הוסטס - פורום אחסון האתרים הגדול בישראל - View Single Post - Opex Firewall

eylonR · 12-09-08, 23:43

עברתי שוב על כל התגובות אשר נכתבו באשכול, ושמתי לב שישנן מספר טעויות אשר עליהן אתם מבססים את רוב טענותיכם.

יש להבהיר מספר נקודות חשובות:

המערכת אינה בשלבי בטא
עוד לפני תחילת תיכנות Opex Firewall, רועי ואני התעסקנו המון בתחום, כך שזו אינה פעם ראשונה שאנו מפתחים מערכת כזו. אנו לא מנסים כלום, מאחר ואנו יודעים טוב מאוד מה אנחנו עושים.
Opex Firewall היא מערכת אבטחה מתוחכמת (שעל החוכמה הטמונה בה אסביר עוד בהמשך ההודעה) שנבנתה ונבדקה מספר רב של פעמים.
אין זה נכון להגיד כי לא היו מספר פאשלות במערכת, מאחר ובכל זאת היא תוכנתה על ידינו, ואנו לא שונים מכם או מכל אחד אחר - גם אנחנו טועים לפעמים.
המערכת עברה סדרת בדיקות מקיפה, ולפני שיחרורה דאגנו שהשימוש במערכת יהיה בטוח (מאובטח) וחלק (מהיר).

מבנה המערכת

חשוב לי לתקן טעות שראיתי אשר חזרה במספר הודעות: (ונתנה ביסוס לחלק מטענותיכם)
"משתמש > שרת שלי > שרת שלך > שרת שלי"
התיאור הזה אינו מדוייק, ואי הדיוק הזה גרם לבלבול גדול.

המערכת תוכנתה בצורה הרבה יותר חכמה, אשר לקחה בחשבון כל אפשרות לבעיה כלשהי.
להלן הסבר כללי המתאר את הפעולות האמיתיות שמתבצעות:
המערכת, אשר מותקנת באתרו של הלקוח, מריצה בדיקה ראשונית לבקשה המתקבלת מהגולש.
מטרתה של הבדיקה הראשונית היא לבדוק אם יש סיכוי שהבקשה שהמשתמש שלח יכולה להוות סיכון כלשהו.
במידה והבדיקה הראשונית אכן מוצאת כי הבקשה יכולה להוות סיכון כלשהו, נשלחת בקשה חדשה לשרת שלנו.
הערה: קבצי המערכת הנמצאים אצל הלקוחות מכילים חלקים נכבדים מן המערכת, כך שלא תמיד יש צורך בבדיקה נוספת על גבי השרת שלנו.

הבקשה שנשלחת לשרת שלנו (אשר ממש דומה לבקשה שדפדפן שולח לשרת) מנותחת ונבדקת היטב על גבי השרת שלנו, והשרת שלנו מחזיר תגובה בהתאם. (ממש כמו ששרת מחזיר לבקשה של דפדפן)
התגובה שהשרת מחזיר לשרתו של הלקוח מנותחת בעזרת קבצי האבטחה אשר נמצאים אצל הלקוח, ומתבצעות פעולות בהתאם.
במידה והשרת החזיר תגובה אשר טוענת כי ישנו סיכוי שמדובר בניסיון פריצה (הבדיקה שנמצאת על גבי השרת שלנו מתקדמת יותר), מורצת בדיקה שלישית (ואחרונה) על גבי שרתו של הלקוח.

כפי שניתן להבין, לא כל בקשה אשר מתקבלת מהגולשים באתרים של לקוחותינו נשלחת לשרת שלנו.

מכך ניתן לפסול את האפשרות שאנו מנסים לשמור מידע כלשהו, ויותר מזה - ניתן לראות כמה אנו אמינים בנושא.
בנוסף לכך, ניתן להגיע למסקנה כי אין כלל עומס על גבי השרת שלנו, מאחר ולא נשלחות בקשות לשרת באופן קבוע. (למרות שלקחנו גם את זה בחשבון, ולכן המערכת יודעת לפעול בהתאם גם ללא השרת שלנו)

מה זה תורם לנו? למה אנחנו עושים את זה?

