Opex Firewall - תוכנית אבטחת מידע - עמוד 4 - הוסטס

ToxicBoy21 · 12-09-08, 08:36

בס"ד

אני מכיר את שתי המתכנתים שעובדים על אופקס אישית והם באמת מאבטחים ברמה (ואני אומר מנסיון וגם הכרה אישית)
לפי מה שקראתי פה יש פה כמה שמנסים לרדת עליהם (או איך שאתם תקראו לזה בשפה שלכם: מתלוננים, נותנים ביקורת - זה לא משנה איך תקראו לזה זה עדין מגעיל פה שקורה פה)

אז במשפט אחד לכל "המתלוננים": כשיתחילו למכור את המערכת הזאת - אתם תוכלו תלב

~~CubeS.co.il~~ · 12-09-08, 09:07

שמע,
המערכת טובה למי שמחפש פתרון קל ומהיר, בתקציב נמוך במקום לבצע QA למערכת ולחפש חורי אבטחה לבד..

אבל מה שכן, יש למערכת הרבה חסרונות,
ועצם זה שאדם רוכש דבר כזה,מראה על הרמה של התוכניתנים שלו,
המערכת לא מעניקה לך פירוול נוסף, היא רק מגנה עלייך מחורי אבטחה שמתכנת שיודע לעבוד לא היה צריך שיהיה לו.

kfir-d · 12-09-08, 09:07

יש לך אפשרות להציג כאן ניסיון פריצה לאתר שמותקן המערכת ואותו אתר בלי המערכת ?

AlmogBaku · 12-09-08, 09:23

אני ממש לא מסכים עם הגישה הזו. זה התפשרות על בינוניות ורמה נמוכה.

מבחינתי לקוח שרוכש מוצר זכאי לקבל אותו ברמה של אליתה, ללא באגים תקלות או פרצות. ועל כך אני גם גובה מחיר.
אם אני אבנה מוצר ולא אבדוק אותו או אעביר עליו לופים מוכנים עם מחלקות הוא גם יהיה שווה בהתאם.

המוצר שלך מתאים לאנשים שמנסים להקים חברה עם 200 ש"ח ביד, בקיצור- להרבה ח'ברה מהוסטס. מבחינה מקצועית- זה נראה לי ממש בדיחה.

לכל הטוקסקיסטים בתשלום/חברים של.. - אני חייב לציין שאתם מאוד אובייקטיביים.

sheeze · 12-09-08, 09:27

ציטוט:

נכתב במקור על ידי LocalHost

אז במשפט אחד לכל "המתלוננים": כשיתחילו למכור את המערכת הזאת - אתם תוכלו תלב

ואתה תאכל את הלב כשהאתר שלך לא יוכל לתפקד כשהשרת שלו לא יהיה זמין או שיגנבו לך נתונים.

ההמלצה שלך גם לא רלוונטית, כל עוד אין דמו שמוכיח שהמערכת הזאת קיימת ועובדת אין מה לדבר בכלל. זה לשלם על משהו שאין לנו מושג מה הטיב שלו.

Matan Levy · 12-09-08, 09:44

לסיכום?

אתם לא מסודרים.
קחו את כל ההצעות והתלונות שקיבלתם פה באשכול, ותעשו איתם משהו.

ולכל הממליצים - אתם רק גורמים לדבר להיות לא רציני,
בשביל מה צריך להמליץ?

**דניאל** · 12-09-08, 13:16

ממבט ראשוני על המערכת הזו נראה כאילו מדובר בתוספת בסגנון mod_security לאתרים (ולא ברמת פלטפורמה),
מה שלדעתי.. רעיון דווקא דיי נחמד.

