Nevzdáváme to - nová burza bitcoinů

[Ondřej Novák]

Ve vašem pojetí zabezpečení, které jsem já nazval „bezpečnost tam nakonec nějak přilepíme“. Podle mne to žádné zabezpečení není, protože skutečné zabezpečení se nedá dělat tak, že vezmete hotový systém a ten na závěr zabezpečíte. To pak totiž nemůže skončit jinak, než mříží na dveřích a otevřeným oknem ve sklepě.

Asi tak
- toto je demo dortu
- chybí třešnička
- bude až ve finální verzi
- fuuuuuuuuuuuuuuuu ten dort není vůbec hezký a ani ho nebudu ochutnávat

[Reklama]

[Mirek Prýmek]

- chybí třešnička

OMG!

Komu není rady, tomu není pomoci.

[Ondřej Novák]

Tedy já nevím, ale na to demo se podle mne nedá ani přihlásit, tedy myslím demonstračně.
Možná by taky nebylo od věci, pokud by to šlo já jsem na tohle proti ostatním LAMA, pokud by nefungovalo Ctrl+U.

Už to jde.

[Ondřej Novák]

- chybí třešnička

OMG!

Komu není rady, tomu není pomoci.

Přesně tak, přeceňuješ nastavení produkčního prostředí. Carlos to dělal taky. dopadl přesně tak jak dopadl. Proto nemohu tyhle rady poslechnout, sorry.

[Jirka_V]

Tak zu tu pana security specialistu neche at si to nahodi do provozu az mu to vykradou tak bude mit problem on  Kazdej tady na foru ho varoval a nekolikrat ale komu neni rady tomu neni pomoci. Kdybych mel aplikovat pravidlo chytremu porad blbce nakopni tak bych pana musel asi ukopat 

[Reklama]

[Lol Phirae]

Já myslím, že zbylí pánové, pokud chtějí ještě někdy něco rozjet, by měli panu Novákovi naprosto zakázat komunikaci s veřejností.

[Mirek Prýmek]

Začíná to tady být dost vtipný absurdní divadlo

"umíme to lépe zabezpečit".

Měl tam prý i nějaký iptables pravidla proti ddosům.

- chybí třešnička

přeceňuješ nastavení produkčního prostředí. Carlos to dělal taky.

Kdo se hádá o komáří řešeto, nemůže tančit s kozou u Podmokel!

[Makovec]

Já myslím, že zbylí pánové, pokud chtějí ještě někdy něco rozjet, by měli panu Novákovi naprosto zakázat komunikaci s veřejností.

a možná raději i programovat....

PS: Pokud tedy ti další pánové vůbec existují...

[Ondřej Novák]

Kód: [Vybrat]

  wget -S -O - -q http://www.root.cz > /dev/null

  HTTP/1.1 200 OK
  Date: Fri, 29 Nov 2013 09:36:40 GMT
  Server: Apache/2.2.16 (Debian) PHP/5.4.19-1~dotdeb.0
  X-Powered-By: Nette Framework


[Filip Jirsák]

- chybí třešnička

OMG!

Komu není rady, tomu není pomoci.

Přesně tak, přeceňuješ nastavení produkčního prostředí. Carlos to dělal taky. dopadl přesně tak jak dopadl. Proto nemohu tyhle rady poslechnout, sorry.

Po té třešničce jsem definitivně pochopil, že je to marné – ale vy se ještě překonáváte. Nedáte rovnou do placu heslo roota, když je to nastavení produkčního prostředí tak nepodstatné?

Sice je to marné, ale – pokud je produkční prostředí zabezpečeno dobře a samotná aplikace špatně, není problém v přeceňování zabezpečení produkčního prostředí, ale v podceňování zabezpečení aplikace. Nasazením děravé aplikace do děravého prostředí se bezpečnostní problémy opravdu nevyřeší.

[Lol Phirae]

Mistře Nováku, svým předchozím příspěvkem nám znovu naznačujete, že jste ještě stále nepochopil rozdíl mezi webem typu Blesk a veřejně přístupným frontendem k bankovní aplikaci, kde se točí prachy?

[Ondřej Novák]

Sice je to marné, ale – pokud je produkční prostředí zabezpečeno dobře a samotná aplikace špatně, není problém v přeceňování zabezpečení produkčního prostředí, ale v podceňování zabezpečení aplikace. Nasazením děravé aplikace do děravého prostředí se bezpečnostní problémy opravdu nevyřeší.

A jak si pomůžu, když nasadím děravou aplikaci do produkčně zabezpečeného prostředí? Je to naprosto k ničemu! První je zabezpečit aplikaci a o to tu celou dobu jde. Investovat prostředky do zabezpečení prostředí, když mám v aplikaci díry jak vrata (ačkoliv to já nevím, to se právě snažím zjistit) je vyhazování peněz oknem

[jivep]

Kód: [Vybrat]

  wget -S -O - -q http://www.root.cz > /dev/null

  HTTP/1.1 200 OK
  Date: Fri, 29 Nov 2013 09:36:40 GMT
  Server: Apache/2.2.16 (Debian) PHP/5.4.19-1~dotdeb.0
  X-Powered-By: Nette Framework


a timto chtel basnik rici co ? ze u root.cz je mozno zjistit verzi apache a php ? a je root.cz opravdu burzou ? nebo jen "forem" .
Snaha zaplnit zmizelou diru bitcoinove burzy v CZ prostredi se ceni, ale takhle tedy opravdu ne.
Na Vasi zadost o prostreleni a naslednem nalezeni zakladnich nedostatku reagujete pouze vymluvami a napadanim diskuteru = chovani nezodpovedneho fracka = nesveril bych Vam ani petnik.
Ostatnim v komplotu doporucuji najit osobu, ktera bude mit vyrazne ucelenejsi pohled a schopnost komunikovat.

[Lol Phirae]

[PavelH]

Podle mě je to v pytli. Když někdo dá vyhledat název vašeho projektu, najde tuhle diskuzi. Z ní si utvoří obrázek který nebude úplně dobrý. Když dělám ramena, nemůžu je dělat s testovacím serverem v zádech a školáckýma chybama v kódu.
Komunikace se zákazníkem by měla být vždy na prvním místě - proto se Ondro, když jednáš jménem projektu, nikdy nepouštěj do toho tónu co tu předvádíš. Je to směšný.