Opex Firewall - תוכנית אבטחת מידע
 

צהריים טובים,
רציתי להציג בפניכם הודעה על תחילת המכירות של מערכת האבטחה Opex Firewall בגרסתה הראשונה!

מנגנוני הבדיקה והחוכמה הטמונה בOpex Firewall משאירים מאחור את מערכות האבטחה הקודמות שלי ושל שותפי רועי (Hyp3rInj3cT10n), וכמובן שגם את שאר המערכות האחרות של מתחרינו.

בניגוד לדעה הרווחת, שמערכות אבטחה באות על חשבון נוחות המשתמש, ולעתים יוצרות באגים או "דפים לבנים", פה מדובר על מערכת יוצאת דופן אשר חוסמת התקפות בדיוק רב ולא גורמת לבאגים באתר.

ראו את הנושא הזה כהכרזה רשמית להתחלת המכירות! :-)

יש להבהיר מספר נקודות חשובות:

האם אני מקבל את קבצי האבטחה?
כן. המערכת שלנו עובדת על עיקרון פשוט מאוד, המאפשר לנו לספק חלק נכבד מקבצי האבטחה ללקוח, ואת החלק השני, להשאיר בשרת שלנו, מצב שמאפשר לנו לעדכן מרחוק את מנגנוני האבטחה ולשמור על בטיחות מתמדת.

האם קבצי האבטחה מוצפנים?
כברירת מחדל, לא, מאחר ואנו מאמינים שאתם זכאים לראות את תוכן הקבצים שאנו מוסרים לידיכם.
בנוסף לכך, אנו לא מאמינים שהצפנת הקבצים בעזרת הצפנות שנבנו בשפה PHP יוכלו לעזור, מהסיבה שהן פריצות.

מה כוללים קבצי האבטחה שמקבל הלקוח?
קבצי האבטחה שהלקוח מקבל כוללים הגנה מקיפה לאתרכם ממגוון רחב של פירצות, כאשר הבדיקה הסופית מורצת על גבי שרת האבטחה של Opex.
תנאים אלו מאפשרים לנו לעדכן את המערכת באופן תדיר מרחוק ושינויים בקבצים שעל שרתכם יהיו פחות תכופים.

מה המערכת חוסמת?
המערכת שלנו דואגת לביטחון אתרכם, ובין היתר חוסמת:

• SQL Injections
  יש לציין כי המערכת שלנו כוללת את המנגנון הטוב ביותר לזיהוי SQL Injections!
  מדובר במנגנון חדשני ויחודי שאני ורועי פיתחנו אשר חוסם התקפות בדיוק מרבי.
• Shell Injections
• Cookies Injections (יש לציין כי בשיטה זו מדובר על הזרקה דרך עוגיות, ולא בעריכת עוגיות!)
• PHP Injections
• SSI Injections
• Local File Inclusions
• Remote File Inclusions
  יש לציין כי המערכת שלנו כוללת את המנגנון הטוב ביותר לזיהוי Remote File Inclusions!
  מדובר במנגנון חדשני ויחודי שאני ורועי פיתחנו אשר חוסם התקפות בדיוק מרבי.
• Cross Site Scripting
• Cross Site Tracing
• Sessions Hijackings
• Sessions Fixations
• Directory/Path Traversal
• Dangerous Methods
• Bots UA Faking
• Exploits

האם אתם יכולים להתחייב שלא יהיו פריצות לאתר שלי?
לא, איננו יכולים להתחייב שלא יוכלו לפרוץ לאתרך, מאחר ופריצה יכולה להתבצע גם דרך השרת, שהוא איזור שאנו לא מאבטחים, ולכן לא נוכל להתחייב שלא יתבצעו פריצות.
חשוב לציין שבקרוב תתווסף אופציה אשר תדווח על מצבים בהם השרת עליו אתם מאוכסנים אינו מאובטח.

האם אני מקבל החזר כספי במקרה של פריצה לאתר שלי?
לא, כפי שצויין מעל, אנו לא יכולים להתחייב שלא יהיו פריצות, ולכן לא נוכל לקחת אחריות ולספק החזר כספי.

האם אני זכאי לקבל עידכונים?
כן, ויותר מכך - אנו מחייבים את כל הלקוחות לקבל את כל עידכוני המערכת!

האם אוכל להשתמש במערכת האבטחה על יותר מאתר אחד?
כשאתם מקבלים את קבצי המערכת, אנו מספקים לכם שם משתמש וסיסמה (לאזור הלקוחות) וסריאל, אשר יהוו את הרישיון/חשבון שלכם.
כל לקוח רשאי לקבוע על איזה דומיין חשבונו יוכל לפעול. (מדובר במנגנון חזק וחדשני שלא ניתן לעקיפה, כך שגם אם חשבונכם נגנב, הוא לא יוכל להיות בשימוש.)
יש לציין כי במידה ורכשתם את המערכת, ניתן לקבוע יותר מדומיין אחד בתשלום מוזל, ולכן לא יהיה צורך לרכוש חשבונות חדשים.
אנו מבצעים מעקב צמוד על כל האתרים של כל לקוחותינו, ובנוסף, המערכת שלנו מתעדת כל פעולה שנעשית.
לתשומת לבכם: אנו נפעל ונטפל בחומרה בכל הנסיונות לזיוף פרטים, נסיונות לזיוף חשבונות, נסיונות למכירת חשבונות וכו'.
אנו שומרים לעצמנו את הזכות המלאה לסגירת חשבונות לא רצויים והשעיית חשבונות, ואין לערער על כך.

האם צפוייה גירסה חדשה בזמן הקרוב?
כן, מאחר וגירסה זו של המערכת אינה מלווה בלוח בקרה, דאגנו להתחיל כבר את פיתוח הגירסה החדשה.
יש לציין כי מלבד העובדה שהגירסה החדשה תכלול לוח בקרה מתקדם בעל אינספור אפשרויות ייחודיות ומשוכללות, היא תכלול גם מנגנוני אבטחה מתקדמים אף יותר מהנוכחיים והגנה משיטות נוספות.
חלק מהשיפורים הצפויים לגרסה הבאה:
ממשק ניהולי מתקדם
חסימת Buffer Overflow (בלעדי)
חסימת שימוש בפרוקסי (בלעדי)

האם יש ברשותכם אתר? האם ישנו אזור לקוחות?
נכון לרגע זה, אנו משקיעים את מירב הזמן והמשאבים במערכת האבטחה, וכשנסיים אותה, נעבור לפיתוח אזור הלקוחות והאתר.
יש לציין כי הגירסה החדשה של המערכת, תכלול מגוון רחב של שינויים ותוספות, ולכן תיהיה יותר תלות באיזור הלקוחות, ולכן נאלץ לפתח אותו לפני האתר.


רכישת המערכת
נכון לעכשיו, מחיר המערכת הוא 200 שקלים חדשים.
כמו שצויין מעל, אנו דורשים מכל הלקוחות לקבל עידכונים, ולכן יש לשלם 50 שקלים חדשים נוספים בתום כל חצי שנה.


לרגל הפתיחה:
5 הלקוחות הראשונים יקבלו עדכונים חינם למערכת למשך שנתיים (חיסכון של 200 ש"ח).

חשוב לציין שבמעבר לגרסה הבאה מחיר המערכת יעלה.