למי זה יעיל?
דווקא קהל מאוד רחב..
כיום יוצא לי לעבוד לא פעם עם לקוחות שעובדים עם מערכות מוכנות (אם זה ג'ומלה או Phpnuke) שבנו ועיצוב עבורם ו...זהו, לא עשו מעולם updates, מה שמוביל כמובן לפריצות גבוהה של המערכת..
אם זה קהל היעד שלך, אז יש לך אחלה קהל יעד ואנשים יהיו מוכנים לשלם כסף, אבל (וחתיכת אבל), קשה לקנות מוצר שאין שום אחריות שיעזור, ז"א.. באכסון אתרים (שזה אחד המוצרים שהכי קשה לאפיין מה אתה קונה) החברה לפחות לוקחת אחריות כלשהיא על הנתונים ואחריות כלשהיא על זמינות האתר, במקרה שלך.. אתה לא לוקח אחריות על כלום (לפחות כך אתה מציג את זה),
אני חושב שהיה הרבה יותר יעיל אם היה פירוט אילו "תיקוני אבטחה" המערכת חוסמת (ומתעדכנת לכך בצורה שוטפת),
כלומר, אם אני בתור בעל אתר שעובד עם ג'ומלה לא הייתי צריך לטרוח כל פעם להעלות עדכון גרסה של המערכת אלה היתה לי מערכת אבטחה נפרדת שדואגת לכל זה בשבילי.. מעולה, חוסך המון זמן, ואם חסכת למישהו זמן (כלומר, כסף), הוא יהיה מוכן לשלם, והרבה יותר ממה שרשמת.
אבל שוב, חייב להיות פירוט מה המערכת חוסמת (להגיד חוסמת sql injection ובנוסף להגיד "אבל אני לא מתחייב שזה חוסם הכול".. אתה לא היית קונה מוצר כזה נכון?)

בנוסף.. למה שתהיה תלות כלשהיא בשרת שלך?
כלומר.. לעדכונים אני מסכים, אבל באופן שוטף? אתה באמת רוצה על הראש שלך לקוחות זועמים שנגרם להם נזק בגלל שהשרת שלך היה למטה? לא קצת מיותר?

בקיצור.. אני חושב שהרעיון יפה, הביצוע (או לפחות השיווק שלו..) קצת פחות.

ולסיום,
תלמד לקבל ביקורת, עברתי על האשכול כאן ודווקא המשתמשים נתנו עצות דיי מועילות, תתגבר על האגו ותיקח את הדברים לצומת לבך,
אף אחד לא רשם כאן בצורה פוגעת או מעליבה.

intercooler3819 · 12-09-08, 15:06

משהו אחד מאוד מוזר לי
מצד אחד אתה מציין שיש קבצים אצל הלקוח כי אתה רוצה להראות שצריך לחשוף את הקוד ללקוח
אך מצד שני צריכה להיות תקשורת קבועה מול השרת שלך?

שוב אתה סותר את עצמך
מה לעזאזל הנתונים עושים אצלך בשרת? אני מניח שאתה לא מאזין אליהם? ואם אתה לא מאזין אליהם, אז אתה בודק אותם? או שזאת סתם גישה שבמקרה ותרצה תריץ die(); מהשרת שלך והופ השרת שלהם מת?

בנאדם אני לא בא לתקוף, זה דווקא פתרון יעיל ונחמד ואת האמת - תחילה חשבתי להשתמש בזה בשני אתרים שלי שלא היה לי זמן לאבטח וגם לא דורשים אבטחה מסורבלת (אתרים פשוטים)

אבל רק לפעם הבאה
לפני שאתה מפרסם הודעה שתעלה תגובות מאנשים ושאלות - תכין שיעורי בית, תתכונן למה שהולך לבוא ותכין את עצמך למה שישאלו

בהצלחה בהמשך

ניצן

Yellow Slider · 12-09-08, 21:50

אז בעצם אתם אומרים שהדרך הפשוטה ביותר לפרוץ לאתר שרץ עם מערכת ההגנה שלכם הוא דבר פשוט מאוד, לתקוף את השרת שלכם בכל הכוח ולעשות כרצוני באתרים שמשתמשים בפלטפורמת האבטחה שלכם, לא קשה בכלל להוריד שרת, ולא משנה של מי, אז מה תעשו במצב שהשרת שלך, ושרתי הגיבויים שלך יהיו תחת מתקפה, ובאמצע פורום עם 100 אלף משתמשים שולח שאילתות לשרת שלכם?

מה יקרה אז?

eylonR · 12-09-08, 23:43

עברתי שוב על כל התגובות אשר נכתבו באשכול, ושמתי לב שישנן מספר טעויות אשר עליהן אתם מבססים את רוב טענותיכם.

