Как написать веб сервис на паскале?

Общие вопросы программирования, алгоритмы и т.п.

Модератор: Модераторы

Re: Как написать веб сервис на паскале?

Сообщение Лекс Айрин » 14.10.2017 11:50:16

ElectroGuard, на Хакере это не просто обсуждают... там пишут как это делать и как с этим бороться. В свое время, покупал несколько номеров, которые удалось ухватить в продаже.

Вообще, и сама программа сервера тоже должна правильно быть написана/настроена... ведь, зачастую, данные из адресной строки напрямую пересылаются веб-серверу без обработки. Самое смешное, что простейший недодвижок на php, без использования БД, может быть надежнее суперсовременного с использованием... Я сам подобный для себя делал, но потом просто надоело, так как для его использования лучше использовать домен второго уровня (платный), а мне просто незачем.
Аватара пользователя
Лекс Айрин
долгожитель
 
Сообщения: 5723
Зарегистрирован: 19.02.2013 16:54:51
Откуда: Волгоград

Re: Как написать веб сервис на паскале?

Сообщение vitaly_l » 17.10.2017 00:19:50

ElectroGuard писал(а):Это плохо спроектированная база (не у вас конкретно, но вообще). Если база спроектирована нормально (например - обращение 'снаружи' к ней идёт через хп) то инъекцию невозможно сделать в принципе, на любом языке.

Что-то меня гложат смутные сомнения.
    Во первых что такое "ХП" и как оно защищает базу?
    Во вторых, база спроектирована нормально, смысл инъекции, в том что, базе даётся стандартный запрос и она на него стандартно отвечает. Соответственно, дело не в базе, а в малограмотности программиста, который допустил возможность инъекции. И база-данных в этом явно не виновата.

И опять-таки, всего знать невозможно, вот например сегодня прочитал, хакеры взломали протокол WiFi и с тех пор, все WiFi сети им подконтрольны. Они могут войти на любую машину в мире. Протокола защиты от этого взлома, до сих пор - ни у кого нет. Соответственно, можно получить любые данные независимо от системы.
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Re: Как написать веб сервис на паскале?

Сообщение sign » 17.10.2017 08:52:54

vitaly_l писал(а):И опять-таки, всего знать невозможно, вот например сегодня прочитал, хакеры взломали протокол WiFi и с тех пор, все WiFi сети им подконтрольны. Они могут войти на любую машину в мире. Протокола защиты от этого взлома, до сих пор - ни у кого нет. Соответственно, можно получить любые данные независимо от системы.

"тем, кто заботится о безопасности своих данных, рекомендуется использовать HTTPS-соединения для посещения сайтов и подключения к различным сервисам".
sign
энтузиаст
 
Сообщения: 1131
Зарегистрирован: 30.08.2009 09:20:53

Re: Как написать веб сервис на паскале?

Сообщение Лекс Айрин » 17.10.2017 09:31:49

vitaly_l писал(а): вот например сегодня прочитал, хакеры взломали протокол WiFi


Да его постоянно взламывают, как и синезуб.
Аватара пользователя
Лекс Айрин
долгожитель
 
Сообщения: 5723
Зарегистрирован: 19.02.2013 16:54:51
Откуда: Волгоград

Re: Как написать веб сервис на паскале?

Сообщение vitaly_l » 17.10.2017 10:29:21

sign писал(а):тем, кто заботится о безопасности своих данных, рекомендуется использовать HTTPS-соединения для посещения сайтов и подключения к различным сервисам

Вы наивно полагаете что HTTPS, защитит от мошенников? Зря вы на это рассчитываете, https - лишь гарантирует, что владелец домена заплатил $5 или $200 за сертификат (некоторые вообще бесплатно https получают) и больше https - ничего не даёт.
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Re: Как написать веб сервис на паскале?

Сообщение olegy123 » 17.10.2017 10:36:26

ElectroGuard писал(а):
Специально проверил вариант на паскале и удостоверился, что паскалевский вариант ломается, точно такими же методами, что и пошипи.

Понятно, что ломается всё. Просто тут пытаются php выдать за некую панацею, чем он не является.
Интересно было, к слову, pas код посмотреть, что и как получилось заломать?
там вначале писали так что php являлся всего лишь вызовом системных функций, например вместо чтения txt документа, можно сформировать путь и прочитать password файл, а можно даже его заменить своим. А раньше php вообще позволяли многое - выполнения внешних программ.
Я вот лично свободно гулял по мерии санк-питербурга и футбольным клубом Зенит, когда php был дрявым, а апач не чекрутился.
Вообще любой линух дистрибутив состоит из 90% каких то скриптов. Которые легко читаются и изменяются.

