סופשבוע נעים אורח/ת
עכשיו בכלוב

אתר אטרף נפרץ

bondman​(נשלט){FLR}
לפני 3 שנים • 1 בנוב׳ 2021
bondman​(נשלט){FLR} • 1 בנוב׳ 2021
כלובי כתב/ה:
שרתי הכלוב מותקנים ישירות על שרתים באחת מספקיות שירותי הענן המרכזיות בעולם ללא תיווך של חברות אירוח כמו במקרה של אטרף שתלויה ב Cyberserve שנפרצה.



אני מקווה שנתוני כרטיסי האשראי מוצפנים אצלך בכלוב.

שמור עלינו כלובי יקר.
icon_smile.gif
כלובי
לפני 3 שנים • 1 בנוב׳ 2021
כלובי • 1 בנוב׳ 2021
השרתים של הכלוב מאובטחים.
אין לאף אחד גישה אליהם, ויש שכבת הגנה נוספת עליהם של cloudflare.

פרטי כרטיס האשראי לא עוברים ובודאי שאינם נשמרים באתר אלא בעת רכישת המינוי - עוברים ישירות מהמשתמש לחברת הסליקה טרנזילה שהיא מהגדולות ומהמאובטחות בארץ. כך שגם במקרה המאד לא סביר של פריצה לאתר הפרטים האלה לא ידלפו.
הכל עומד על פי הסטנדרטים של חברות האשראי.

הדיסקרטיות והבטחון של המשתמשים באתר מהסוג הזה הם קריטים. זה ברור. זה הבסיס, ואין בנושא הזה פשרות.

הקוד הפתוח המועט שהאתר משתמש בו עבר שינויים והתאמות עומק לאתר. חלקים רבים הוצאו. והאיזורים הרגישים הוחלפו.

והאתר עובר לאורך השנים בדיקות אם הוא פריץ - penetration tests על ידי אנשי אבטחת מידע.
Netrunner​(נשלט)
לפני 3 שנים • 1 בנוב׳ 2021

Brats be like

Netrunner​(נשלט) • 1 בנוב׳ 2021
אני בא להקשות,
נגיד שהצליחו לפרוץ את האתר למרות כל ההגנות ולשלוף את כל הנתונים. מה יוכלו לקחת?

המידע הפרטי מורכב מאדומות\סגולות, ופרטי המשתמש (ואולי גם מס הטלפון).
לכן שווה לשקול הצפנה של הפרטים האלה כדי שגם אם יפלו לידי תוקף יהיו חסרי ערך.
Netrunner​(נשלט)
לפני 3 שנים • 1 בנוב׳ 2021
Netrunner​(נשלט) • 1 בנוב׳ 2021
לא חושב..
אבל יש כאן כמה שישמחו להיות הנחדרים
Nighthawk​(שולט)
לפני 3 שנים • 1 בנוב׳ 2021
Nighthawk​(שולט) • 1 בנוב׳ 2021
כלובי כתב/ה:
שרתי הכלוב מותקנים ישירות על שרתים באחת מספקיות שירותי הענן המרכזיות בעולם ללא תיווך של חברות אירוח כמו במקרה של אטרף שתלויה ב Cyberserve שנפרצה.


לא הצלחתי להבין מה הקשר בין פגיעות האתר לבין המיקום הפיסי בו הוא מתארח...
אמנם במקרה של אטרף זה היה וקטור הפריצה,
אבל אני מניח שגם בכלוב יש הרבה מה לשפר.

למשל: התגלה באטרף שמשתמשים שמחקו את עצמם, לא ממש נמחקו. המידע שלהם נותר באתר (וסומן כמחוק),
למשל2: הגישה לכלוב מבוססת על שם משתמש וסיסמה. היום זה נחשב מאד אנכרוניסטי. מה לגבי אופציות חזקות יותר שכוללות OTP?

חוץ מזה, מטבע הדברים הכלוב הוא אתר פרטי, ולכן לא נדרש לעמוד בשום רגולציה או פיקוח בתחום (לא שבהכרח זה מסייע..),
אין לנו אלא להאמין לבעלי האתר שהם עושים הכל ע"מ לשמור על המידע שלנו, מתעדכנים בכל החידושים בתחום (של הרעים ושל הטובים) ועוסקים בזה בצורה יסודית.
Nighthawk​(שולט)
לפני 3 שנים • 1 בנוב׳ 2021

Re: Brats be like

Nighthawk​(שולט) • 1 בנוב׳ 2021
deepThinker כתב/ה:
אני בא להקשות,
נגיד שהצליחו לפרוץ את האתר למרות כל ההגנות ולשלוף את כל הנתונים. מה יוכלו לקחת?