יש להבהיר מספר נקודות חשובות:

המערכת אינה בשלבי בטא
עוד לפני תחילת תיכנות Opex Firewall, רועי ואני התעסקנו המון בתחום, כך שזו אינה פעם ראשונה שאנו מפתחים מערכת כזו. אנו לא מנסים כלום, מאחר ואנו יודעים טוב מאוד מה אנחנו עושים.
Opex Firewall היא מערכת אבטחה מתוחכמת (שעל החוכמה הטמונה בה אסביר עוד בהמשך ההודעה) שנבנתה ונבדקה מספר רב של פעמים.
אין זה נכון להגיד כי לא היו מספר פאשלות במערכת, מאחר ובכל זאת היא תוכנתה על ידינו, ואנו לא שונים מכם או מכל אחד אחר - גם אנחנו טועים לפעמים.
המערכת עברה סדרת בדיקות מקיפה, ולפני שיחרורה דאגנו שהשימוש במערכת יהיה בטוח (מאובטח) וחלק (מהיר).

מבנה המערכת

חשוב לי לתקן טעות שראיתי אשר חזרה במספר הודעות: (ונתנה ביסוס לחלק מטענותיכם)
"משתמש > שרת שלי > שרת שלך > שרת שלי"
התיאור הזה אינו מדוייק, ואי הדיוק הזה גרם לבלבול גדול.

המערכת תוכנתה בצורה הרבה יותר חכמה, אשר לקחה בחשבון כל אפשרות לבעיה כלשהי.
להלן הסבר כללי המתאר את הפעולות האמיתיות שמתבצעות:
המערכת, אשר מותקנת באתרו של הלקוח, מריצה בדיקה ראשונית לבקשה המתקבלת מהגולש.
מטרתה של הבדיקה הראשונית היא לבדוק אם יש סיכוי שהבקשה שהמשתמש שלח יכולה להוות סיכון כלשהו.
במידה והבדיקה הראשונית אכן מוצאת כי הבקשה יכולה להוות סיכון כלשהו, נשלחת בקשה חדשה לשרת שלנו.
הערה: קבצי המערכת הנמצאים אצל הלקוחות מכילים חלקים נכבדים מן המערכת, כך שלא תמיד יש צורך בבדיקה נוספת על גבי השרת שלנו.

הבקשה שנשלחת לשרת שלנו (אשר ממש דומה לבקשה שדפדפן שולח לשרת) מנותחת ונבדקת היטב על גבי השרת שלנו, והשרת שלנו מחזיר תגובה בהתאם. (ממש כמו ששרת מחזיר לבקשה של דפדפן)
התגובה שהשרת מחזיר לשרתו של הלקוח מנותחת בעזרת קבצי האבטחה אשר נמצאים אצל הלקוח, ומתבצעות פעולות בהתאם.
במידה והשרת החזיר תגובה אשר טוענת כי ישנו סיכוי שמדובר בניסיון פריצה (הבדיקה שנמצאת על גבי השרת שלנו מתקדמת יותר), מורצת בדיקה שלישית (ואחרונה) על גבי שרתו של הלקוח.

כפי שניתן להבין, לא כל בקשה אשר מתקבלת מהגולשים באתרים של לקוחותינו נשלחת לשרת שלנו.

מכך ניתן לפסול את האפשרות שאנו מנסים לשמור מידע כלשהו, ויותר מזה - ניתן לראות כמה אנו אמינים בנושא.
בנוסף לכך, ניתן להגיע למסקנה כי אין כלל עומס על גבי השרת שלנו, מאחר ולא נשלחות בקשות לשרת באופן קבוע. (למרות שלקחנו גם את זה בחשבון, ולכן המערכת יודעת לפעול בהתאם גם ללא השרת שלנו)

מה זה תורם לנו? למה אנחנו עושים את זה?

ישנן 3 סיבות עיקריות שיש להתייחס אליהן:
1. עידכונים פשוטים יותר.
אחד היתרונות הגדולים והמשמעותיים בשיטה זו הוא שאנו יכולים לשפר ולעדכן את מנגנוני המערכת הראשיים ללא כל תלות בלקוחות.
נכון, אנו מודיעים ומוסרים אינפורמציה בכל פעם שיוצא עידכון חדש, אך ביצוע העידכון אינו מסובך.
2. גניבה וזיוף של חשבונות - לא אפשרי.
אני בטוח שאתם מודעים לתופעה: המון אנשים מתאחסנים על שרתים לא מאובטחים.