Добавлено спустя 3 минуты 9 секунд:
ElectroGuard писал(а):Понято, согласен насчет инъекции с Лекс Айрин. Это плохо спроектированная база (не у вас конкретно, но вообще). Если база спроектирована нормально (например - обращение 'снаружи' к ней идёт через хп) то инъекцию невозможно сделать в принципе, на любом языке.
Довольно бурно и эмоционально на sql.ru обсуждают :) Могу линк кинуть, кому интересно.

Это вопрос программиста который СРМ выпустил.. вообще сейчас до 90% всех сайтов - это сплошной копи-паст с заменой логотипа.
olegy123
долгожитель
 
Сообщения: 1643
Зарегистрирован: 25.02.2016 12:10:20

Re: Как написать веб сервис на паскале?

Сообщение Лекс Айрин » 17.10.2017 10:46:43

olegy123 писал(а):Это вопрос программиста который СРМ выпустил..


Про то и говорю. Особенно, если "проектирование" на заказ сайта представляет собой наклеивание картинок на стандартный шаблон (коих, на самом деле, не так уж и много).
Аватара пользователя
Лекс Айрин
долгожитель
 
Сообщения: 5723
Зарегистрирован: 19.02.2013 16:54:51
Откуда: Волгоград

Re: Как написать веб сервис на паскале?

Сообщение olegy123 » 17.10.2017 10:48:37

vitaly_l писал(а):
ElectroGuard писал(а):Это плохо спроектированная база (не у вас конкретно, но вообще). Если база спроектирована нормально (например - обращение 'снаружи' к ней идёт через хп) то инъекцию невозможно сделать в принципе, на любом языке.

Что-то меня гложат смутные сомнения.
    Во первых что такое "ХП" и как оно защищает базу?
    Во вторых, база спроектирована нормально, смысл инъекции, в том что, базе даётся стандартный запрос и она на него стандартно отвечает. Соответственно, дело не в базе, а в малограмотности программиста, который допустил возможность инъекции. И база-данных в этом явно не виновата.

И опять-таки, всего знать невозможно, вот например сегодня прочитал, хакеры взломали протокол WiFi и с тех пор, все WiFi сети им подконтрольны. Они могут войти на любую машину в мире. Протокола защиты от этого взлома, до сих пор - ни у кого нет. Соответственно, можно получить любые данные независимо от системы.

PHP к базе имеет такое же отношение как freepascal к Mysql. Если на freepascal-е допускают прямое обращение к Mysql - то и на програмке написанной на freepascal-е можно спокойно делать иньекцию в Mysql.
Там не база. а то что Mysql может в запросе выполнять могущие стать паразитные команды..
По поводу WiFi - шифруй трафик и спи спокойно. Что они могут сделать так это влезть в шифрования самого трафика WiFi.

Добавлено спустя 12 минут 32 секунды:
sign писал(а):
vitaly_l писал(а):И опять-таки, всего знать невозможно, вот например сегодня прочитал, хакеры взломали протокол WiFi и с тех пор, все WiFi сети им подконтрольны. Они могут войти на любую машину в мире. Протокола защиты от этого взлома, до сих пор - ни у кого нет. Соответственно, можно получить любые данные независимо от системы.

"тем, кто заботится о безопасности своих данных, рекомендуется использовать HTTPS-соединения для посещения сайтов и подключения к различным сервисам".

Ко мне обратился один приятель - он работал в конторе которая подряжается и тянет оптоволокно в разные населенные пункты.. Не знаю какие там спецы, но у меня спросили как им быстро завершить проект ибо у них с одним известным банком в договоре написано об выделенном канале защищенном, а оптоволокно одно. Спросил об спецификации свичей.. те сказали что не знаю.. но завершить они уже должны давно, и сейчас требуют канал.
Сказал чтобы канал садили на VLAN.. Он есть даже у с..ных DLink-ов.
Надеюсь у банка хорошее внутреннее шифрование. и не такие рас..ди сидят.
Дабы не наводить тень на плетень не буду называть имена и названия они очень известны всем.
olegy123
долгожитель
 
Сообщения: 1643
Зарегистрирован: 25.02.2016 12:10:20

Re: Как написать веб сервис на паскале?

Сообщение vitaly_l » 17.10.2017 11:28:47

olegy123 писал(а):По поводу WiFi - шифруй трафик и спи спокойно.

Ну вот опять эти программисты спорят! Ну что за детский сад? Ну какое ещё шифрование? Вам программистам, что же, ключ шифрования, что-ли сложно подобрать? Ну ведь любой школьник, в наше время с пугающей лёгкостью подберёт любой ключ, а уж тем более для современных систем шифрования. Вот почитайте, раз вы художникам не верите и спорите, может хотя-бы ему поверите: https://habrahabr.ru/post/46321/
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Re: Как написать веб сервис на паскале?

