את כל שהיה לי להגיד אמרתי. ובעצם העובדה שאתה ממשיך להגידר את עצמך כמאבטח..

דבר אחד שיש לי להמליץ לך-
אם אתה מבצע התקנה של המערכת לצרכי הדגמה, אל תתקין אותה על מערכת פורומים[המערכות החנמיות מאובטחות ברמה מאוד גבוהה], כתוב קובץ שמראש ידוע כי הוא פריץ, והצג את קוד המקור שלו בספרייה אחרת.

learn from the big guys..

סירקתי במקור בשבילך...
אבל כולם מוזמנים ליהנות מהכתבה

www.cubes.co.il/scan0002.jpg

אני לא מאבטח מקצועי, אבל בתור בעל עם מעל ל1000 כניסות ייחודיות ביום, לא הייתי קונה אבטחה שמתממשקת אל שרת חיצוני.
אתה לא מתחייב לשום פיצוי במקרה וקריסת השרת שלך תגרום לאתר שלי לא לעבוד. באתר שלי יש המון המון שאילתות, כי חלק ממנו הוא מערכת פורומים, תחשוב שעשר אתרים כאלה או גדולים יותר פונים כל הזמן לשרת שלך? מהנסיון הקטן שלי בהוסטינג השרת שציינת את המפרט שלו קודם לא יחזיק. דבר שני הוא שאיך לעזאזאל אני אמור לדעת שאתה לא גונב מידע שגולשים מפרסמים באתר שלי אם כל קליק שכל גולש עושה עובר לשרת שלך?
לסיכום, תקרא את המשפט הראשון שלי.

אתה מתכוון להגיב?

Baku
ראיתי את הנושא שפתחת, ולדעתי - אתה סתם תופס מעצמך יותר מדי, אז תתחיל לרדת מהעץ שטיפסת עליו.
עם כל הכבוד, ויש כבוד, לזה שאתה גם מתכנת (ובעל וותק של כ-5 שנים) יש לך עוד מה ללמוד, גם בתיכנות וגם באבטחה, ורואים את זה לפי התגובות שכתבת.
אני לא הולך להפוך את הנושא הזה לויכוח, ואתה יכול לא לקבל בהבנה את מה שאמרתי. אני אמרתי את שלי, כמו שאתה אמרת את שלך.

ואת האמת? אני חושב שעצם זה שאין לך עוד טענות ונימוקים לביסוס הטענה שלך שהמערכת נחשבת כלא טובה, זה כבר אומר משהו. (לא ציפיתי שתודה בטעות שלך)


CubeS.co.il
עזרת לנו לטפל באחת הטענות שהוצגה כאן מקודם, תודה רבה :)


Tomer Pearl, Yellow Slider
הנכם מוזמנים לקרוא את ההודעה שפירסמתי בסוף העמוד הקודם.

ראשית כל, אני מצטער אם זה פגע בך באופן אישי. המטרה שלי היא שהכל יהיו מרוצים. אין מתכנת מרוצה בלי לקוח מרוצה, זו הסיסמא שלי.
ממש חבל לי שלקחת את זה בפן כ"כ אישי, אבל אני רואה רעיון שבמחשבה ראשונה נשמע "מדליק לאללה", ובמחשב שניה, נשמע כמו פרויקט רציני. פרויקטים לא מרימים בשניה, הופ החלטתי הקמתי- ובטח שלא באבטחת מידע. וגם אם זה לא ככה, כך זה מצטייר.

תנסה לראות את נקודת המבט שלי, ושל שאר המצדדים בי-
אנחנו פותחים את הפורום ורואים שם מסקרן[opex] עם כותרת קצת מסתורית.
פותחים את הדף ורואים כותרות מסודרות וסדר בעניים, בדיוק כמו שצריך!
אבל שמתחילים לקרוא רואים שמדובר בלא יותר מטיטל-גבוהה ואפס מעשה, הרי אתה לא באמת מצפה שנאמין ששני מתכנתים ב-php פיתחו בפחות משנה את האלגוריתם המושלם הייחודי הבלעדי הנדיר המופלג המרחיק-לכת המתקדם ביותר הנעלה ונערץ והאליתה של חסימת תגי ה html(מוקצן בכוונה, אין לקחת ברצינות)??

אני חושב שלהבדיל מפרויקטים אחרים כמו מערכת ניהול תוכן, מערכת סקרים, עיצוב והרבה אחרים, אתה נכנס פה לתחום שדורש הרבה מעבר ל"בסיס", ברגע שאתה משווק מערכת אבטחה, היא צריכה להכיל כלים מתוחכמים, שמצפים מהם להרבה, כלים שישבו עליהם חודשים ואף שנים במחלקות מו"פ.
וההבדל העיקרי, במערכת מסוג כזה, להבדיל משאר המערכות שציינתי מעלה, צריך לראות בעניים. וזה לא חייב להיות תוצאות.
סרטוטים, תרשימים, הסברים, וכל דבר אחר יתקבל בברכה, אבל לציין "חסימת הזרקות SQL" נשמע פשוט מידי.