לא צריך ידע מיוחד בשביל להעלות קובץ זדוני "ולטייל" לתיקייתו של הלקוח במטרה לגנוב ולהרוס.
השימוש בשרת המרוחק עוזר בשמירה על האבטחה שרכשתם, על ידי מנגנוני בדיקה מתוחכמים אשר מונעים שימוש בחשבון ובקבצי האבטחה ממקומות אחרים. (לא חבל לשלם כסף על אבטחה, כשלבסוף גונבים אותה ומשתמשים בה במקומות אחרים?)
3. פיקוח
השרת שלנו מתעד כל ניסיון לביצוע פעולה חריגה, בין אם מדובר בניסיון לזיוף חשבון, ובין אם מדובר בפעולה אחרת.

עידכוני המערכת וחשיבות התשלומים החצי שנתיים

שמתי לב שגם הנושא הזה העלה מספר אי הבנות, ולכן בחרתי להתייחס גם אליו.
אני לא ממש מבין מה הקטנוניות כאן, בסך הכל מדובר ב50 ש"ח שיש לשלם רק בתום כל חצי שנה. (שזה ממש מחיר מזערי)
התשלום החצי שנתי נועד למספר מטרות עיקריות, כשהעיקרית היא קבלת עידכוני מערכת, שהוא עניין נוסף שראיתי שעלה כאן עם טעות.

חד משמעית: כאשר אנו משחררים גירסה, היא לא כוללת ולא תכלול תיקונים של באגים ופאשלות, מאחר ולא יהיו כאלה.
אנו לא דורשים מחיר עבור כל עידכון מערכת בנפרד, ולכן, על מנת שנוכל לספק עדכונים (ונספק) יש צורך בתשלום מסויים פעם בכמה זמן.
חשוב לציין כי בכל גירסה חדשה שאנו מפתחים, אנו מנסים להתעלות על מנגנוני ההגנה של הגירסה הקודמת, כך שבכל גירסה יהיו מנגנונים משוכללים יותר, למרות שלא תמיד זה יהיה אפשרי.

אנחנו לא מוכנים לקבל מצב שלקוח לא ירצה לעדכן את המערכת, כי זה מעמיד אותנו במצב שאנחנו לא רוצים להגיע אליו.

אבטחת אתרים - מקצוע?

מאבטח אתרים, לפי מה שידוע לי, הוא לא מקצוע רשמי (כמו מהנדס, פקיד וכו..), אך המושג כן השתרש עם הזמן, ולא אנחנו המצאנו אותו.
השימוש במושג הזה הולך ומתגבר, וכמובן שאנו מתאימים את עצמו לשפה של כולם.

שרת חלופי וגיבויים
כרגע, אנו לא מאמינים שיהיה צורך בשרת חלופי, אך אנו כן מייחסים חשיבות רבה לעניין, ונדאג לטפל בו בהקדם.

גיבויים - אם כוונתך הייתה לגיבויים של הרישיונות ושאר המידע בחשבון, אז כן - יש גיבויים, ואנו דואגים שהם ימשיכו להיות.

גירסת ניסיון / דוגמה ב"לייב"

אני מבין שזה אכן חיוני מאוד עבורכם, ולכן אדאג להעלות גירסת ניסיון למערכת. (אשר נתקין על מערכת פורומים)

מה בעצם המערכת עושה? כיצד היא תורמת לאבטחת האתר?
המערכת שלנו היא מעין שכבת הגנה שמתווספת לאתרכם, ועוזרת להגביל בהתאם את הבקשות.
הכוונה היא שהמערכת בודקת האם פעולה מסויימת שהגולש מבצע יכולה להוות סיכון, ובמידה וכן - היא בודקת לעומק את הפעולה, על מנת לדעת כיצד לטפל בה.
ניתן לראות רשימה של סוגי שיטות ומתקפות שהמערכת מכירה ויודעת להגן מפניהן בהודעה הראשית של האשכול.

אני משער שעניתי על רוב הנקודות החשובות, מצטער אם פספסתי משהו.

