Как написать веб сервис на паскале?

[Лекс Айрин]

ElectroGuard, на Хакере это не просто обсуждают... там пишут как это делать и как с этим бороться. В свое время, покупал несколько номеров, которые удалось ухватить в продаже.

Вообще, и сама программа сервера тоже должна правильно быть написана/настроена... ведь, зачастую, данные из адресной строки напрямую пересылаются веб-серверу без обработки. Самое смешное, что простейший недодвижок на php, без использования БД, может быть надежнее суперсовременного с использованием... Я сам подобный для себя делал, но потом просто надоело, так как для его использования лучше использовать домен второго уровня (платный), а мне просто незачем.

[vitaly_l]

Это плохо спроектированная база (не у вас конкретно, но вообще). Если база спроектирована нормально (например - обращение 'снаружи' к ней идёт через хп) то инъекцию невозможно сделать в принципе, на любом языке.

Что-то меня гложат смутные сомнения.

Во первых что такое "ХП" и как оно защищает базу?
Во вторых, база спроектирована нормально, смысл инъекции, в том что, базе даётся стандартный запрос и она на него стандартно отвечает. Соответственно, дело не в базе, а в малограмотности программиста, который допустил возможность инъекции. И база-данных в этом явно не виновата.

И опять-таки, всего знать невозможно, вот например сегодня прочитал, хакеры взломали протокол WiFi и с тех пор, все WiFi сети им подконтрольны. Они могут войти на любую машину в мире. Протокола защиты от этого взлома, до сих пор - ни у кого нет. Соответственно, можно получить любые данные независимо от системы.

[sign]

И опять-таки, всего знать невозможно, вот например сегодня прочитал, хакеры взломали протокол WiFi и с тех пор, все WiFi сети им подконтрольны. Они могут войти на любую машину в мире. Протокола защиты от этого взлома, до сих пор - ни у кого нет. Соответственно, можно получить любые данные независимо от системы.

"тем, кто заботится о безопасности своих данных, рекомендуется использовать HTTPS-соединения для посещения сайтов и подключения к различным сервисам".

[Лекс Айрин]

вот например сегодня прочитал, хакеры взломали протокол WiFi

Да его постоянно взламывают, как и синезуб.

[vitaly_l]

тем, кто заботится о безопасности своих данных, рекомендуется использовать HTTPS-соединения для посещения сайтов и подключения к различным сервисам

Вы наивно полагаете что HTTPS, защитит от мошенников? Зря вы на это рассчитываете, https - лишь гарантирует, что владелец домена заплатил $5 или $200 за сертификат (некоторые вообще бесплатно https получают) и больше https - ничего не даёт.

[olegy123]

Специально проверил вариант на паскале и удостоверился, что паскалевский вариант ломается, точно такими же методами, что и пошипи.

Понятно, что ломается всё. Просто тут пытаются php выдать за некую панацею, чем он не является.
Интересно было, к слову, pas код посмотреть, что и как получилось заломать?

там вначале писали так что php являлся всего лишь вызовом системных функций, например вместо чтения txt документа, можно сформировать путь и прочитать password файл, а можно даже его заменить своим. А раньше php вообще позволяли многое - выполнения внешних программ.
Я вот лично свободно гулял по мерии санк-питербурга и футбольным клубом Зенит, когда php был дрявым, а апач не чекрутился.
Вообще любой линух дистрибутив состоит из 90% каких то скриптов. Которые легко читаются и изменяются.

Добавлено спустя 3 минуты 9 секунд:

Понято, согласен насчет инъекции с Лекс Айрин. Это плохо спроектированная база (не у вас конкретно, но вообще). Если база спроектирована нормально (например - обращение 'снаружи' к ней идёт через хп) то инъекцию невозможно сделать в принципе, на любом языке.
Довольно бурно и эмоционально на sql.ru обсуждают Могу линк кинуть, кому интересно.

Это вопрос программиста который СРМ выпустил.. вообще сейчас до 90% всех сайтов - это сплошной копи-паст с заменой логотипа.

[Лекс Айрин]

Это вопрос программиста который СРМ выпустил..

Про то и говорю. Особенно, если "проектирование" на заказ сайта представляет собой наклеивание картинок на стандартный шаблон (коих, на самом деле, не так уж и много).

[olegy123]

Это плохо спроектированная база (не у вас конкретно, но вообще). Если база спроектирована нормально (например - обращение 'снаружи' к ней идёт через хп) то инъекцию невозможно сделать в принципе, на любом языке.

Что-то меня гложат смутные сомнения.

Во первых что такое "ХП" и как оно защищает базу?
Во вторых, база спроектирована нормально, смысл инъекции, в том что, базе даётся стандартный запрос и она на него стандартно отвечает. Соответственно, дело не в базе, а в малограмотности программиста, который допустил возможность инъекции. И база-данных в этом явно не виновата.

И опять-таки, всего знать невозможно, вот например сегодня прочитал, хакеры взломали протокол WiFi и с тех пор, все WiFi сети им подконтрольны. Они могут войти на любую машину в мире. Протокола защиты от этого взлома, до сих пор - ни у кого нет. Соответственно, можно получить любые данные независимо от системы.

PHP к базе имеет такое же отношение как freepascal к Mysql. Если на freepascal-е допускают прямое обращение к Mysql - то и на програмке написанной на freepascal-е можно спокойно делать иньекцию в Mysql.
Там не база. а то что Mysql может в запросе выполнять могущие стать паразитные команды..
По поводу WiFi - шифруй трафик и спи спокойно. Что они могут сделать так это влезть в шифрования самого трафика WiFi.