שאלות תוכלו לשאול כאן ומי שמעוניין לרכוש נא לפנות אליי בהודעה פרטית.
אנא ממכם להגיב במידה ויש לכם שאלות ענייניות בלבד, אך ורק אתם בעלי אתר ומעוניינים ברכישה.
המעוניינים ליצור קשר לרכישה, תוכלו לפנות אליי לאימייל - eylonr@gmail.com

אילון.

www.opex.co.il

המון בהצלחה,
מה ההתחיבות שלכם בנוגע לאבטחת האתר

במידה והתקיימה בדיקה ונמצא כי השרת אכן מאובטח והכל בסדר

ומה קורה במצב שיש לי תיעוד שמראה שפרצו לי דרך האתר ולא השרת...

יפה יפה,בהצלחה ניראה מרשים

תן לי לגלות לך סוד:
הגרסה הבאה של המערכת, תכלול ממשק ניהולי מתקדם ויוצא דופן, שבין היתר גם יודיע לך אם השרת שלך מאובטח במובנים מסויימים.

בקשר לתיעוד, אנחנו באמת לא משחקים משחקים. אם יש למישהו תוכניות להציג פריצה בשביל לקבל כסף, או לביים פריצה, אני אפילו לא אגיב על זה..
ואני שוב חוזר ואומר, המערכת בטוחה לחלוטין ותבטיח את השקט שלך בנוגע לאתר.

אילון.

איך המערכת שלכם משתלבת במערכת PHP קיימת?
כלומר, איך משתמשים במערכת הזאת שלכם בפועל?

האם המערכת משתלבת רק בסביבת פיתוח מסויימת? או שהיא דינאמית?

כמו - כן,
לא התכוונתי שמישהו יפרוץ בכוונה, אלא מישהו ינסה לפרוץ דרך אותם חורי אבטחה שהיו קיימים בעבר...

התקנת המערכת בגרסה הנוכחית מתבצעת בדרך הבאה:
1. העלאת קבצי המערכת לשרת.
2. יצירת ניתוב של קבצי האתר לקבצי האבטחה והרצתם.

בגרסה הבאה העניין יהיה אפילו מופשט יותר :)

שכחתי לציין שהמערכת מנצלת יעילות ומשאבים בצורה הטובה ביותר ולא מכילה שטויות שעלולות להאט את האתר שלכם.

Opex Firewall מתממשקת עם כל אתר, פורום או מערכת מוכנה מבוססים PHP.

חורי אבטחה שהיו קיימים באתרכם בעבר, ואפילו חדשים, יחסמו אוטומטית עם התקנת המערכת :)

בתור מתכנת, אני יושב וחושב מה לעזאזל אתה יכול לעשות בעזרת PHP משרת חיצוני כמערכת אבטחה.
חורי אבטחה מתכנת גם ככה צריך לחסום, אז מה אתה עושה פה- חוסם משהוא שהוא חסום? כלומר עבודה כפולה, כלומר- בזבוז משאבים.

המסקנה ברורה-
תשלמו כמו שצריך למתכנת רציני ולא תזדקקו לשטויות.


אם יש לך הסבר למה אני צריך מערכת כזו, אשמח.

לא הבנתי כמה דברים. כל הבדיקות שתיארת מחייבות בדיקות נתונים. אתה אומר שזה מתבצע על השרת שלך. כלומר המסלול של המידע שהמשתמש כתב הוא כזה:
משתמש > שרת שלי > שרת שלך > שרת שלי
1. מאיפה לי לדעת שאתה לא שומר את הנתונים שהמשתמשים שלי הזינו?
2. זה יוצר האטה רצינית הוספת התחנה הזאת. מה התשתיות שלך? אם יש לך שרת אחד, איך הוא יעמוד בלחץ? אם החלטת לבצע תחזוקה לשרת שלך? זה לאבד שליטה מוחלטת על זמני התגובה וזמינות האתר שלי. האם אתה מוכן להתחייב על פיצויים במידה והשרת שלך גורם לתקלה?
3. יש לך תקנון? מה בעצם ההתחייבות שלך כלפי כלקוח?

האבטחה צריכה להיות מושרשת בקוד..
אין אפשרות להפריד את האבטחה מהקוד או להוסיף קוד אבטחה שלא הוצמד לקוד..
מה שאתם מציעים זה פתרון מבדר ובדחני, זה כמו לקחת מנוע עם פילטר אוויר ועליו להדביק עוד פילטר אוויר ענקי שמה שהוא עושה זה סתם להפריע לפילטר המקורי לעבוד ומיועד לסנן "יותר" את האוויר הנכנס

לא יעיל, לא רציני ושוב - דיי מבדר

בעזרת PHP אני יכול לבנות מערכת אבטחה כפי שתואר באשכול, חסימת התקפות על פי הרשימה ועוד.

אין ספק שתיכנות מאובטח הוא חלק בלתי נפרד מאתר, אבל קח בחשבון שלא כל אתר מאובטח, וגם לא כל מתכנת יודע לחסום פירצות בסדר גודל וכמות שאנחנו חוסמים.

לשם כך יש את תשלום העדכונים, ככל שיש יותר לקוחות שמשלמים עדכונים, מועבר יותר כסף לשדרוג השרת, בהתאם לכמות הלקוחות.

המערכת תוכננה בצורה שלא תגרום לתקלה בעקבות השרת, ובמידה ויש כזאת היא תנוטרל.

אם השדרוג מתבצע בהתאם לכמות הלקוחות זה אומר שכרגע השרת חלש מאוד?
אם ככה אתם עובדים הדבר היחיד שיש לי להוסיף זה

בהצלחה

שמח שבידרתי אותך, באמת.
אבל אתה שוכח דבר אחד, אבטחה זה דבר שמיועד לאתרים לא מאובטחים, מן הסתם.
חבל מאוד שלא הבנת את זה, ואני כבר קלטתי את הניסיונות התחכמות שלך.
מה גם שביקשתי שאך ורק לשאלות ענייניות לאנשים שמעונינים לרכוש להגיב פה.

זה לא אומר שום דבר. אנחנו לא משתמשים בשרת חלש כלל, ובטח שזה לא צריך להיות עניינך.כל עוד השימוש במערכת יהיה חלק ונקי...



מנהלים אם אפשר למחוק תגובות לא ענייניות

אני, אישית ובתור מנהל בהוסטס, לא רואה פה הודעות לא לגיטימיות.


לגבי האשכול: קנית אותי (רציני לחלוטין). אשמח לראות הדגמה ב"לייב" של המערכת.

בין היתר, אם אני לא לוקח עדכון, האם "משתמש > שרת שלי > שרת שלך > שרת שלי" תקף בכל זאת? אם לא, האם עקב כך, האבטחה שלי תפגע באופן קריטי (בלי כל קשר לעדכונים לעתיד, אני מדבר על ההווה).

המשך ערב נעים.

מה ? למה לא? על מה כל עיקרון הפיירוואל? תוכנת פיירוואל לא מוצמדת לקוד של ווינדוס..
היא פועלת ברקע וכל מעבר הבתים של האינטרנט שלך עובר דרכה ובכך היא מסננת מידע לא רצוי, בדיוק כמו מה שהמערכת שלו מציעה..

ואם אני לא רוצה לשלם על עדכונים מה קורה? יוצא שכאילו שלמתי דמי התקנה של 200 שקל ואז תשלום חודשי של 50 שקל? למה אני צריך לממן פאשלות שלכם? להיות בטא טסטר ולשלם על זה? מודל עיסקי מוזר...

מה זה המערכת "תוכננה בצורה שלא תגרום לתקלה בעקבות השרת"? אני לא חושב שאתה באמת מבין איך דברים עובדים במחשב ובמערכות הפעלה. אתה לא יכול להתחייב לכזה דבר בחיים, אין שום תוכנה או מערכת שיכולים להתחייב על כזה דבר. ומה זה תנוטרל? יכולים לעבור שעות ואפילו ימים עד שתצליח לייצב את השרת שלך (אם זה מבחינת חומרה או תוכנה), למה אני כלקוח צריך להפגע מזה?