המשך יום נעים לכולם,
אילון.

12-09-08, 08:36	# 31
ToxicBoy21 חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2007 גיל: 32 הודעות: 409	בס"ד אני מכיר את שתי המתכנתים שעובדים על אופקס אישית והם באמת מאבטחים ברמה (ואני אומר מנסיון וגם הכרה אישית) לפי מה שקראתי פה יש פה כמה שמנסים לרדת עליהם (או איך שאתם תקראו לזה בשפה שלכם: מתלוננים, נותנים ביקורת - זה לא משנה איך תקראו לזה זה עדין מגעיל פה שקורה פה) אז במשפט אחד לכל "המתלוננים": כשיתחילו למכור את המערכת הזאת - אתם תוכלו תלב __________________ נשירת שיער שיער דליל

12-09-08, 13:16	# 37
דניאל מנהל ראשי דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: ראשון לציון גיל: 39 הודעות: 6,503	ממבט ראשוני על המערכת הזו נראה כאילו מדובר בתוספת בסגנון mod_security לאתרים (ולא ברמת פלטפורמה), מה שלדעתי.. רעיון דווקא דיי נחמד. למי זה יעיל? דווקא קהל מאוד רחב.. כיום יוצא לי לעבוד לא פעם עם לקוחות שעובדים עם מערכות מוכנות (אם זה ג'ומלה או Phpnuke) שבנו ועיצוב עבורם ו...זהו, לא עשו מעולם updates, מה שמוביל כמובן לפריצות גבוהה של המערכת.. אם זה קהל היעד שלך, אז יש לך אחלה קהל יעד ואנשים יהיו מוכנים לשלם כסף, אבל (וחתיכת אבל), קשה לקנות מוצר שאין שום אחריות שיעזור, ז"א.. באכסון אתרים (שזה אחד המוצרים שהכי קשה לאפיין מה אתה קונה) החברה לפחות לוקחת אחריות כלשהיא על הנתונים ואחריות כלשהיא על זמינות האתר, במקרה שלך.. אתה לא לוקח אחריות על כלום (לפחות כך אתה מציג את זה), אני חושב שהיה הרבה יותר יעיל אם היה פירוט אילו "תיקוני אבטחה" המערכת חוסמת (ומתעדכנת לכך בצורה שוטפת), כלומר, אם אני בתור בעל אתר שעובד עם ג'ומלה לא הייתי צריך לטרוח כל פעם להעלות עדכון גרסה של המערכת אלה היתה לי מערכת אבטחה נפרדת שדואגת לכל זה בשבילי.. מעולה, חוסך המון זמן, ואם חסכת למישהו זמן (כלומר, כסף), הוא יהיה מוכן לשלם, והרבה יותר ממה שרשמת. אבל שוב, חייב להיות פירוט מה המערכת חוסמת (להגיד חוסמת sql injection ובנוסף להגיד "אבל אני לא מתחייב שזה חוסם הכול".. אתה לא היית קונה מוצר כזה נכון?) בנוסף.. למה שתהיה תלות כלשהיא בשרת שלך? כלומר.. לעדכונים אני מסכים, אבל באופן שוטף? אתה באמת רוצה על הראש שלך לקוחות זועמים שנגרם להם נזק בגלל שהשרת שלך היה למטה? לא קצת מיותר? בקיצור.. אני חושב שהרעיון יפה, הביצוע (או לפחות השיווק שלו..) קצת פחות. ולסיום, תלמד לקבל ביקורת, עברתי על האשכול כאן ודווקא המשתמשים נתנו עצות דיי מועילות, תתגבר על האגו ותיקח את הדברים לצומת לבך, אף אחד לא רשם כאן בצורה פוגעת או מעליבה. __________________ דניאל דוא"ל: dannyg@sPD.co.il sPD Hosting בע"מ \| אחסון אתרים \| בלוג אחסון אתרים טלפון להזמנות: 1-599-559977