ישנן 3 סיבות עיקריות שיש להתייחס אליהן:
1. עידכונים פשוטים יותר.
אחד היתרונות הגדולים והמשמעותיים בשיטה זו הוא שאנו יכולים לשפר ולעדכן את מנגנוני המערכת הראשיים ללא כל תלות בלקוחות.
נכון, אנו מודיעים ומוסרים אינפורמציה בכל פעם שיוצא עידכון חדש, אך ביצוע העידכון אינו מסובך.
2. גניבה וזיוף של חשבונות - לא אפשרי.
אני בטוח שאתם מודעים לתופעה: המון אנשים מתאחסנים על שרתים לא מאובטחים.

לא צריך ידע מיוחד בשביל להעלות קובץ זדוני "ולטייל" לתיקייתו של הלקוח במטרה לגנוב ולהרוס.
השימוש בשרת המרוחק עוזר בשמירה על האבטחה שרכשתם, על ידי מנגנוני בדיקה מתוחכמים אשר מונעים שימוש בחשבון ובקבצי האבטחה ממקומות אחרים. (לא חבל לשלם כסף על אבטחה, כשלבסוף גונבים אותה ומשתמשים בה במקומות אחרים?)
3. פיקוח
השרת שלנו מתעד כל ניסיון לביצוע פעולה חריגה, בין אם מדובר בניסיון לזיוף חשבון, ובין אם מדובר בפעולה אחרת.

עידכוני המערכת וחשיבות התשלומים החצי שנתיים

שמתי לב שגם הנושא הזה העלה מספר אי הבנות, ולכן בחרתי להתייחס גם אליו.
אני לא ממש מבין מה הקטנוניות כאן, בסך הכל מדובר ב50 ש"ח שיש לשלם רק בתום כל חצי שנה. (שזה ממש מחיר מזערי)
התשלום החצי שנתי נועד למספר מטרות עיקריות, כשהעיקרית היא קבלת עידכוני מערכת, שהוא עניין נוסף שראיתי שעלה כאן עם טעות.

חד משמעית: כאשר אנו משחררים גירסה, היא לא כוללת ולא תכלול תיקונים של באגים ופאשלות, מאחר ולא יהיו כאלה.
אנו לא דורשים מחיר עבור כל עידכון מערכת בנפרד, ולכן, על מנת שנוכל לספק עדכונים (ונספק) יש צורך בתשלום מסויים פעם בכמה זמן.
חשוב לציין כי בכל גירסה חדשה שאנו מפתחים, אנו מנסים להתעלות על מנגנוני ההגנה של הגירסה הקודמת, כך שבכל גירסה יהיו מנגנונים משוכללים יותר, למרות שלא תמיד זה יהיה אפשרי.

אנחנו לא מוכנים לקבל מצב שלקוח לא ירצה לעדכן את המערכת, כי זה מעמיד אותנו במצב שאנחנו לא רוצים להגיע אליו.

אבטחת אתרים - מקצוע?

מאבטח אתרים, לפי מה שידוע לי, הוא לא מקצוע רשמי (כמו מהנדס, פקיד וכו..), אך המושג כן השתרש עם הזמן, ולא אנחנו המצאנו אותו.
השימוש במושג הזה הולך ומתגבר, וכמובן שאנו מתאימים את עצמו לשפה של כולם.

שרת חלופי וגיבויים
כרגע, אנו לא מאמינים שיהיה צורך בשרת חלופי, אך אנו כן מייחסים חשיבות רבה לעניין, ונדאג לטפל בו בהקדם.

גיבויים - אם כוונתך הייתה לגיבויים של הרישיונות ושאר המידע בחשבון, אז כן - יש גיבויים, ואנו דואגים שהם ימשיכו להיות.

גירסת ניסיון / דוגמה ב"לייב"

אני מבין שזה אכן חיוני מאוד עבורכם, ולכן אדאג להעלות גירסת ניסיון למערכת. (אשר נתקין על מערכת פורומים)

מה בעצם המערכת עושה? כיצד היא תורמת לאבטחת האתר?
המערכת שלנו היא מעין שכבת הגנה שמתווספת לאתרכם, ועוזרת להגביל בהתאם את הבקשות.
הכוונה היא שהמערכת בודקת האם פעולה מסויימת שהגולש מבצע יכולה להוות סיכון, ובמידה וכן - היא בודקת לעומק את הפעולה, על מנת לדעת כיצד לטפל בה.
ניתן לראות רשימה של סוגי שיטות ומתקפות שהמערכת מכירה ויודעת להגן מפניהן בהודעה הראשית של האשכול.

אני משער שעניתי על רוב הנקודות החשובות, מצטער אם פספסתי משהו.

המשך יום נעים לכולם,
אילון.