לא ענית על שאלת פרטיות המידע. מאיפה לי לדעת מה אתה עושה עם המידע שנשלח אליך מהמשתמשים שלי?

לגבי המפרט של השרת שלך, ברור שזה אמור לעניין אותי. אם השרת שלך הולך להיות תחנת התממשקות שבלעדיה האתר שלי לא יעבוד אז אכפת לי בריבוע.

בקיצור, עם כל הכבוד, לא הכנתם את שיעורי הבית שלכם כמו שצריך לפני השקה של כזאת מערכת. אין לכם תקנון, אתה מציע דברים שאתה לא יכול להבטיח שיעבדו ועוד מבקש כסף על תיקון תקלות ובאגים שעלולים להיווצר, קצת אבסורדי, לא? ולא לדבר שלא הצגת פה שום הוכחת יכולת למערכת... כל מה שאתה מציע פה זה דברים על הנייר שאתה לא מוכן אפילו להתחייב עליהם.

ולמה אתה חושב שיש פה תגובות לא ענייניות? כולם שאלו על המערכת ולכולן ענית בתשובה לא מספקת.

אז כמו nitsanbn, אם ככה אתם יוצרים מערכת ומשווקים אותה, כל מה שיש להגיד זה בהצלחה...:-/

אחי, זה שונה לחלוטין. פיירוול מטרתו לבדוק ולסנן פאקטים שעוברים ברשת לה המחשב שלך מחובר. פיירוול בודק ברמת הביט ולא ברמת טקסט. לפיירוול שמותקן לך במחשב אין יכולת לדעת מה המידע שמועבר. לפיירוול לא מעניין מה אתה כותב ב-CMD או מה אתה כותב בכתובת של אקספלורר, כל מה שהוא עושה זה לחפש גישות לפורטים ולהחליט לפי רצץ בינארי כלשהו אם לפאקט מותר לעבור או לא (כמובן שעם מערכת חוקים הרבה יותר מסובכת).
לעומת זאת, המערכת שהוא מציע בודקת את המידע שאתה מזין באתר. אין לך שום בקרה על זה. אם המשתמש שלך עושה לוגין, מאיפה לך לדעת שהוא לא שומר את הסיסמא בשרת שלו? כל מה שהמערכת שלו עושה אמור לעשות האתר שלך אם תוכנת בצורה מאובטחת. אם אתה משתמש במערכת כזאת אתה חושף את עצמך לשרת של "גורם זר" שלא רק יכול לאסוף את המידע מהמשתמשים שלך, הוא יכול באותה מידה להשבית לך את האתר.

אני די נאלץ להסכים איתך..

sheeze - מסכים איתך אבל עדיין פלוס מינוס המערכת עוברת במקום בית בית , עוברת על הטקסט שמתקבל ונשלח
ובודקת..אם השרתים שלהם מספיק חזקים זה נראה לי רעיון ממש ממש טוב..ככה גם אפשר להתעדכן עם כל הפרצות החדשות מבלי לשלם
למתכנת שיתקן את זה או בכלל להתעסק עם הקוד של האתר שלך... העניין של הפצת המידע באתר שלך זה אתה צריך לבדוק עם מי אתה מדבר
וזה כבר קשר בין בני אדם..אין שום קשר למערכת פה..

אני ממש בעד..אם יש להם שרתים חזקים , רעיון סבבה לגמרי

אני חושב שהרעיון עצמו נחמד לא יותר,
אני חושב שאתם לא באמת יודעים איך כל העסק עובד, ואיך כל מה שמסביב עובד, וגם איזה דברים אתם צריכים בשביל להפעיל את הכל כמו שצריך.
אתם שיווקתם מוצר בלי תקנון, בלי שום דבר שאמור להראות ללקוח מה הוא מתחייב אליכם ומה אתם מתחייבים אליו.
מה אם יש באגים ופרצו לאתר? מי אשם? אם אתה לא לוקח אחריות אז בשביל מה קניתי מערכת? בשביל שתשב לי בשרת?
מה הרעיון של ה"נתקן את הבאגים תוך כדי" אחי זה נקרא בטא, כאלה גרסאות משחררים חינם בדרך כלל, פה אתם מבקשים על זה כסף, ולא מעט כסף..
יש פה עוד בעיה של הרעיון של "השרת יתוחזק לפי לקוחות" זה אומר שאם יהיו אני ועוד לקוח אז בעצם נדפקנו? כי אנחנו לא משלמים מספיק כסף בשביל שתוכלו לממן שרת?

ובקיצור יש עוד הרבה על מה לחשוב,
אני חושב שעליתם פה על משהו נחמד, שיכול לעבוד יפה, אבל הוא דורש עוד הרבה מאוד השקעה,
חוץ מזה שכמו שאמרו, כבר יותר זול ופשוט לאבטח את המערכת.. עוד נקודה למחשבה...

אז אני מקווה שתיקח את הכל ברוח טובה,
אף אחד פה לא מנסה לשים לך רגליים, אלה להפך, לעזור לך, להראות לך את הטעויות שלך ולהגיד לך איך אני בתור לקוח פוטנציאלי, מהתחום, מסתכל על הרעיון.

אז שיהיה לכולם סוף שבוע נעים :-) ,

אני לא חושב שכ"כ הבנת את הכוונה שלי. אם יש לי אתר והמשתמש שלי מבצע לוגין, מכניס שם משתמש וסיסמא ולוחץ שלח, איך אני יודע שלאחר הבדיקה שנעשת אצלהם בשרת, אין איזה INSERT שמכניס רשומה חדשה שכוללת את השם משתמש והסיסמא של הגולש שלי ל-DB שלהם?
גם בד"כ שסוגרים עם מתכנת על הקמת אתר, מכניסים סעיפים של תמיכה ותיקוני באגים לתקופה מסוימת ללא תוספת תשלום - זה נהוג וזה מה שעושים בדרך כלל.

לחברת RSA יש מוצרים שעושים דברים בסגנון שהוא תיאר... לא למגזר הפרטי אבל זה לא משהו חדש בכלל.

הבנתי את הכוונה שלך , ובגלל זה אמרתי .. את זה אתה צריך לקבוע עם הבנאדם
כאילו יותר עניין של לסמוך עליו אבל זה לא קשור בשם דרך למערכת שלו..

המערכת שלנו מתוכנתת בצורה מאוד חכמה, שעליה אסביר בהמשך ההודעה בפירוט, אך בנוסף לכך, אנו מתאחסנים על שרת חזק ומאובטח.
כוונתי הייתה שככל שיהיו יותר לקוחות, נאלץ לדאוג לשרת חזק יותר, שיוכל לעמוד בעומסים כבדים יותר, אך אין זה אומר שהשרת הנוכחי אינו מספיק חזק.

המידע שנשלח מהשרת שלך מנותח ונבדק בקפדות, ושוב: אינו נשמר בשום מקום.

"לגבי המפרט של השרת שלך, ברור שזה אמור לעניין אותי."
להלן מפרט השרת:
מעבד: Intel® Core™2 Duo 2.40GHZ
זכרון: 2GB RAM
הארדיסק: 250GB
מערכת הפעלה: Linux CentOS
חיבור: 10MB פרטי
חווה: 013
UPTime: 99%


על פי חוקי הוסטס, אם לבעל האשכול יש דרישה לגבי תגובות הגולשים (אם אני לא טועה), צריך לקיים אותה, ואם לא, לעזוב את האשכול.