12-09-08, 15:06	# 38
intercooler3819 חבר וותיק דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,056	משהו אחד מאוד מוזר לי מצד אחד אתה מציין שיש קבצים אצל הלקוח כי אתה רוצה להראות שצריך לחשוף את הקוד ללקוח אך מצד שני צריכה להיות תקשורת קבועה מול השרת שלך? שוב אתה סותר את עצמך מה לעזאזל הנתונים עושים אצלך בשרת? אני מניח שאתה לא מאזין אליהם? ואם אתה לא מאזין אליהם, אז אתה בודק אותם? או שזאת סתם גישה שבמקרה ותרצה תריץ die(); מהשרת שלך והופ השרת שלהם מת? בנאדם אני לא בא לתקוף, זה דווקא פתרון יעיל ונחמד ואת האמת - תחילה חשבתי להשתמש בזה בשני אתרים שלי שלא היה לי זמן לאבטח וגם לא דורשים אבטחה מסורבלת (אתרים פשוטים) אבל רק לפעם הבאה לפני שאתה מפרסם הודעה שתעלה תגובות מאנשים ושאלות - תכין שיעורי בית, תתכונן למה שהולך לבוא ותכין את עצמך למה שישאלו בהצלחה בהמשך ניצן __________________

12-09-08, 23:43	# 40
eylonR חבר בקהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Mar 2008 הודעות: 91	עברתי שוב על כל התגובות אשר נכתבו באשכול, ושמתי לב שישנן מספר טעויות אשר עליהן אתם מבססים את רוב טענותיכם. יש להבהיר מספר נקודות חשובות: המערכת אינה בשלבי בטא עוד לפני תחילת תיכנות Opex Firewall, רועי ואני התעסקנו המון בתחום, כך שזו אינה פעם ראשונה שאנו מפתחים מערכת כזו. אנו לא מנסים כלום, מאחר ואנו יודעים טוב מאוד מה אנחנו עושים. Opex Firewall היא מערכת אבטחה מתוחכמת (שעל החוכמה הטמונה בה אסביר עוד בהמשך ההודעה) שנבנתה ונבדקה מספר רב של פעמים. אין זה נכון להגיד כי לא היו מספר פאשלות במערכת, מאחר ובכל זאת היא תוכנתה על ידינו, ואנו לא שונים מכם או מכל אחד אחר - גם אנחנו טועים לפעמים. המערכת עברה סדרת בדיקות מקיפה, ולפני שיחרורה דאגנו שהשימוש במערכת יהיה בטוח (מאובטח) וחלק (מהיר). מבנה המערכת חשוב לי לתקן טעות שראיתי אשר חזרה במספר הודעות: (ונתנה ביסוס לחלק מטענותיכם) "משתמש > שרת שלי > שרת שלך > שרת שלי" התיאור הזה אינו מדוייק, ואי הדיוק הזה גרם לבלבול גדול. המערכת תוכנתה בצורה הרבה יותר חכמה, אשר לקחה בחשבון כל אפשרות לבעיה כלשהי. להלן הסבר כללי המתאר את הפעולות האמיתיות שמתבצעות: המערכת, אשר מותקנת באתרו של הלקוח, מריצה בדיקה ראשונית לבקשה המתקבלת מהגולש. מטרתה של הבדיקה הראשונית היא לבדוק אם יש סיכוי שהבקשה שהמשתמש שלח יכולה להוות סיכון כלשהו. במידה והבדיקה הראשונית אכן מוצאת כי הבקשה יכולה להוות סיכון כלשהו, נשלחת בקשה חדשה לשרת שלנו. הערה: קבצי המערכת הנמצאים אצל הלקוחות מכילים חלקים נכבדים מן המערכת, כך שלא תמיד יש צורך בבדיקה נוספת על גבי השרת שלנו. הבקשה שנשלחת לשרת שלנו (אשר ממש דומה לבקשה שדפדפן שולח לשרת) מנותחת ונבדקת היטב על גבי השרת שלנו, והשרת שלנו מחזיר תגובה בהתאם. (ממש כמו ששרת מחזיר לבקשה של דפדפן) התגובה שהשרת מחזיר לשרתו של הלקוח מנותחת בעזרת קבצי האבטחה אשר נמצאים אצל הלקוח, ומתבצעות פעולות בהתאם. במידה והשרת החזיר תגובה אשר טוענת כי ישנו סיכוי שמדובר בניסיון פריצה (הבדיקה שנמצאת על גבי השרת שלנו מתקדמת יותר), מורצת בדיקה שלישית (ואחרונה) על גבי שרתו של הלקוח. כפי שניתן להבין, לא כל בקשה אשר מתקבלת מהגולשים באתרים של לקוחותינו נשלחת לשרת שלנו. מכך ניתן לפסול את האפשרות שאנו מנסים לשמור מידע כלשהו, ויותר מזה - ניתן לראות כמה אנו אמינים בנושא. בנוסף לכך, ניתן להגיע למסקנה כי אין כלל עומס על