрен взломы работают одинаково. При этом на пошипи - придумали ряд функций, позволяющих нивелировать возможность эксплойта. А на паскале всё придётся делать ручками. В общем если вы плохо знакомы с системой пошипи, то за написание движка на паскале, лучше не браться, а вначале изучить пошипи и только потом делать крутой движок на паскале, т.к. у паскаля безусловно возможности быстродействия и т.д. - выше.

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 13.10.2017 17:43:11
WAYFARER
vitaly_l писал(а):Вы хотите скакать, что например 1с битрикс <= самая опасная программа в мире? (на ней сделано 50% продающих сайтов)

Дырявая. Ибо лютый говнокод. Битрикс - это лучшие маркетологи и худшие программисты.
vitaly_l писал(а):Такие движки как phpBB - не ломают, но получают к серверам доступ при обновлении и установке плагинов

Ломают. Еще как ломают.

А в целом абсолютно без разницы на чем будет написан веб сервис. Все зависит от разработчика.

По теме. Можно написать демона/службу в лазаре используя Indy (TidHTTPServer). Очень простое решение.

Но я бы не парился. Взял бы php7(строгая типизация есть, работать будет не медленнее чем сервис на паскале)

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 13.10.2017 20:26:16
ev
vitaly_l писал(а):прекрасный рабочий changelog

для глючного софта - да

vitaly_l писал(а):И надо учитывать что если написать то-же самое на паскале, то: changelog ошибок на паскале - будет намного длиннее.

это не так

vitaly_l писал(а):но тогда вы даёте хакерам возможность взломать паскалевский движок

нет

vitaly_l писал(а):Чем выше уровень хакера, тем сложнее написать защищённый сервер

обычно так обосновывают свой кривой код криворукие кодеры :lol:

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 13.10.2017 20:33:30
vitaly_l
ev писал(а):обычно так обосновывают свой кривой код криворукие кодеры

криворукие кодеры? :evil: :? :cry:
Вообще-то это я Вам рассказал как избавиться, от спам-ботов, на этом форуме...
и это все Ваши слова в мой адрес, вместо благодарности? Так значит? Да? :wink:
Уйду я от вас... злые вы... (с)

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 14.10.2017 01:00:54
ev
vitaly_l писал(а):Вообще-то это я Вам рассказал как избавиться, от спам-ботов, на этом форуме

из-за кучи странных (мягко говорят) утверждений упустил нить... так как избавиться от спам-ботов?

vitaly_l писал(а):и это все Ваши слова в мой адрес

разве? это слова относящиеся к фактам, не к конкретным людям
если же вы по вопросам безопасности руководствуетесь подобным постулатом, то... даже не знаю чего и сказать :roll:

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 14.10.2017 01:13:45
ElectroGuard
Специально проверил вариант на паскале и удостоверился, что паскалевский вариант ломается, точно такими же методами, что и пошипи.

Понятно, что ломается всё. Просто тут пытаются php выдать за некую панацею, чем он не является.
Интересно было, к слову, pas код посмотреть, что и как получилось заломать?

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 14.10.2017 01:37:39
vitaly_l
ev писал(а):упустил нить... так как избавиться от спам-ботов?

viewtopic.php?f=3&t=4558&start=30#p90315
ev писал(а):относящиеся к фактам, не к конкретным людям

я юморил, потому что :arrow: злые вы все! :roll: уйду я от вас! :cry:
ElectroGuard писал(а):Интересно было, к слову, pas код посмотреть, что и как получилось заломать?

Я пробовал сделать SQL инъекцию и ничего волшебного в том что она прошла, т.к. она везде проходит (если отсутствует защита).

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 14.10.2017 09:46:07
Лекс Айрин
vitaly_l писал(а):Я пробовал сделать SQL инъекцию и ничего волшебного в том что она прошла, т.к. она везде проходит (если отсутствует защита).


Вообще-то SQL-инъекция использует уязвимости не php/pas, а самой SQL и если она проходит, то значит параметры передаваемые БД не проверяются на корректность. А то, что БД дырява сама по себе это секрет Полишинеля.

Re: Как написать веб сервис на паскале?

СообщениеДобавлено: 14.10.2017 11:22:40
ElectroGuard
Понято, согласен насчет инъекции с Лекс Айрин. Это плохо спроектированная база (не у вас конкретно, но вообще). Если база спроектирована нормально (например - обращение 'снаружи' к ней идёт через хп) то инъекцию невозможно сделать в принципе, на любом языке.
Довольно бурно и эмоционально на sql.ru обсуждают :) Могу линк кинуть, кому интересно.