ובטח שבהמשך אתה שם לעצמך רגל ומציג שחצי מהמערכת יושבת בכלל בשרת אחר.



אני חושב שבראש ובראשונה, נכנסת לפרויקט שגדול עליך, ולא ידעת אפה לתקוף אותו. הפרויקט יכול להצליח ובענק, אבל צריך צוות של אנשים שיפתחו, ולא דברים קיימים או אוסף, אלא אלגוריתמים חדשים(להלן: מחלקת מו"פ-מחקר ופיתוח).

המלצה שלי:
כן, מכור את המערכת, אך כשכל הקבצים על השרת של המשתמש, את הסיבות כבר ציינתי בהודעותי הקודמות.
אבל- שיהיה מחיר סביר, וציין שעידכונים חינם לשנה, כל חצי שנה-שנה[ממליץ על שנה] נוספת של עדכון ב-X ש"ח.

והכי חשוב- תרשימי הסברים.

האמת שמה ב-CubeS.co.il לא כ"כ עזר לך, בדיוק ההפך האמת. התוכנה ש-checkmarx פיתחה עוברת על קוד המקור ומבצעת אנליזה לקוד ואז מפיקה דו"ח. מה שאתה פתחת מבוסס על שרת חיצוני ולא בדיקת offline - מה שיכול לגרום לאין ספור בעיות ופרצות שכבר נאמרו כאן.
אני אומר לך שבתור sys admin, לא בתור מתכנת, שהוספת שרת זר לסביבה של מערכת זה לא דבר שנעשה ככה סתם. במיוחד שאותו שרת חדש לא תחת שליטתי ונשלח אליו מידע רגיש. בשום עסק נורמאלי לא היו מאשרים דבר כזה. מי שרוצה לקחת את הסיכון, שיקח ויאשים רק את עצמו בסוף (הרי אתה לא נותן שום אחריות...).

לפני הכל, דבר אחד שכנראה לא היה ברור, אני יכול להבטיח לך:
אנחנו לא עבדנו על המערכת הזאת בפזיזות, וגם לא מיהרנו. בנוסף לכל חשוב לי שתבין שכן יש פה צוות שעבד על המערכת ולא חיפף, ושצברנו ניסיון של זמן רב בתחום וכל פעולה שקלנו הרבה פעמים לפני יישומה ב-Opex Firewall.

עוד דבר שאני יכול לספר לך, אולי שמעת על IPB, מערכת פורומים שכיום נחשבת למובילה בעולם, פותחה במקור על ידי מתכנת אחד בלבד, אחד! והוא היה בן 17 כשהתחיל אם אני לא טועה (פחות או יותר).
המערכת שאני ושותפי פיתחנו עברה סדרה ארוכה של בדיקות פנימיות, ולא הפסקנו לשפר אותה מהרגע שהתחלנו אותה, ואנחנו עדיין ממשיכים.
זה ממש לא נכון להגיד שבגלל שאנחנו שני מתכנתים, סגורה בפנינו האפשרות לפתח מוצר שווה ערך. אני באמת מאמין, למרות הכל, שזה אפשרי ושכן יישמנו את זה, לפחות עד כמה שיכלנו.

שמתי לב שהבעיה העיקרית שהוצגה פה, היא עצם העובדה שנתח מן המערכת ממוקם בשרת מרוחק, והחלטתי להבהיר את העניין פעם נוספת:
מערכת האבטחה כלל וכלל לא יוצרת קשר עם השרת בכל שליחת טופס ובטח שלא בכל כניסה לאתר.
המערכת מריצה סריקה כללית מתקדמת בעלת אופי זהה למה שממוקם אצלינו בשרת, ורק במידה ונוצרה התאמה, היא שולחת בקשת סריקה נוספת אחרונה לשרת האבטחה, לסריקה באמצעות מנגנונים שיש באפשרותינו לעדכן באופן תדיר ללא צורך בתיאום עם הלקוח, ובסופה מחזירה פלט המסכם את שליחת הטופס של הגולש כליגיטימית או לא.

דבר נוסף שלישי שאני יכול להבטיח לך, הוא שהאלגוריתמים הנכללים במערכת בעלי מבנה ייעיל במיוחד, שלהגיד "הטוב ביותר" זה יכול להיות מופרח, אבל מתוך ניסיון אישי שלי, לא נתקלתי במשהו מדויק יותר, בייחוד שאם עושים את זה נכון, אפשר להגיע לתוצר מאוד איכותי (לפחות בתחום של סריקת בקשות הגולשים).