Сообщение olegy123 » 17.10.2017 11:49:35

Виталий, прочитай книжки про шифрования.. Мне пришлось их принудительно изучить.
99.9999% - взломов не по вине самого шифра.
olegy123
долгожитель
 
Сообщения: 1643
Зарегистрирован: 25.02.2016 12:10:20

Re: Как написать веб сервис на паскале?

Сообщение vitaly_l » 17.10.2017 11:53:39

olegy123 писал(а):99.9999% - взломов не по вине самого шифра

А никто шифр и не обвиняет, а равно и база данных не виновата. Говорится совсем противоположное, суть в том что, технически невозможно это сделать.
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Re: Как написать веб сервис на паскале?

Сообщение ElectroGuard » 17.10.2017 12:31:43

Во первых что такое "ХП" и как оно защищает базу?

vitaly_l, ты меня удивляешь :D
Вот хотя бы:
https://msdn.microsoft.com/ru-ru/library/ms190782(v=sql.120).aspx
ElectroGuard
новенький
 
Сообщения: 71
Зарегистрирован: 03.06.2016 12:10:22

Re: Как написать веб сервис на паскале?

Сообщение Лекс Айрин » 17.10.2017 12:33:47

vitaly_l писал(а):суть в том что, технически невозможно это сделать.


угу... только вот что-то, при правильно построенной и настроенной системе взломов практически не бывает... потому что на каждую хитрую гайку всегда находится свой пьяный ключ.

Подбор паролей нивелируется как блокировкой множественных попыток входа, так и контролем самих попыток входа.
Даже вайфай, если правильно настроить, бесполезно взламывать, так как если в настройках точки запретить вход с левого устройства (MAC-адреса), то бессмысленно даже пытаться подбирать пароль, если нет каких либо дыр. Гораздо хуже, когда взлом устройства изначально зашит в нем, т. н. технологический вход без возможности смены пароля.
Другое дело, что мало кто заморачивается с настройкой и привязкой компьютеров и другой техники к сетке. Это не так сложно, как кажется, просто муторно, если состав сетки постоянно меняется.

За всю мою практику админа удачный взлом был только трижды... попыток море (1 раз заразили локальный вебсервер и дважды вошли на камеры). Сейчас большую часть не вижу из-за того, что их откидывает роутер, закрыты порты и пр... даже файрвол сейчас не ставлю, так как в роутере есть аппаратный.
Аватара пользователя
Лекс Айрин
долгожитель
 
Сообщения: 5723
Зарегистрирован: 19.02.2013 16:54:51
Откуда: Волгоград

Re: Как написать веб сервис на паскале?

Сообщение olegy123 » 17.10.2017 12:36:10

Я вчера беседу вел с одним штакетом. Он бизнесмен и свистит на тему безопасности.. имеет несколько симок.. сам ведет не вполне официальный бизнес.. Короче такой "веселый" человек.
Меня заставлял поверить что все месенждеры - под кем-то находятся из спецслужб. а некоторые делятся информацией с несколькими. Он меня так веселил. Говорил что не "дрявым" не дадут доступа к сети. Спецслужбы заберут "мать" "ребенка" и станут требовать ключи пароли и явки.
Я его пытался образумить что не все черно-белое.. и что сам текст можно зашифровать в голове. так что даже самым "дрявым" месенджерам не вскрыть смысл сообщений.
Есть люди которые верят в гадалок. Есть те кто свято верит в инопланетян. Вот вчера разговаривал с человеком который зациклен на человечках из матрицы.
olegy123
долгожитель
 
Сообщения: 1643
Зарегистрирован: 25.02.2016 12:10:20

Re: Как написать веб сервис на паскале?

Сообщение vitaly_l » 17.10.2017 13:30:14

Лекс Айрин писал(а):блокировкой множественных попыток входа

Ну опять детский сад. При чём здесь попытки входа, если хакеры всё считывают промежуточными серверами? После того как промежуточный сервер получил зашифрованное послание, это послание можно ломать хоть целый год, и использовать для этого любые инструменты. И при этом нужно-то, всего лишь, найти ключ шифрования. И абсолютно понятно, что это выполнимая задача, особенно, если подбор ключа отдать мощным PC. И это-же касается и паролей, с логинами. В смысле хакерам ненужно тыркаться в страницу и пытаться там подобрать т.к. это ограничит любой сервер и потребуется куча времени на взлом. А промежуточный сервер, позволяет им "творить чудеса", за доли секунды.

ElectroGuard писал(а):vitaly_l, ты меня удивляешь
Вот хотя бы:
https://msdn.microsoft.com/ru-ru/librar ... (v=sql.120).aspx

Ура! Топик был создан не зря, время потрачено не в пустую. Нарыта новая свеженькая "печенька с орешками".
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Пред.След.

Вернуться в Общее

Кто сейчас на конференции

Сейчас этот форум просматривают: Yandex [Bot] и гости: 3

Рейтинг@Mail.ru