אם אתה מתעניין ברכישה, תוכל ליצור איתי קשר ואציג בפניך "לייב".
תאמין לי, ואני מקווה שאתה מתעלם מאנשים שמגיבים ומציגים דעות שגויות לפני שהם מבררים הכל עד סוף דעת, שהמערכת הזאת היא לא פחות, ואפילו יותר, מאיך שהצגנו אותה.

בנוגע לעדכונים, כמו שציינו באשכול, חובה לעדכן את המערכת בתום כל חצי שנה, בעבור סכום זעום של 50 ש"ח.
קשה לי להאמין שמישהו, שקנה אבטחה, יחליט לוותר על עדכון שכזה.

אם תחליט לנתק את אתרך מן המערכת, הוא יחזור למצבו הקודם על כל המשתמע מכך.

לא, לא מדוייק.
כאשר משתמש שולח בקשה, היא עוברת לשרת שלך, כאשר עליו מתבצעת הבדיקה הראשונית של המערכת, ורק במידה והיא תחזיר אמת, נמשיך לבדיקה הבאה, אשר נמצאת בשרת שלנו.
השרת שלנו מחזיר תגובה בהתאם, ממש כמו שדפדפן שולח בקשה לשרת, שאותה השרת שלך מתרגם ומבצע פעולות בהתאם לתגובה שהתקבלה מהשרת שלנו.
אנו לא מקבלים כל בקשה שנשלחת לשרת שלך, אלא רק את "המסוכנות" שבהן, ולכן, לא נוכל לשמור נתונים כאלו.

אני אישית חייב לציין שזאת עסקה שווה מאוד,
אני מכיר את אילון כבר הרבה זמן והוא אחלה בנאדם.
אמין, וחשוב לציין שכל מה שהוא דובר פה זה אמת ויציב.
בוא נגיד שאפשר לסמוך עליו ב4 עיניים.
תמיד נותן תמיכה גם שהוא לא צריך ולמרות שאני עדיין לא לקוח שלו הוא תמיד עוזר.
בקיצור אני ממליץ, אני הולך ליהיות אחד הלקוחות הראשונים שלו :P
אילון ראיתי שיש לך לייב אשמח לראות.
בהצלחה לך ולרועי.

דבר ראשון, עדיין אין לך תקנון. מה שאתה אומר פה לגבי שמירת נתונים הוא רק המילה שלך וזה דבר שאי אפשר לסמוך עליו, יכול להיות שאתה צדיק ויכול להיות נוכל (אנחנו לא מכירים אחרי הכל...).

דבר שני, 99% uptime שלך זה אומר שבערך 3.5 ימים בשנה האתר שלך לא זמין מה שאומר שה-UPTIME של האתר שלי יורד מבחינת פונקציונאליות מלאה. מה גם כל המפרט הזה הופך ללא רלוונטי בבעיית חומרה - אין שרת גיבוי...

דבר שלישי, יש הבדל בין עדכוני תוכנה לעדכוני אבטחה. למשל תוכנת אנטי וירוס נותנת לאחר שנה מנוי בתשלום לאינציקלופדיית הוירוסים שלה אבל עדכונים לתוכנה עצמה עדיין מופצים חינם. אתה אומר בגירסאות הבאות יהיו פאנל, אפשרויות חדשות, כלי ניהול וכו' - זאת כבר גירסה חדשה לגמרי ועל זה אני מבין למה אתה דורש תשלום. על עדכוני תוכנה אני עדיין לא מוצא סיבה לשלם (תקוני באגים). ולמה המוצר מפסיק לעבוד אם אני מפסיק לשלם? אני אמור להמשיך להשתמשב תוכנה רק היא תהיה לא מעודכנת. זה עדיין מרגיש כמו תשלום על תיקון באגים מאשר על עדכוני אבטחה.

דבר רביעי, עדיין לא הוכחת שום דבר ממה שאמרת. הכל בתאוריה.

שהוא מדבר על עדכונים הוא מתכוון גם עדכוני גרסה וכו' שזה כולל את כל האפשרויות הבאות של הגרסא החדשה.
ומשום מה גם אני לא הבנתי למה אם אני מפסיק לשלם עעל עדכונים סוגרים לי תאבטחה =\

הרבה מאומה, על לא מאומה.


"מה לעשות שיש הרבה מתכנתים שלא יודעים לאבטח?..." - תשובה: לא להעסיק אותם, להעביר להם קורסים ואם צריך אפילו לפטר אותם. או לקחת סיכון. כל אחד לפי היכולות הכלכליות שלו. אתר שדורש אבטחה גבוהה ויסכים לשלם באופן חודשי יעדיף לרכוש מתכנת קבוע.


יש חברות אחרות שעושות דבר כזה? - קודם כל מדובר בחברות שמעבירות אלגוריתמים מטורפים שמשומה לא נראה לי שפיתחתם(אלגוריתמים מתמטיים לא של פונקציות פשוטות), שבודקות את המערכת, והם עושות את זה ע"ג השרת, לא לפי שרת חוץ וכל זה[וזו פרצת אבטחה!]. וכמובן לא בPHP אלא בשפות C וכו'.


פיירוואל? כמו שהסבירו למעלה, זה בדיקה שונה- היא מגנה על המחשב, לא על פריצות אבטחה בתוכנה.



דעתי
לדעתי, מה שאתה מוכר פה הוא ריק, תוכנית כזו יכולה לגרום לקריסה של המערכת בגלל התנגשות מידע כפול, היא מאטה את טעינת האתר עקב שליחת נתונים משרת אחר.

מתוך נקודת הנחה[שברורה מאליה] שהמערכת שלך מבוססת PHP, הפרויקט שלך מיותר לחלוטין:
מה אתה יכול לעשות? להריץ סירצ'ים על סטרינגים של POST ו GET?
להוסיף הגדרה של חסימת register_globals?
לוודא שלא שלחו X פעמים מאותו אייפי אותו תוכן?

בקיצור- שם דבר שלא מובן מאיליו.


דבר נוסף, אשמח אם תסביר לי איך זה בדיוק נכנס בקטג' של web 2.00 ???


בקטע הבא - אני מצטער שאני נכנס באופן כ"כ אישי, אבל נראה לי הזוי להטעות אנשים ברמה כזו:
אתה מגדיר את עצמך באתר שלך כ"מאבטח אתרים מקצועי", לכל הרוחות, אתה המצאת מקצוע עכשיו!?!?!?!?
http://hyp3rinj3ct10n.googlepages.com/

והכי חשוב- אתה מוכר ללקוחות משהוא ואתה לא יכול להתחייב אליו אפילו בקצת? והוכחות יש בכלל? תרשימי הסבר? סקרין שוטס? משהו????


אני במקומך הייתי פשוט מוכר את הדומיין, יש לו שם יפה- ממנו אתה תרוויח יותר מכל העסק הזה.
במיוחד לאור העובדה שיש פה כמה מביני-עניין שלא פראיירים ומטקבקים עם הסברים.

בהצלחה בהמשך!,
אלמוג בקו.


נ.ב אתה דורש שימחקו תגובות שקצת לא מוצאות חן בענייך, אבל אם המערכת שלך כ"כ טובה אתה אמור להענות בשמחה לתגובות ולתת תשובות מספקות. הלקוח צריך לדעת את האמת. השאלה היא מי ייתן לו את האמת- אתה? או אני?, אם תהיה לך תשובה מספיק טובה- כנראה שאתה.

sheeze
--------
"אתה משנה את התמונה עם הנתונים שהוספת פה אבל עדיין לא מספיק כדי להפוך את המערכת למשתלמת..."
יהיה לי יותר קל להראות לך כמה המערכת מושלמת אם תגיד לי בדיוק מה חסר לך/לא מסתדר לך.