גבי השרת שלנו, מאחר ולא נשלחות בקשות לשרת באופן קבוע. (למרות שלקחנו גם את זה בחשבון, ולכן המערכת יודעת לפעול בהתאם גם ללא השרת שלנו) מה זה תורם לנו? למה אנחנו עושים את זה? ישנן 3 סיבות עיקריות שיש להתייחס אליהן: 1. עידכונים פשוטים יותר. אחד היתרונות הגדולים והמשמעותיים בשיטה זו הוא שאנו יכולים לשפר ולעדכן את מנגנוני המערכת הראשיים ללא כל תלות בלקוחות. נכון, אנו מודיעים ומוסרים אינפורמציה בכל פעם שיוצא עידכון חדש, אך ביצוע העידכון אינו מסובך. 2. גניבה וזיוף של חשבונות - לא אפשרי. אני בטוח שאתם מודעים לתופעה: המון אנשים מתאחסנים על שרתים לא מאובטחים. לא צריך ידע מיוחד בשביל להעלות קובץ זדוני "ולטייל" לתיקייתו של הלקוח במטרה לגנוב ולהרוס. השימוש בשרת המרוחק עוזר בשמירה על האבטחה שרכשתם, על ידי מנגנוני בדיקה מתוחכמים אשר מונעים שימוש בחשבון ובקבצי האבטחה ממקומות אחרים. (לא חבל לשלם כסף על אבטחה, כשלבסוף גונבים אותה ומשתמשים בה במקומות אחרים?) 3. פיקוח השרת שלנו מתעד כל ניסיון לביצוע פעולה חריגה, בין אם מדובר בניסיון לזיוף חשבון, ובין אם מדובר בפעולה אחרת. עידכוני המערכת וחשיבות התשלומים החצי שנתיים שמתי לב שגם הנושא הזה העלה מספר אי הבנות, ולכן בחרתי להתייחס גם אליו. אני לא ממש מבין מה הקטנוניות כאן, בסך הכל מדובר ב50 ש"ח שיש לשלם רק בתום כל חצי שנה. (שזה ממש מחיר מזערי) התשלום החצי שנתי נועד למספר מטרות עיקריות, כשהעיקרית היא קבלת עידכוני מערכת, שהוא עניין נוסף שראיתי שעלה כאן עם טעות. חד משמעית: כאשר אנו משחררים גירסה, היא לא כוללת ולא תכלול תיקונים של באגים ופאשלות, מאחר ולא יהיו כאלה. אנו לא דורשים מחיר עבור כל עידכון מערכת בנפרד, ולכן, על מנת שנוכל לספק עדכונים (ונספק) יש צורך בתשלום מסויים פעם בכמה זמן. חשוב לציין כי בכל גירסה חדשה שאנו מפתחים, אנו מנסים להתעלות על מנגנוני ההגנה של הגירסה הקודמת, כך שבכל גירסה יהיו מנגנונים משוכללים יותר, למרות שלא תמיד זה יהיה אפשרי. אנחנו לא מוכנים לקבל מצב שלקוח לא ירצה לעדכן את המערכת, כי זה מעמיד אותנו במצב שאנחנו לא רוצים להגיע אליו. אבטחת אתרים - מקצוע? מאבטח אתרים, לפי מה שידוע לי, הוא לא מקצוע רשמי (כמו מהנדס, פקיד וכו..), אך המושג כן השתרש עם הזמן, ולא אנחנו המצאנו אותו. השימוש במושג הזה הולך ומתגבר, וכמובן שאנו מתאימים את עצמו לשפה של כולם. שרת חלופי וגיבויים כרגע, אנו לא מאמינים שיהיה צורך בשרת חלופי, אך אנו כן מייחסים חשיבות רבה לעניין, ונדאג לטפל בו בהקדם. גיבויים - אם כוונתך הייתה לגיבויים של הרישיונות ושאר המידע בחשבון, אז כן - יש גיבויים, ואנו דואגים שהם ימשיכו להיות. גירסת ניסיון / דוגמה ב"לייב" אני מבין שזה אכן חיוני מאוד עבורכם, ולכן אדאג להעלות גירסת ניסיון למערכת. (אשר נתקין על מערכת פורומים) מה בעצם המערכת עושה? כיצד היא תורמת לאבטחת האתר? המערכת שלנו היא מעין שכבת הגנה שמתווספת לאתרכם, ועוזרת להגביל בהתאם את הבקשות. הכוונה היא שהמערכת בודקת האם פעולה מסויימת שהגולש מבצע יכולה להוות סיכון, ובמידה וכן - היא בודקת לעומק את הפעולה, על מנת לדעת כיצד לטפל בה. ניתן לראות רשימה של סוגי שיטות ומתקפות שהמערכת מכירה ויודעת להגן מפניהן בהודעה הראשית של האשכול. אני משער שעניתי על רוב הנקודות החשובות, מצטער אם פספסתי משהו. המשך יום נעים לכולם, אילון. __________________ www.opex.co.il בניית אתרים, תכנות PHP ופיתוח מערכות ניהול תוכן CMS בסטנדרט גבוה