12-09-08, 23:43	# 40
eylonR חבר בקהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Mar 2008 הודעות: 91	עברתי שוב על כל התגובות אשר נכתבו באשכול, ושמתי לב שישנן מספר טעויות אשר עליהן אתם מבססים את רוב טענותיכם. יש להבהיר מספר נקודות חשובות: המערכת אינה בשלבי בטא עוד לפני תחילת תיכנות Opex Firewall, רועי ואני התעסקנו המון בתחום, כך שזו אינה פעם ראשונה שאנו מפתחים מערכת כזו. אנו לא מנסים כלום, מאחר ואנו יודעים טוב מאוד מה אנחנו עושים. Opex Firewall היא מערכת אבטחה מתוחכמת (שעל החוכמה הטמונה בה אסביר עוד בהמשך ההודעה) שנבנתה ונבדקה מספר רב של פעמים. אין זה נכון להגיד כי לא היו מספר פאשלות במערכת, מאחר ובכל זאת היא תוכנתה על ידינו, ואנו לא שונים מכם או מכל אחד אחר - גם אנחנו טועים לפעמים. המערכת עברה סדרת בדיקות מקיפה, ולפני שיחרורה דאגנו שהשימוש במערכת יהיה בטוח (מאובטח) וחלק (מהיר). מבנה המערכת חשוב לי לתקן טעות שראיתי אשר חזרה במספר הודעות: (ונתנה ביסוס לחלק מטענותיכם) "משתמש > שרת שלי > שרת שלך > שרת שלי" התיאור הזה אינו מדוייק, ואי הדיוק הזה גרם לבלבול גדול. המערכת תוכנתה בצורה הרבה יותר חכמה, אשר לקחה בחשבון כל אפשרות לבעיה כלשהי. להלן הסבר כללי המתאר את הפעולות האמיתיות שמתבצעות: המערכת, אשר מותקנת באתרו של הלקוח, מריצה בדיקה ראשונית לבקשה המתקבלת מהגולש. מטרתה של הבדיקה הראשונית היא לבדוק אם יש סיכוי שהבקשה שהמשתמש שלח יכולה להוות סיכון כלשהו. במידה והבדיקה הראשונית אכן מוצאת כי הבקשה יכולה להוות סיכון כלשהו, נשלחת בקשה חדשה לשרת שלנו. הערה: קבצי המערכת הנמצאים אצל הלקוחות מכילים חלקים נכבדים מן המערכת, כך שלא תמיד יש צורך בבדיקה נוספת על גבי השרת שלנו. הבקשה שנשלחת לשרת שלנו (אשר ממש דומה לבקשה שדפדפן שולח לשרת) מנותחת ונבדקת היטב על גבי השרת שלנו, והשרת שלנו מחזיר תגובה בהתאם. (ממש כמו ששרת מחזיר לבקשה של דפדפן) התגובה שהשרת מחזיר לשרתו של הלקוח מנותחת בעזרת קבצי האבטחה אשר נמצאים אצל הלקוח, ומתבצעות פעולות בהתאם. במידה והשרת החזיר תגובה אשר טוענת כי ישנו סיכוי שמדובר בניסיון פריצה (הבדיקה שנמצאת על גבי השרת שלנו מתקדמת יותר), מורצת בדיקה שלישית (ואחרונה) על גבי שרתו של הלקוח. כפי שניתן להבין, לא כל בקשה אשר מתקבלת מהגולשים באתרים של לקוחותינו נשלחת לשרת שלנו. מכך ניתן לפסול את האפשרות שאנו מנסים לשמור מידע כלשהו, ויותר מזה - ניתן לראות כמה אנו אמינים בנושא. בנוסף לכך, ניתן להגיע למסקנה כי אין כלל עומס על גבי השרת שלנו, מאחר ולא נשלחות בקשות לשרת באופן קבוע. (למרות שלקחנו גם את זה בחשבון, ולכן המערכת יודעת לפעול בהתאם גם ללא השרת שלנו) מה זה תורם לנו? למה אנחנו עושים את זה? ישנן 3 סיבות עיקריות שיש להתייחס אליהן: 1. עידכונים פשוטים יותר. אחד היתרונות הגדולים והמשמעותיים בשיטה זו הוא שאנו יכולים לשפר ולעדכן את מנגנוני המערכת הראשיים ללא כל תלות בלקוחות. נכון, אנו מודיעים ומוסרים אינפורמציה בכל פעם שיוצא עידכון חדש, אך ביצוע העידכון אינו מסובך. 