"דבר ראשון, עדיין אין לך תקנון."
התקנון יעלה בקרוב, ביחד עם האתר.

"מה שאתה אומר פה לגבי שמירת נתונים הוא רק המילה שלך וזה דבר שאי אפשר לסמוך עליו, יכול להיות שאתה צדיק ויכול להיות נוכל (אנחנו לא מכירים אחרי הכל...)."
כפי שצויין בהודעה הראשית של הנושא, הלקוח זכאי לקבל קבצים שאינם מוצפנים, כך שהוא יכול לראות בדיוק מה המערכת עושה.
אני לא יודע למה ואיך הגעת לקטע של שמירת נתונים, כי אם אתה שואל אותי, זה פשוט לא משתלם מאחר ועל מנת לשמור נתונים, אני אצטרך לשמור כל בקשה שנשלחת לשרת, שזה אומר שלבסוף הוא יקרוס, ואז מה יצא לי מזה?

"דבר שני, 99% uptime שלך זה אומר שבערך 3.5 ימים בשנה האתר שלך לא זמין מה שה-UPTIME של האתר שלי יורד מבחינת פונקציונאליות מלאה."
כן לקחנו בחשבון מקרה שהUPTIME שלנו יכול להשפיע, ולכן דאגנו לשלב בקבצי הלקוח מנגנוני בדיקה שמותאמים למצבים כאלה.
בנוסף, אנו כן ננסה לארגן שרת נוסף, על מנת לדאוג שהמערכת תתפקד כראוי תמיד.


"מה גם כל המפרט הזה הופך ללא רלוונטי בבעיית חומרה - אין שרת גיבוי..."
אנו דואגים לבצע גיבויים, כך שזו אינה בעיה, ואתה יכול לסמוך עלינו.


"דבר שלישי, יש הבדל בין עדכוני תוכנה לעדכוני אבטחה. למשל תוכנת אנטי וירוס נותנת לאחר שנה מנוי בתשלום לאינציקלופדיית הוירוסים שלה אבל עדכונים לתוכנה עצמה עדיין מופצים חינם. אתה אומר בגירסאות הבאות יהיו פאנל, אפשרויות חדשות, כלי ניהול וכו' - זאת כבר גירסה חדשה לגמרי ועל זה אני מבין למה אתה דורש תשלום. על עדכוני תוכנה אני עדיין לא מוצא סיבה לשלם (תקוני באגים)."
אתה לא משלם על מנת לקבל תיקוני באגים. כמו שציינתי מקודם, על המערכת נערכות בדיקות רבות על מנת לוודא שלא יהיו באגים ופשאלות בעת שיחרור המערכת.
מה שכן, אתה משלם על קבלת גירסאות חדשות אשר כוללות מנגנונים חדשניים וטובים יותר ואפשרויות חדשות ומתקדמות יותר.

"ולמה המוצר מפסיק לעבוד אם אני מפסיק לשלם? אני אמור להמשיך להשתמשב תוכנה רק היא תהיה לא מעודכנת. זה עדיין מרגיש כמו תשלום על תיקון באגים מאשר על עדכוני אבטחה."
את האמת? קשה לי להאמין שבתור לקוח לא תרצה לקבל עידכונים למערכת. בטח ובטח שמדובר במערכת אבטחה.
למעשה, זה כמו ב-Norton AntiVirus ובעוד תוכנות אנטי וירוס אחרות - כשאתה לא מחדש את הרישיון, התוכנה לא תעבוד.

"דבר רביעי, עדיין לא הוכחת שום דבר ממה שאמרת. הכל בתאוריה."
לאחר שיחרור הגירסה החדשה, אשר תכלול גם לוח בקרה מתקדם, יהיה יותר מה להראות,כך שנוכל לספק דוגמה של המערכת ב"לייב".


נ.ב.: sheeze, שמתי לב שערכת את התגובה שלך. באמת שאין צורך להסתיר את הצד הזה ולהיות תוקפני כל הזמן למרות שעל פי מה שהגבת ומחקת, אתה מאמין אחרת.






Baku
-----
"שמשומה לא נראה לי שפיתחתם(אלגוריתמים מתמטיים לא של פונקציות פשוטות), שבודקות את המערכת"
תתפלא, אבל כן.
על המערכת הזאת אנחנו עובדים כבר המון זמן, ועוד לפני שהתחלנו אותה - עבדנו כל אחד לחוד.

"לא לפי שרת חוץ וכל זה[וזו פרצת אבטחה!]"
אני אשמח לדעת מדוע אתה טוען שזאת פירצת אבטחה.

"לדעתי, מה שאתה מוכר פה הוא ריק, תוכנית כזו יכולה לגרום לקריסה של המערכת בגלל התנגשות מידע כפול, היא מאטה את טעינת האתר עקב שליחת נתונים משרת אחר."
אני מצטער לאכזב אותך, אבל אתה טועה.
המערכת שפיתחנו חכמה הרבה יותר משאפשר בכלל להבין, הסיכוי שהיא תגרום לקריסה שואף ל0.

"מתוך נקודת הנחה[שברורה מאליה] שהמערכת שלך מבוססת PHP, ... מה אתה יכול לעשות?"
אולי תתפלא, אבל הרבה מעבר למה שאמרת.
אני בטוח שתסכים איתי שאין כל חיסרון במידה ומערכת מאובטחת תוך כדי התיכנות שלה, ולמעשה, המערכת שלנו כמעט משתווה בפעולותיה לרמה שניתן להגיע אליה במידה ונאבטח תוך כדי התיכנות.
לפי מה שחשבת שאני יכול לעשות, אני רואה שאתה ממש לא מבין את העוצמה שיש בPHP, וחבל. מה שכן, אני יכול להבטיח לך שניתן לבצע הרבה מעבר למה שאמרת.

"דבר נוסף, אשמח אם תסביר לי איך זה בדיוק נכנס בקטג' של web 2.00 ???"
אני מצטער, כנראה לא פירשת נכון את תוכן החתימה שלי (אם לזה התכוונת).

"בקטע הבא - אני מצטער שאני נכנס באופן כ"כ אישי, אבל נראה לי הזוי להטעות אנשים ברמה כזו:
אתה מגדיר את עצמך באתר שלך כ"מאבטח אתרים מקצועי", לכל הרוחות, אתה המצאת מקצוע עכשיו!?!?!?!?
http://hyp3rinj3ct10n.googlepages.com/"
אבטחת אתרים הוא תחום שלא אנחנו המצאנו, הוא קיים, והוא קיים כבר הרבה מאוד זמן.
בנוגע לאתר - מדובר באתר (שמספר חברים של שותפי ביקשו ממנו להכין על מנת לעזור להם להתקדם) המכיל תכנים בנושאים בסיסיים בלבד.

"והכי חשוב- אתה מוכר ללקוחות משהוא ואתה לא יכול להתחייב אליו אפילו בקצת? והוכחות יש בכלל? תרשימי הסבר? סקרין שוטס? משהו????"
חד משמעית, אין אף אחד שיוכל להתחייב לך שלא יוכלו לפרוץ לך.
פריצה לא תמיד מתבצעת דרך האתר, היא יכולה להתבצע גם דרך השרת, שהוא איזור שאנו לא מאבטחים, ולכן לא נוכל להתחייב שלא יוכלו לפרוץ לך.
שוב, כמו שציינתי, בקרוב נעלה גירסת "לייב".