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

12-09-08, 09:07	# 32
~~CubeS.co.il~~ Permanently Banned דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 494	שמע, המערכת טובה למי שמחפש פתרון קל ומהיר, בתקציב נמוך במקום לבצע QA למערכת ולחפש חורי אבטחה לבד.. אבל מה שכן, יש למערכת הרבה חסרונות, ועצם זה שאדם רוכש דבר כזה,מראה על הרמה של התוכניתנים שלו, המערכת לא מעניקה לך פירוול נוסף, היא רק מגנה עלייך מחורי אבטחה שמתכנת שיודע לעבוד לא היה צריך שיהיה לו.

12-09-08, 09:07	# 33
kfir-d חבר בקהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Jun 2006 מיקום: פ"ת גיל: 36 הודעות: 140	יש לך אפשרות להציג כאן ניסיון פריצה לאתר שמותקן המערכת ואותו אתר בלי המערכת ?

12-09-08, 09:23	# 34
AlmogBaku חבר וותיק דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	אני ממש לא מסכים עם הגישה הזו. זה התפשרות על בינוניות ורמה נמוכה. מבחינתי לקוח שרוכש מוצר זכאי לקבל אותו ברמה של אליתה, ללא באגים תקלות או פרצות. ועל כך אני גם גובה מחיר. אם אני אבנה מוצר ולא אבדוק אותו או אעביר עליו לופים מוכנים עם מחלקות הוא גם יהיה שווה בהתאם. המוצר שלך מתאים לאנשים שמנסים להקים חברה עם 200 ש"ח ביד, בקיצור- להרבה ח'ברה מהוסטס. מבחינה מקצועית- זה נראה לי ממש בדיחה. לכל הטוקסקיסטים בתשלום/חברים של.. - אני חייב לציין שאתם מאוד אובייקטיביים.

12-09-08, 09:44	# 36
Matan Levy חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Jan 2006 הודעות: 711	לסיכום? אתם לא מסודרים. קחו את כל ההצעות והתלונות שקיבלתם פה באשכול, ותעשו איתם משהו. ולכל הממליצים - אתם רק גורמים לדבר להיות לא רציני, בשביל מה צריך להמליץ?

12-09-08, 21:50	# 39
Yellow Slider חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 417	אז בעצם אתם אומרים שהדרך הפשוטה ביותר לפרוץ לאתר שרץ עם מערכת ההגנה שלכם הוא דבר פשוט מאוד, לתקוף את השרת שלכם בכל הכוח ולעשות כרצוני באתרים שמשתמשים בפלטפורמת האבטחה שלכם, לא קשה בכלל להוריד שרת, ולא משנה של מי, אז מה תעשו במצב שהשרת שלך, ושרתי הגיבויים שלך יהיו תחת מתקפה, ובאמצע פורום עם 100 אלף משתמשים שולח שאילתות לשרת שלכם? מה יקרה אז?

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)