Добавлено спустя 12 минут 32 секунды:

И опять-таки, всего знать невозможно, вот например сегодня прочитал, хакеры взломали протокол WiFi и с тех пор, все WiFi сети им подконтрольны. Они могут войти на любую машину в мире. Протокола защиты от этого взлома, до сих пор - ни у кого нет. Соответственно, можно получить любые данные независимо от системы.

"тем, кто заботится о безопасности своих данных, рекомендуется использовать HTTPS-соединения для посещения сайтов и подключения к различным сервисам".

Ко мне обратился один приятель - он работал в конторе которая подряжается и тянет оптоволокно в разные населенные пункты.. Не знаю какие там спецы, но у меня спросили как им быстро завершить проект ибо у них с одним известным банком в договоре написано об выделенном канале защищенном, а оптоволокно одно. Спросил об спецификации свичей.. те сказали что не знаю.. но завершить они уже должны давно, и сейчас требуют канал.
Сказал чтобы канал садили на VLAN.. Он есть даже у с..ных DLink-ов.
Надеюсь у банка хорошее внутреннее шифрование. и не такие рас..ди сидят.
Дабы не наводить тень на плетень не буду называть имена и названия они очень известны всем.

[vitaly_l]

По поводу WiFi - шифруй трафик и спи спокойно.

Ну вот опять эти программисты спорят! Ну что за детский сад? Ну какое ещё шифрование? Вам программистам, что же, ключ шифрования, что-ли сложно подобрать? Ну ведь любой школьник, в наше время с пугающей лёгкостью подберёт любой ключ, а уж тем более для современных систем шифрования. Вот почитайте, раз вы художникам не верите и спорите, может хотя-бы ему поверите: https://habrahabr.ru/post/46321/

[olegy123]

Виталий, прочитай книжки про шифрования.. Мне пришлось их принудительно изучить.
99.9999% - взломов не по вине самого шифра.

[vitaly_l]

99.9999% - взломов не по вине самого шифра

А никто шифр и не обвиняет, а равно и база данных не виновата. Говорится совсем противоположное, суть в том что, технически невозможно это сделать.

[ElectroGuard]

Во первых что такое "ХП" и как оно защищает базу?

vitaly_l, ты меня удивляешь
Вот хотя бы:
https://msdn.microsoft.com/ru-ru/library/ms190782(v=sql.120).aspx

[Лекс Айрин]

суть в том что, технически невозможно это сделать.

угу... только вот что-то, при правильно построенной и настроенной системе взломов практически не бывает... потому что на каждую хитрую гайку всегда находится свой пьяный ключ.

Подбор паролей нивелируется как блокировкой множественных попыток входа, так и контролем самих попыток входа.
Даже вайфай, если правильно настроить, бесполезно взламывать, так как если в настройках точки запретить вход с левого устройства (MAC-адреса), то бессмысленно даже пытаться подбирать пароль, если нет каких либо дыр. Гораздо хуже, когда взлом устройства изначально зашит в нем, т. н. технологический вход без возможности смены пароля.
Другое дело, что мало кто заморачивается с настройкой и привязкой компьютеров и другой техники к сетке. Это не так сложно, как кажется, просто муторно, если состав сетки постоянно меняется.

За всю мою практику админа удачный взлом был только трижды... попыток море (1 раз заразили локальный вебсервер и дважды вошли на камеры). Сейчас большую часть не вижу из-за того, что их откидывает роутер, закрыты порты и пр... даже файрвол сейчас не ставлю, так как в роутере есть аппаратный.

[olegy123]

Я вчера беседу вел с одним штакетом. Он бизнесмен и свистит на тему безопасности.. имеет несколько симок.. сам ведет не вполне официальный бизнес.. Короче такой "веселый" человек.
Меня заставлял поверить что все месенждеры - под кем-то находятся из спецслужб. а некоторые делятся информацией с несколькими. Он меня так веселил. Говорил что не "дрявым" не дадут доступа к сети. Спецслужбы заберут "мать" "ребенка" и станут требовать ключи пароли и явки.
Я его пытался образумить что не все черно-белое.. и что сам текст можно зашифровать в голове. так что даже самым "дрявым" месенджерам не вскрыть смысл сообщений.
Есть люди которые верят в гадалок. Есть те кто свято верит в инопланетян. Вот вчера разговаривал с человеком который зациклен на человечках из матрицы.

[vitaly_l]

блокировкой множественных попыток входа

Ну опять детский сад. При чём здесь попытки входа, если хакеры всё считывают промежуточными серверами? После того как промежуточный сервер получил зашифрованное послание, это послание можно ломать хоть целый год, и использовать для этого любые инструменты. И при этом нужно-то, всего лишь, найти ключ шифрования. И абсолютно понятно, что это выполнимая задача, особенно, если подбор ключа отдать мощным PC. И это-же касается и паролей, с логинами. В смысле хакерам ненужно тыркаться в страницу и пытаться там подобрать т.к. это ограничит любой сервер и потребуется куча времени на взлом. А промежуточный сервер, позволяет им "творить чудеса", за доли секунды.

vitaly_l, ты меня удивляешь
Вот хотя бы:
https://msdn.microsoft.com/ru-ru/librar ... (v=sql.120).aspx

Ура! Топик был создан не зря, время потрачено не в пустую. Нарыта новая свеженькая "печенька с орешками".