"נ.ב אתה דורש שימחקו תגובות שקצת לא מוצאות חן בענייך, אבל אם המערכת שלך כ"כ טובה אתה אמור להענות בשמחה לתגובות ולתת תשובות מספקות. הלקוח צריך לדעת את האמת. השאלה היא מי ייתן לו את האמת- אתה? או אני?, אם תהיה לך תשובה מספיק טובה- כנראה שאתה."
אין לי בעיה עם זה ששואלים שאלות, ולהפך - אני מאוד נהנה לענות על שאלות ולהסביר, כי אני מבין שיש לזה חשיבות רבה, אך כשזה מגיע לרמה של "התקפות" ו-"עקיצות" כאלו, זה ממש לא כיף לענות.
תלמדו לכבד אנשים, היחס שאנשים נותנים פה הוא פשוט לא יפה ולא מכובד, איך אני אמור לענות על שאלות כשסתם מנסים לעקוץ ולא באמת מתעניינים בתשובה לשאלה? ועל זה אני רוצה שתענה לי!

- מחקתי את המשפט הראשון כי הרגשתי שהוא לא שייך לשאר הדברים שכתבתי באותו פוסט. לא מתחרט על זה שכתבתי אותו ולא לוקח אותו בחזרה. אני עדיין חושב שהוא נכון כי אתה דורש פה כסף על מערכת לא מוכחת שנשמעת בשלבי בטא ראשוניים.
אני גם ממש לא תוקפני, אני לא סתם מבזבז זמן על כתיבת כל הפוסטים האלו. יש לי לקוחות שהיו בהחלט יכולים להתעניין במערכת הזאת. במצבה הנוכחי לפי מה שאתה מספר, אני לא מתכוון להמליץ להם עליה.
- הקבצים של הלקוח שהם לא מוצפנים זה לא מספיק כי עדיין יהיה את הצד הנסתר שלך. לעשות insert לא יפיל שום שרת, גם לא בקצב של 10 insert-ים באותו זמן. ולמה לא משתלם? אם מישהו משתמש במערכת שלך באתר קניות שלו ואתה משיג מס' כרטיס אשראי של משתמש? נראה לי די שווה. אתה חושף את עצמך לתביעות קשות מאד פה, אם אתה מסיר אחריות ממך בתקנון שלך אז כל הסיפור הוא עבודה בעיניים.
- norton ממש אבל ממש לא עובד ככה. המחשב של אמא שלי לדוגמא לא מחובר לאינטרנט, מותקן בו נורטון 2006 ללא מנוי והוא ממשיך לעבוד. אתה יוצא מנקודת הנחה שכולם ירצו להמשיך לעדכן אבל אם לא? למה שהמערכת שלך לא תמשיך לעבוד לי? היא צריכה להמשיך לעבוד על לנקודת העדכון האחרונה ולא להפסיק לתפקד הרי הלקוח שילם עד אותה נקודה (וזאת עוד סיבה ללמה אני חושב שהמערכת לא משתלמת).
- אם אין לך מערכת לייב, מאיפה לי לדעת שמה שאתה מציע לי עכשיו באמת קיים ועובד? לפי מה שאתה אומר זה "תקנה, תתקין ותראה שהכל עובד". אבל מה אם זה לא באמת עובד? למה הלקוח צריך לעשות את הבדיקות האלו?
- שרת גיבוי זה לא הגיבוי היומי שאתה עושה. אלו דברים שונים לגמרי.
- בקשת הסבר למה שרת חיצוני הוא איום אבטחתי אז אני אגיד לך למה. אם פורצים לשרת שלך, שמים בו איזה טרויאני חמוד ששומר ושולח את כל המידע המועבד אצלך? או שפשוט פורצים לך לשרת וגונבים את הקוד? כל אתר שמשתמש במערכת שלך יהיה חשוף. יש עוד הרבה מאד טריקים ושטיקים שאפשר לעשות...

אני מתנצל אם כל זה נראה לך עקיצה אבל זה לא. זאת נשמעה מערכת מעניין כפי שהצגת אותה בהתחלה אבל מהר מאד התגלו הרבה מאד חורים. אני לא יכול להמליץ על כזאת מערכת לאף אחד מהלקוחות שלי, במיוחד שאתה לא נותן לה גב.

ישנו תחום במחשבים שנקרא אבטחת מידע, אין מקצוע של "מאבטח מידע" יש אנשים שיש להם קצת יותר ניסיון והם מתמחים באבטחת מידע- הם עדיין לא מאבטחים. אני לא חושב שהם הולכים ברחוב עם גלאי מתכות.

העוצמה שבPHP??, על מה אתה מדבר? ברור שאני יכול להפוך PHP לתוכנית שתתקין לינוקס וכל מיני דברים אחרים, אבל היא לא מיועדת לזה.


אלגוריתמים?
למה לא נראה לי שישבת לעשות במשך שנה וחצי מחקר מקיף בנושאי אלגוריתמי אבטחה במחשבים, מתודלוגיות אבטחה, וישבת כמובן להמציא אלגוריתם שימשך הרבה זמן לכתוב אותו?


לגבי השרת המרוחק, חד משמעית- שרת שאני צריך להתחבר אליו מרחוק מסוכן. אני בתור בעל אתר גדול לצורך העניין לא אסתכן.


עומס שרת-
מה תעשה אם יפנה אליך שרת של אלף ייחודיים ביום? איך תתמודד עם כמיליון שאילתות?! אפילו לא צריך אלף- אתה לא תתמודד עם 100 ייחודיים. נניח ש-100 ייחודיים גולשים כל אחד מהם ל-10 דפים. 1000 כניסות, נניח שכל כניסה מריצה 50 שאילתות, חשבון קל: 50000 שאילתות. תכפיל במספר הלקוחות, תוסיף דילאיי של פניה לשרת.

"מערכת חכמה שמזהה אם השרת נופל"-
בלה בלה, זה שלוש שורות שבודקות אם השרת זמין.



שוב- אף אחד לא יאמין לך שמהמערכת שלך עושה כאלו ניסים ונפלאות בלי טיפת בסיס.
ודמו לא עוזר לי, מהסיבה הפשוטה שאני עדיין לא יכול לראות מה קורה.

תשרטט תרשימים של אופן פעולת המערכת.


עד אז, מבחינתי אתה הרבה רוח.

לא לפי שרת חוץ וכל זה[וזו פרצת אבטחה!]"
אני אשמח לדעת מדוע אתה טוען שזאת פירצת אבטחה.

מספיק פרצות לשרתים יש , האזנה מבחוץ לנתונים שנשלחים מהאתרים אליך..יש מספיק דרכים...

בס"ד

אני מכיר את שתי המתכנתים שעובדים על אופקס אישית והם באמת מאבטחים ברמה (ואני אומר מנסיון וגם הכרה אישית)
לפי מה שקראתי פה יש פה כמה שמנסים לרדת עליהם (או איך שאתם תקראו לזה בשפה שלכם: מתלוננים, נותנים ביקורת - זה לא משנה איך תקראו לזה זה עדין מגעיל פה שקורה פה)

אז במשפט אחד לכל "המתלוננים": כשיתחילו למכור את המערכת הזאת - אתם תוכלו תלב

שמע,
המערכת טובה למי שמחפש פתרון קל ומהיר, בתקציב נמוך במקום לבצע QA למערכת ולחפש חורי אבטחה לבד..