המידע הפרטי מורכב מאדומות\סגולות, ופרטי המשתמש (ואולי גם מס הטלפון).
לכן שווה לשקול הצפנה של הפרטים האלה כדי שגם אם יפלו לידי תוקף יהיו חסרי ערך.


הצפנה זה מאד נחמד, אבל לא כל כך פשוט לביצוע כך שיפתור את הסיכון שאתה מדבר עליו.
אם ה- DB מוצפן, המשמעות היא שבכל גישה אליו מבצעים פענוח של המידע.
מכאן עולות שאלות: באיזה אלגוריתם משתמשים? מהי עוצמת ההצפנה? איפה שמור המפתח?
האם יש שימוש בקבצים זמניים שבהם ניתן לגשת למידע באופן שאינו מוצפן (הכוונה היא on rest)?
כמו כן - צריך לדאוג שאין שום העתקים לא מוצפנים של המידע במקומות אחרים (רפליקות של ה- DB, גיבויים, קבצים קש של סביבות שונות וכו' וכו' וכו').
Nighthawk​(שולט)
לפני 3 שנים • 1 בנוב׳ 2021
Nighthawk​(שולט) • 1 בנוב׳ 2021
כלובי כתב/ה:
השרתים של הכלוב מאובטחים.
אין לאף אחד גישה אליהם, ויש שכבת הגנה נוספת עליהם של cloudflare.

פרטי כרטיס האשראי לא עוברים ובודאי שאינם נשמרים באתר אלא בעת רכישת המינוי - עוברים ישירות מהמשתמש לחברת הסליקה טרנזילה שהיא מהגדולות ומהמאובטחות בארץ. כך שגם במקרה המאד לא סביר של פריצה לאתר הפרטים האלה לא ידלפו.
הכל עומד על פי הסטנדרטים של חברות האשראי.

הדיסקרטיות והבטחון של המשתמשים באתר מהסוג הזה הם קריטים. זה ברור. זה הבסיס, ואין בנושא הזה פשרות.

הקוד הפתוח המועט שהאתר משתמש בו עבר שינויים והתאמות עומק לאתר. חלקים רבים הוצאו. והאיזורים הרגישים הוחלפו.

והאתר עובר לאורך השנים בדיקות אם הוא פריץ - penetration tests על ידי אנשי אבטחת מידע.


בטקסט שלך אתה מתייחס לקוד פתוח בתור חסרון,
זה לא בהכרח נכון. עולם אבטחת המידע נחלק בגישה לקוד פתוח.
יש יאמרו שזה עדיף - שכן הרבה מאד מומחים מסתכלים על הקוד הזה והוא משתנה ומשתפר כל הזמן (בהנחה שאכן מעדכנים אותו באתר בתדירות גבוהה) - לעומת פתרון קוד סגור שנכתב באופן פרטי ואף אחד לא יודע עד כמה הוא מאובטח.
ואחרים יגידו ההיפך.

במבחן המעשה ניתן לראות שבשוק יש תזוזה איטית לכיוון קוד פתוח בכל שכבות המערכת,
החל ממערכות הפעלה, שכבות Middle ware, שרתי ה- web עצמם ורכיבים רבים נוספים בעולם אתרי ה- web.
Netrunner​(נשלט)
לפני 3 שנים • 1 בנוב׳ 2021

Re: Brats be like

Netrunner​(נשלט) • 1 בנוב׳ 2021
Nighthawk כתב/ה:
deepThinker כתב/ה:
אני בא להקשות,
נגיד שהצליחו לפרוץ את האתר למרות כל ההגנות ולשלוף את כל הנתונים. מה יוכלו לקחת?

המידע הפרטי מורכב מאדומות\סגולות, ופרטי המשתמש (ואולי גם מס הטלפון).
לכן שווה לשקול הצפנה של הפרטים האלה כדי שגם אם יפלו לידי תוקף יהיו חסרי ערך.


