Dobře tedy, každopádně, zatím největší problém jste skutečně objevil vy a to zapomenutý výpis chybové hlášky, což jsem následně fixnul. Jestli to byl nejhorší problém v celém systému, tak to vypadá dobře 
Právě naopak, vypadá to hodně špatně. Je z toho totiž zřejmé, že místo „vytvoříme maximálně bezpečné prostředí, kolem kterého pak postavíme potřebnou funkcionalitu“ jste postupovali přesně opačně – „uděláme tam spoustu funkcí a pěkných tlačítek, a nakonec tam nějak přilepíme tu bezpečnost“. Takhle se dá postupovat u nějakého diskusního fóra nebo blogu, ale použít to pro systém, kde se mají točit nezanedbatelné peníze, to je cesta do pekel. Myslím, že přesně takhle postupovali autoři BIPS, Bidextreme.pl nebo Bitcash.cz, a víte, jak to dopadlo. Jediný bezpečnostní koncept, kterým jste se zřejmě zabývali, je to, že u vás žádné Bitcoiny nebudou uložené. To je dobrý nápad a dobrý začátek, ale nestačí to – pořád ještě je potřeba myslet na zabezpečení transakcí. Když to přirovnám k bance – nestačí zabezpečit, aby vám někdo nemohl ukrást peníze přímo z účtu, ale taky musíte zabezpečit, aby nikdo nemohl manipulovat s příkazy k úhradě a také aby se nikdo nedostal ani k výpisům z účtu (mimo transparentní účty je to považováno za citlivý údaj).
Vím, že pořád chcete předvést konkrétní útok, ale to je přesně ten způsob, jakým bezpečnost nelze posuzovat. Kdyby banka měla trezor zabezpečený tak, že tam budou obyčejné dveře s FABkou a argumentovala tím, že jim ten trezor zatím nikdo nevykradl, také to nebudete za dostatečně zabezpečené.
Ano, zatím se ve vašem systému nepodařilo najít žádnou bezpečnostní díru – ovšem především proto, že to zatím nikdo vážně nezkoušel. A pokud váš systém opravdu umíte dobře zabezpečit, pak je záhadou, proč předvádíte tu spoustu začátečnických chyb: výpis SQL příkazů uživateli (už teď jste útočníkům prozradili, jak se jmenují některé tabulky a sloupce a jaký máte způsob pojmenování – pro SQL injection je to usnadnění práce); různé výmluvy typu teď je to jen demo nebo jen narychlo, to ještě doděláme; nedokážete si obhájit SSH na standardním portu; zřejmě vůbec nemáte definované bezpečnostní požadavky na provozní prostředí a na způsob nasazení aplikace (jinak byste podle nich postupovali už při nasazení dema – protože postupovat jinak by bylo porušením těch požadavků).
Takže pokud jste chtěl zahrát na tu strunu, že zdejší diskutéři umí všechno, vůbec se vám to nepovedlo. Úspěšně se vám totiž podařilo vytvořit dojem, že vaše zabezpečení je tak slabé, že nestojí za to zabývat se tím nikomu, kdo tomu trochu víc rozumí. Možná jste si tím otestoval odolnost proti pár scriptkiddies, ale to mi na takovýhle projekt připadá dost málo.
Mimochodem, asi máte zkušenost s divnými firmami, které dělají penetrační testy. Já mám zkušenost, že si zadavatel testy vždy chválil. Jeden test se týkal i aplikace, na které jsem se podílel a ze značné části jsem řešil její bezpečnost – výsledky nás upozornily na hloupé chyby v konfiguraci produkčního prostředí, ukázaly na nedokonalost při přechodu z nezabezpečného prostředí do zabezpečeného, a upozornily na místa, kde by sice uživatel mohl poškodit jen sám sebe, ale přesto to byly zbytečné nedostatky v zabezpečení. U některých připomínek jsem měl pocit, že testeři vůbec nevzali v úvahu, k čemu má aplikace sloužit, ale všechny připomínky dávaly smysl, bylo možné podle nich problém znovu navodit a dávalo smysl je opravit, i když to nebylo nic, co by mohlo někoho poškodit.
525 Odpovědí
136083 Zhlédnutí