2. גניבה וזיוף של חשבונות - לא אפשרי. אני בטוח שאתם מודעים לתופעה: המון אנשים מתאחסנים על שרתים לא מאובטחים. לא צריך ידע מיוחד בשביל להעלות קובץ זדוני "ולטייל" לתיקייתו של הלקוח במטרה לגנוב ולהרוס. השימוש בשרת המרוחק עוזר בשמירה על האבטחה שרכשתם, על ידי מנגנוני בדיקה מתוחכמים אשר מונעים שימוש בחשבון ובקבצי האבטחה ממקומות אחרים. (לא חבל לשלם כסף על אבטחה, כשלבסוף גונבים אותה ומשתמשים בה במקומות אחרים?) 3. פיקוח השרת שלנו מתעד כל ניסיון לביצוע פעולה חריגה, בין אם מדובר בניסיון לזיוף חשבון, ובין אם מדובר בפעולה אחרת. עידכוני המערכת וחשיבות התשלומים החצי שנתיים שמתי לב שגם הנושא הזה העלה מספר אי הבנות, ולכן בחרתי להתייחס גם אליו. אני לא ממש מבין מה הקטנוניות כאן, בסך הכל מדובר ב50 ש"ח שיש לשלם רק בתום כל חצי שנה. (שזה ממש מחיר מזערי) התשלום החצי שנתי נועד למספר מטרות עיקריות, כשהעיקרית היא קבלת עידכוני מערכת, שהוא עניין נוסף שראיתי שעלה כאן עם טעות. חד משמעית: כאשר אנו משחררים גירסה, היא לא כוללת ולא תכלול תיקונים של באגים ופאשלות, מאחר ולא יהיו כאלה. אנו לא דורשים מחיר עבור כל עידכון מערכת בנפרד, ולכן, על מנת שנוכל לספק עדכונים (ונספק) יש צורך בתשלום מסויים פעם בכמה זמן. חשוב לציין כי בכל גירסה חדשה שאנו מפתחים, אנו מנסים להתעלות על מנגנוני ההגנה של הגירסה הקודמת, כך שבכל גירסה יהיו מנגנונים משוכללים יותר, למרות שלא תמיד זה יהיה אפשרי. אנחנו לא מוכנים לקבל מצב שלקוח לא ירצה לעדכן את המערכת, כי זה מעמיד אותנו במצב שאנחנו לא רוצים להגיע אליו. אבטחת אתרים - מקצוע? מאבטח אתרים, לפי מה שידוע לי, הוא לא מקצוע רשמי (כמו מהנדס, פקיד וכו..), אך המושג כן השתרש עם הזמן, ולא אנחנו המצאנו אותו. השימוש במושג הזה הולך ומתגבר, וכמובן שאנו מתאימים את עצמו לשפה של כולם. שרת חלופי וגיבויים כרגע, אנו לא מאמינים שיהיה צורך בשרת חלופי, אך אנו כן מייחסים חשיבות רבה לעניין, ונדאג לטפל בו בהקדם. גיבויים - אם כוונתך הייתה לגיבויים של הרישיונות ושאר המידע בחשבון, אז כן - יש גיבויים, ואנו דואגים שהם ימשיכו להיות. גירסת ניסיון / דוגמה ב"לייב" אני מבין שזה אכן חיוני מאוד עבורכם, ולכן אדאג להעלות גירסת ניסיון למערכת. (אשר נתקין על מערכת פורומים) מה בעצם המערכת עושה? כיצד היא תורמת לאבטחת האתר? המערכת שלנו היא מעין שכבת הגנה שמתווספת לאתרכם, ועוזרת להגביל בהתאם את הבקשות. הכוונה היא שהמערכת בודקת האם פעולה מסויימת שהגולש מבצע יכולה להוות סיכון, ובמידה וכן - היא בודקת לעומק את הפעולה, על מנת לדעת כיצד לטפל בה. ניתן לראות רשימה של סוגי שיטות ומתקפות שהמערכת מכירה ויודעת להגן מפניהן בהודעה הראשית של האשכול. אני משער שעניתי על רוב הנקודות החשובות, מצטער אם פספסתי משהו. המשך יום נעים לכולם, אילון. __________________ www.opex.co.il בניית אתרים, תכנות PHP ופיתוח מערכות ניהול תוכן CMS בסטנדרט גבוה