אבל מה שכן, יש למערכת הרבה חסרונות,
ועצם זה שאדם רוכש דבר כזה,מראה על הרמה של התוכניתנים שלו,
המערכת לא מעניקה לך פירוול נוסף, היא רק מגנה עלייך מחורי אבטחה שמתכנת שיודע לעבוד לא היה צריך שיהיה לו.

יש לך אפשרות להציג כאן ניסיון פריצה לאתר שמותקן המערכת ואותו אתר בלי המערכת ?

אני ממש לא מסכים עם הגישה הזו. זה התפשרות על בינוניות ורמה נמוכה.

מבחינתי לקוח שרוכש מוצר זכאי לקבל אותו ברמה של אליתה, ללא באגים תקלות או פרצות. ועל כך אני גם גובה מחיר.
אם אני אבנה מוצר ולא אבדוק אותו או אעביר עליו לופים מוכנים עם מחלקות הוא גם יהיה שווה בהתאם.


המוצר שלך מתאים לאנשים שמנסים להקים חברה עם 200 ש"ח ביד, בקיצור- להרבה ח'ברה מהוסטס. מבחינה מקצועית- זה נראה לי ממש בדיחה.



לכל הטוקסקיסטים בתשלום/חברים של.. - אני חייב לציין שאתם מאוד אובייקטיביים.

ואתה תאכל את הלב כשהאתר שלך לא יוכל לתפקד כשהשרת שלו לא יהיה זמין או שיגנבו לך נתונים.

ההמלצה שלך גם לא רלוונטית, כל עוד אין דמו שמוכיח שהמערכת הזאת קיימת ועובדת אין מה לדבר בכלל. זה לשלם על משהו שאין לנו מושג מה הטיב שלו.

לסיכום?

אתם לא מסודרים.
קחו את כל ההצעות והתלונות שקיבלתם פה באשכול, ותעשו איתם משהו.

ולכל הממליצים - אתם רק גורמים לדבר להיות לא רציני,
בשביל מה צריך להמליץ?

ממבט ראשוני על המערכת הזו נראה כאילו מדובר בתוספת בסגנון mod_security לאתרים (ולא ברמת פלטפורמה),
מה שלדעתי.. רעיון דווקא דיי נחמד.

למי זה יעיל?
דווקא קהל מאוד רחב..
כיום יוצא לי לעבוד לא פעם עם לקוחות שעובדים עם מערכות מוכנות (אם זה ג'ומלה או Phpnuke) שבנו ועיצוב עבורם ו...זהו, לא עשו מעולם updates, מה שמוביל כמובן לפריצות גבוהה של המערכת..
אם זה קהל היעד שלך, אז יש לך אחלה קהל יעד ואנשים יהיו מוכנים לשלם כסף, אבל (וחתיכת אבל), קשה לקנות מוצר שאין שום אחריות שיעזור, ז"א.. באכסון אתרים (שזה אחד המוצרים שהכי קשה לאפיין מה אתה קונה) החברה לפחות לוקחת אחריות כלשהיא על הנתונים ואחריות כלשהיא על זמינות האתר, במקרה שלך.. אתה לא לוקח אחריות על כלום (לפחות כך אתה מציג את זה),
אני חושב שהיה הרבה יותר יעיל אם היה פירוט אילו "תיקוני אבטחה" המערכת חוסמת (ומתעדכנת לכך בצורה שוטפת),
כלומר, אם אני בתור בעל אתר שעובד עם ג'ומלה לא הייתי צריך לטרוח כל פעם להעלות עדכון גרסה של המערכת אלה היתה לי מערכת אבטחה נפרדת שדואגת לכל זה בשבילי.. מעולה, חוסך המון זמן, ואם חסכת למישהו זמן (כלומר, כסף), הוא יהיה מוכן לשלם, והרבה יותר ממה שרשמת.
אבל שוב, חייב להיות פירוט מה המערכת חוסמת (להגיד חוסמת sql injection ובנוסף להגיד "אבל אני לא מתחייב שזה חוסם הכול".. אתה לא היית קונה מוצר כזה נכון?)

בנוסף.. למה שתהיה תלות כלשהיא בשרת שלך?
כלומר.. לעדכונים אני מסכים, אבל באופן שוטף? אתה באמת רוצה על הראש שלך לקוחות זועמים שנגרם להם נזק בגלל שהשרת שלך היה למטה? לא קצת מיותר?

בקיצור.. אני חושב שהרעיון יפה, הביצוע (או לפחות השיווק שלו..) קצת פחות.

ולסיום,
תלמד לקבל ביקורת, עברתי על האשכול כאן ודווקא המשתמשים נתנו עצות דיי מועילות, תתגבר על האגו ותיקח את הדברים לצומת לבך,
אף אחד לא רשם כאן בצורה פוגעת או מעליבה.

משהו אחד מאוד מוזר לי
מצד אחד אתה מציין שיש קבצים אצל הלקוח כי אתה רוצה להראות שצריך לחשוף את הקוד ללקוח
אך מצד שני צריכה להיות תקשורת קבועה מול השרת שלך?

שוב אתה סותר את עצמך
מה לעזאזל הנתונים עושים אצלך בשרת? אני מניח שאתה לא מאזין אליהם? ואם אתה לא מאזין אליהם, אז אתה בודק אותם? או שזאת סתם גישה שבמקרה ותרצה תריץ die(); מהשרת שלך והופ השרת שלהם מת?


בנאדם אני לא בא לתקוף, זה דווקא פתרון יעיל ונחמד ואת האמת - תחילה חשבתי להשתמש בזה בשני אתרים שלי שלא היה לי זמן לאבטח וגם לא דורשים אבטחה מסורבלת (אתרים פשוטים)

אבל רק לפעם הבאה
לפני שאתה מפרסם הודעה שתעלה תגובות מאנשים ושאלות - תכין שיעורי בית, תתכונן למה שהולך לבוא ותכין את עצמך למה שישאלו

בהצלחה בהמשך

ניצן

אז בעצם אתם אומרים שהדרך הפשוטה ביותר לפרוץ לאתר שרץ עם מערכת ההגנה שלכם הוא דבר פשוט מאוד, לתקוף את השרת שלכם בכל הכוח ולעשות כרצוני באתרים שמשתמשים בפלטפורמת האבטחה שלכם, לא קשה בכלל להוריד שרת, ולא משנה של מי, אז מה תעשו במצב שהשרת שלך, ושרתי הגיבויים שלך יהיו תחת מתקפה, ובאמצע פורום עם 100 אלף משתמשים שולח שאילתות לשרת שלכם?

מה יקרה אז?

עברתי שוב על כל התגובות אשר נכתבו באשכול, ושמתי לב שישנן מספר טעויות אשר עליהן אתם מבססים את רוב טענותיכם.

יש להבהיר מספר נקודות חשובות:

המערכת אינה בשלבי בטא
עוד לפני תחילת תיכנות Opex Firewall, רועי ואני התעסקנו המון בתחום, כך שזו אינה פעם ראשונה שאנו מפתחים מערכת כזו. אנו לא מנסים כלום, מאחר ואנו יודעים טוב מאוד מה אנחנו עושים.
Opex Firewall היא מערכת אבטחה מתוחכמת (שעל החוכמה הטמונה בה אסביר עוד בהמשך ההודעה) שנבנתה ונבדקה מספר רב של פעמים.
אין זה נכון להגיד כי לא היו מספר פאשלות במערכת, מאחר ובכל זאת היא תוכנתה על ידינו, ואנו לא שונים מכם או מכל אחד אחר - גם אנחנו טועים לפעמים.
המערכת עברה סדרת בדיקות מקיפה, ולפני שיחרורה דאגנו שהשימוש במערכת יהיה בטוח (מאובטח) וחלק (מהיר).