בקשר למחיר, אני חוזר ואומר ש200 ש"ח הוא סכום זעום בהחלט למערכת שמספקת את כל מה שתיארתי מתעדכנת באופן תדיר.



אני באמת לא יודע להגיד מה לא בוצע בצורה נכונה אשר גרם למערכת להצטייר לא כמו שרצינו, ובאמת תודה שאתה כנה איתי ומספר לי על זה, ומאוד חבל לי שלא הצלחנו להעביר אפילו חלק קטן מהגאונות של המערכת שהשקענו בה (ועדיין משקיעים) כל כך הרבה זמן ומחשבה.

הבנתי את הכוונה שלך, ואתה צודק - קשה להאמין לדבר כזה, במיוחד כשזה רק כתוב במילים, ועדיין לא העלנו את הדוגמה.
חשוב לי להדגיש כי אמנם את המערכת התחלנו לפתח רק לפני מספר חודשים, אך אנו מתעסקים בתחום, במיוחד בפיתוח אלגוריתמי אבטחה, למעלה משנה. (רועי בתחום כשנה+ [אל תראה אותו ככה לפי הוותק, הוא גאון] ואני בתחום כבר כ-3 שנים)

הסבר כללי על מבנה ופעילות המערכת סיפקתי, אך מעבר לזה, פירוט על כל פעולה ופעולה אני לא אוכל לספק, לפחות לא בפומבי.
רוב מנגנוני המערכת הם מנגנונים מיוחדים, משוכללים וייחודים אשר פיתחנו (ולא ניתן למצוא כאלו מנגנונים חכמים ברחבי הרשת), ומאוד חשוב לנו לשמור עליהם - כיתרונות.

את היתרונות המשמעותיים ביותר וההיגיון מאחורי השימוש בשרת שלנו דאגתי להסביר עוד מקודם, וגם התייחסתי לחסרונות שצויינו (אשר נשללו בעקבות ההסברים).
הרגל שכנראה שמתי לעצמי, הייתה שלא הסברתי את העניין לעומק בתחילת הנושא, וזה גרר לאי הבנות.


תודה רבה על הכנות,
אילון.

אני מקווה שתנסה לקבל את העצות והדעות(וגם אם הם לא בוטאו בצורה הכי נחמדה) שבוטאו באשכול, ותפיק מהם את הלקחים.
שום מערכת אינה מושלמת, לעולם. במשך הזמן זה ישתפר.

בהצלחה בהמשך,
בקו.


*נ.ב, דעה אישית קטנה: אם אני על מערכת ה CMS שלי עובד למעלה משנה וחצי, ועוד לא הספקתי להגיע לרבע מהתכנון שלי.. לדעתי 3 חודשים הם כלום. בכל זאת, אפשר גם להתחיל בקטן..

אז זה אומר שהיא לא OBJECT ORIENTED? |Lol|
טוב אני סוטה מהנושא D:

אני ארחיב,
מה שהמוצר מדף שלהם עושה זה כמו סוג של עורך תוכן, שפשוט מריץ בדיקה על הSOURCE CODE ומחפש שגיאות או חורי אבטחה וכתיבה לא יעילה של הקוד.

זה בצורה כללית מאוד שאין סיבה להרחיב עלייה מי שמעוניין מוזמן לקרוא את הכתבה

אני חושב שהייתה פה אי הבנה. המערכת שלנו ממש לא מחפשת שגיאות או חורי אבטחה ועורכת אותם.
קרא הודעות קודמות.

לא אמרתי שאתם מבצעים אותו דבר...
אמרתי שתסתכל ותלמד למה הם יעילים...

יש לי הצעה דיי פשוטה לפותח האשכול

לקחת מתכנת אחד אפילו אני יתנדב
שיבנה משהו פשוט
הכנסה של טופס למסד והצגה שלו בטבלה עם GET
או משהו
עם אבטחה השואפת ל0 ואז תתקינו את המערכת שלכם ללא נגיעה בקוד של המערכת
ונראה אם זה באמת יעיל עובד וכו'

אפשר בקלות לעשות סקריפט של זמן עליית העמוד וכו'

מה שתיארת פה זה בעצם "demo" למערכת, ואני יכול להבטיח לך שאנחנו בימים אלה עובדים במקביל לפיתוח הגרסה הבאה והאתר, על גרסת דוגמא. ולא, זה לא פשוט קוד שמריץ את האבטחה, אלא זה מכלול של המון פירצות אבטחה מכל הסוגים, שעליהם מופעלת המערכת, למטרות בדיקה.

אילון.