SANS Institute odkrywa tajemnicę ataków na witryny

@tad: Winni atakow na serwery i bazy danych MS sa programisci baz i admini ze zlymi nawykami spod Linuksa i OS. Prowadziles badania czy ot tak sobie konfabulujesz?

Szczur: wyrzuć słowa "microsoft" i "linux" z wypowiedzi, a będziesz miał stuprocentową rację jak ktoś nauczył się tworzyć _porządny_ kod i _zna_ sql`a, to pod każdą platformę jest w stanie napisać _BEZPIECZNĄ_ aplikację :)

tad: moje doświadczenie (kilkanaście lat pracy w branży IT) mówi mi, że jest zupełnie na odwrót. Ktoś kto nauczył się porządnie pisać programy w C (linux) i uczył się na bazach gdzie trzeba było samemu pamiętać o wielu rzeczach a nie ufać "czarnym skrzynkom" ten pisze programy małe i dobrze zoptymalizowane. Natomiast ten kto od początku rzeźbił w narzędziach Microsoftu i posiłkował się gdzie się dało kreatorami ten w zasadzie nie jest dobrym programistą. p.s. poważna systemy raczej nie są oparte o MSSQL. W profesjonalnych systemach raczej spotkasz Oracla i systemy Unixowe (w tym Linux) - czyli Twoja teoria, że włamują się tam gdzie można odnieść zyski jest chybiona. Bo prawdziwe zyski są dobrze zabezpieczone (Unix i Oracle)

Jak ktoś używa IIS, to sam się prosi...

Zdumiewające, jak wielu pisze aplikacje na tak niskim poziomie. Może część z nich uczyło sie pisać dla MySQL, PosgreSQL, java script z dopuszaniem do zapytan sql w xhtml itd. A w pracy przesiedli się na VS i MSSQL i próbują zrobić to samo i tak samo ja sie uczyli pod linuksem - a tu dostosowania domyślne są dla rozwiązań o 2 generacje do przodu i brak wiedzy i włoczone przyzwyczajenia ich blokują (bo nawet code behind czy tradycyjna ochrona od sql injection itp jest juz mocno schodzące chociaż w pełni wspierane, jest wiele nowych elastyczniejszych lub bezpieczniejszych lub o rząd wydajniejszych dla programity) - a mimo to ludziki twardo szydełkują w starym stylu pod górkę i wychodzą niebezpieczne i rozdente gnioty, później pisze się o atakach na witryny IIS (6 czy może 7) na ataki na MS SQL, czy temu podobne. W drugiej strony ataki są na to na co pisane są programy atakujące i na to co jest używane a może przynieść jakieś zyski dla atakujących.