הצפנה זה מאד נחמד, אבל לא כל כך פשוט לביצוע כך שיפתור את הסיכון שאתה מדבר עליו.
אם ה- DB מוצפן, המשמעות היא שבכל גישה אליו מבצעים פענוח של המידע.
מכאן עולות שאלות: באיזה אלגוריתם משתמשים? מהי עוצמת ההצפנה? איפה שמור המפתח?
האם יש שימוש בקבצים זמניים שבהם ניתן לגשת למידע באופן שאינו מוצפן (הכוונה היא on rest)?
כמו כן - צריך לדאוג שאין שום העתקים לא מוצפנים של המידע במקומות אחרים (רפליקות של ה- DB, גיבויים, קבצים קש של סביבות שונות וכו' וכו' וכו').


דיברתי רק על הצפנה של ההודעות והמידע הפרטי ביותר, לכן לא בכל גישה לאתר.
קח לדוגמה צ'אטים מוצפנים (סיגנל) או מתיימרים להיות מוצפנים (וואטספ), לוקח לך זמן לפתוח את ההודעות שאתה רואה שם? לא.
Netrunner​(נשלט)
לפני 3 שנים • 1 בנוב׳ 2021
Netrunner​(נשלט) • 1 בנוב׳ 2021
Nighthawk כתב/ה:
כלובי כתב/ה:
השרתים של הכלוב מאובטחים.
אין לאף אחד גישה אליהם, ויש שכבת הגנה נוספת עליהם של cloudflare.

פרטי כרטיס האשראי לא עוברים ובודאי שאינם נשמרים באתר אלא בעת רכישת המינוי - עוברים ישירות מהמשתמש לחברת הסליקה טרנזילה שהיא מהגדולות ומהמאובטחות בארץ. כך שגם במקרה המאד לא סביר של פריצה לאתר הפרטים האלה לא ידלפו.
הכל עומד על פי הסטנדרטים של חברות האשראי.

הדיסקרטיות והבטחון של המשתמשים באתר מהסוג הזה הם קריטים. זה ברור. זה הבסיס, ואין בנושא הזה פשרות.

הקוד הפתוח המועט שהאתר משתמש בו עבר שינויים והתאמות עומק לאתר. חלקים רבים הוצאו. והאיזורים הרגישים הוחלפו.

והאתר עובר לאורך השנים בדיקות אם הוא פריץ - penetration tests על ידי אנשי אבטחת מידע.


בטקסט שלך אתה מתייחס לקוד פתוח בתור חסרון,
זה לא בהכרח נכון. עולם אבטחת המידע נחלק בגישה לקוד פתוח.
יש יאמרו שזה עדיף - שכן הרבה מאד מומחים מסתכלים על הקוד הזה והוא משתנה ומשתפר כל הזמן (בהנחה שאכן מעדכנים אותו באתר בתדירות גבוהה) - לעומת פתרון קוד סגור שנכתב באופן פרטי ואף אחד לא יודע עד כמה הוא מאובטח.
ואחרים יגידו ההיפך.

במבחן המעשה ניתן לראות שבשוק יש תזוזה איטית לכיוון קוד פתוח בכל שכבות המערכת,
החל ממערכות הפעלה, שכבות Middle ware, שרתי ה- web עצמם ורכיבים רבים נוספים בעולם אתרי ה- web.


אני לא בטוח שמשתמע מדבריו של כלובי שקוד פתוח הוא חיסרון.
הרי ידוע שקוד פתוח הוא יתרון, מעבר לעובדה שכל זמן נתון מתגלות חולשות על ידי כמה אנשים וכל אחד יכול לאמת את התוכן.
Nighthawk​(שולט)
לפני 3 שנים • 1 בנוב׳ 2021
Nighthawk​(שולט) • 1 בנוב׳ 2021
אני לא מתנגד להצפנה, אני רק טוען שזה מאד מורכב.
בהקשר של אתרי web, יש נטיה לדחוף לדפדפן כמה שיותר מידע, ע"מ לסייע באופטימיזציה של הביצועים,
לכן הפניות לשירות ההצפנה יהיו בתדירות גבוהה, ובעצם בכל פעם שניגשים לאתר (כי הרי רוצים להצפין גם פוסטים בבלוג, תגובות וכיוצ"ב).

כמובן שאין שום בעיה טכנולוגית לספק ביצועים ברמה גבוהה כאשר מבצעים ברקע הצפנה, רק שלעיתים זה דורש השקעה בתשתית שתומכת בכך.