מבנה המערכת

חשוב לי לתקן טעות שראיתי אשר חזרה במספר הודעות: (ונתנה ביסוס לחלק מטענותיכם)
"משתמש > שרת שלי > שרת שלך > שרת שלי"
התיאור הזה אינו מדוייק, ואי הדיוק הזה גרם לבלבול גדול.

המערכת תוכנתה בצורה הרבה יותר חכמה, אשר לקחה בחשבון כל אפשרות לבעיה כלשהי.
להלן הסבר כללי המתאר את הפעולות האמיתיות שמתבצעות:
המערכת, אשר מותקנת באתרו של הלקוח, מריצה בדיקה ראשונית לבקשה המתקבלת מהגולש.
מטרתה של הבדיקה הראשונית היא לבדוק אם יש סיכוי שהבקשה שהמשתמש שלח יכולה להוות סיכון כלשהו.
במידה והבדיקה הראשונית אכן מוצאת כי הבקשה יכולה להוות סיכון כלשהו, נשלחת בקשה חדשה לשרת שלנו.
הערה: קבצי המערכת הנמצאים אצל הלקוחות מכילים חלקים נכבדים מן המערכת, כך שלא תמיד יש צורך בבדיקה נוספת על גבי השרת שלנו.

הבקשה שנשלחת לשרת שלנו (אשר ממש דומה לבקשה שדפדפן שולח לשרת) מנותחת ונבדקת היטב על גבי השרת שלנו, והשרת שלנו מחזיר תגובה בהתאם. (ממש כמו ששרת מחזיר לבקשה של דפדפן)
התגובה שהשרת מחזיר לשרתו של הלקוח מנותחת בעזרת קבצי האבטחה אשר נמצאים אצל הלקוח, ומתבצעות פעולות בהתאם.
במידה והשרת החזיר תגובה אשר טוענת כי ישנו סיכוי שמדובר בניסיון פריצה (הבדיקה שנמצאת על גבי השרת שלנו מתקדמת יותר), מורצת בדיקה שלישית (ואחרונה) על גבי שרתו של הלקוח.

כפי שניתן להבין, לא כל בקשה אשר מתקבלת מהגולשים באתרים של לקוחותינו נשלחת לשרת שלנו.

מכך ניתן לפסול את האפשרות שאנו מנסים לשמור מידע כלשהו, ויותר מזה - ניתן לראות כמה אנו אמינים בנושא.
בנוסף לכך, ניתן להגיע למסקנה כי אין כלל עומס על גבי השרת שלנו, מאחר ולא נשלחות בקשות לשרת באופן קבוע. (למרות שלקחנו גם את זה בחשבון, ולכן המערכת יודעת לפעול בהתאם גם ללא השרת שלנו)

מה זה תורם לנו? למה אנחנו עושים את זה?

ישנן 3 סיבות עיקריות שיש להתייחס אליהן:
1. עידכונים פשוטים יותר.
אחד היתרונות הגדולים והמשמעותיים בשיטה זו הוא שאנו יכולים לשפר ולעדכן את מנגנוני המערכת הראשיים ללא כל תלות בלקוחות.
נכון, אנו מודיעים ומוסרים אינפורמציה בכל פעם שיוצא עידכון חדש, אך ביצוע העידכון אינו מסובך.
2. גניבה וזיוף של חשבונות - לא אפשרי.
אני בטוח שאתם מודעים לתופעה: המון אנשים מתאחסנים על שרתים לא מאובטחים.

לא צריך ידע מיוחד בשביל להעלות קובץ זדוני "ולטייל" לתיקייתו של הלקוח במטרה לגנוב ולהרוס.
השימוש בשרת המרוחק עוזר בשמירה על האבטחה שרכשתם, על ידי מנגנוני בדיקה מתוחכמים אשר מונעים שימוש בחשבון ובקבצי האבטחה ממקומות אחרים. (לא חבל לשלם כסף על אבטחה, כשלבסוף גונבים אותה ומשתמשים בה במקומות אחרים?)
3. פיקוח
השרת שלנו מתעד כל ניסיון לביצוע פעולה חריגה, בין אם מדובר בניסיון לזיוף חשבון, ובין אם מדובר בפעולה אחרת.


עידכוני המערכת וחשיבות התשלומים החצי שנתיים

שמתי לב שגם הנושא הזה העלה מספר אי הבנות, ולכן בחרתי להתייחס גם אליו.
אני לא ממש מבין מה הקטנוניות כאן, בסך הכל מדובר ב50 ש"ח שיש לשלם רק בתום כל חצי שנה. (שזה ממש מחיר מזערי)
התשלום החצי שנתי נועד למספר מטרות עיקריות, כשהעיקרית היא קבלת עידכוני מערכת, שהוא עניין נוסף שראיתי שעלה כאן עם טעות.

חד משמעית: כאשר אנו משחררים גירסה, היא לא כוללת ולא תכלול תיקונים של באגים ופאשלות, מאחר ולא יהיו כאלה.
אנו לא דורשים מחיר עבור כל עידכון מערכת בנפרד, ולכן, על מנת שנוכל לספק עדכונים (ונספק) יש צורך בתשלום מסויים פעם בכמה זמן.
חשוב לציין כי בכל גירסה חדשה שאנו מפתחים, אנו מנסים להתעלות על מנגנוני ההגנה של הגירסה הקודמת, כך שבכל גירסה יהיו מנגנונים משוכללים יותר, למרות שלא תמיד זה יהיה אפשרי.

אנחנו לא מוכנים לקבל מצב שלקוח לא ירצה לעדכן את המערכת, כי זה מעמיד אותנו במצב שאנחנו לא רוצים להגיע אליו.


אבטחת אתרים - מקצוע?

מאבטח אתרים, לפי מה שידוע לי, הוא לא מקצוע רשמי (כמו מהנדס, פקיד וכו..), אך המושג כן השתרש עם הזמן, ולא אנחנו המצאנו אותו.
השימוש במושג הזה הולך ומתגבר, וכמובן שאנו מתאימים את עצמו לשפה של כולם.


שרת חלופי וגיבויים
כרגע, אנו לא מאמינים שיהיה צורך בשרת חלופי, אך אנו כן מייחסים חשיבות רבה לעניין, ונדאג לטפל בו בהקדם.

גיבויים - אם כוונתך הייתה לגיבויים של הרישיונות ושאר המידע בחשבון, אז כן - יש גיבויים, ואנו דואגים שהם ימשיכו להיות.


גירסת ניסיון / דוגמה ב"לייב"

אני מבין שזה אכן חיוני מאוד עבורכם, ולכן אדאג להעלות גירסת ניסיון למערכת. (אשר נתקין על מערכת פורומים)


מה בעצם המערכת עושה? כיצד היא תורמת לאבטחת האתר?
המערכת שלנו היא מעין שכבת הגנה שמתווספת לאתרכם, ועוזרת להגביל בהתאם את הבקשות.
הכוונה היא שהמערכת בודקת האם פעולה מסויימת שהגולש מבצע יכולה להוות סיכון, ובמידה וכן - היא בודקת לעומק את הפעולה, על מנת לדעת כיצד לטפל בה.
ניתן לראות רשימה של סוגי שיטות ומתקפות שהמערכת מכירה ויודעת להגן מפניהן בהודעה הראשית של האשכול.



אני משער שעניתי על רוב הנקודות החשובות, מצטער אם פספסתי משהו.


המשך יום נעים לכולם,
אילון.