Συγγραφή ασφαλούς κώδικα, μέρος 1 από 2
Κακά τα ψέματα. H μεγαλύτερη αδυναμία των εφαρμογών του διαδικτύου είναι οι ίδιοι οι προγραμματιστές τους! Σε αυτούς οφείλονται όλα τα καλά και όλα τα κακά. Εμείς, επειδή είμαστε ευχάριστοι τύποι, προσπερνάμε τα καλά και εστιάζουμε στα κακά! Μη φοβάστε, δεν το κάνουμε με διάθεση γκρίνιας. Το κάνουμε για να εξετάσουμε όλα αυτά τα «κακά» και με την ευκαιρία να μάθουμε μερικούς βασικούς κανόνες για την ελαχιστοποίηση τους!
Πλέον, οι μεγαλύτερες αδυναμίες στο software δεν βρίσκονται στο λειτουργικό σύστημα (Linux, BSD, Windows, Mac OS κ.ά.) ούτε στους web server (IIS, Apache, κ.ά.). Οι αδυναμίες εμφανίζονται πολύ πιο συχνά στις απλές εφαρμογές client. Δηλαδή στις εφαρμογές που προορίζονται για τον τελικό χρήστη. Τέτοιες εφαρμογές αποτελούν τα γνωστά Συστήματα Διαχείρισης Περιεχομένου (CMS, από το Content Management System), αλλά και πολλές άλλες που εκτελούνται στους διάφορους server.
Συχνά οι προγραμματιστές, είτε από άγνοια των βασικών αρχών ασφάλειας είτε από βιασύνη –αφού πάντα τρέχουν να προλάβουν τα deadline–, δεν προσέχουν ιδιαίτερα τον κώδικα που γράφουν. Αυτό έχει σαν αποτέλεσμα ο κώδικας να μην είναι ασφαλής και να περιέχει κενά ή, όπως συνηθίζουμε να λέμε, τρύπες. Ουσιαστικά πρόκειται για αδυναμίες που θα μπορούσε να εκμεταλλευτεί κάποιος για να αποκτήσει πρόσβαση σε δεδομένα που κανονικά δεν θα έπρεπε (προσωπικά στοιχεία χρηστών, email, οικονομικά στοιχεία κ.ο.κ.) Αρκετές φορές μάλιστα, εκμεταλλευόμενος τέτοιες αδυναμίες μπορεί κανείς να αποκτήσει πρόσβαση ακόμη και στον ίδιο τον server, με ό,τι αυτό συνεπάγεται!
Διαβάστε ολόκληρο το άρθρο στο deltaHacker Δεκεμβρίου (τεύχος 003).Για αγορές τευχών ή συνδρομών στο περιοδικό deltaHacker, απλά συμπληρώστε τη φόρμα.
Σημείωση: Οι συνδρομές μπορούν ν’ αρχίζουν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.
Το deltaHacker είναι το μοναδικό, μηνιαίο συνδρομητικό περιοδικό με θεματολογία ethical hacking και infosec που δεν κυκλοφορεί στα περίπτερα. Αν δεν το διαβάζετε ακόμα, κάτι μας λέει ότι σύντομα θ’ αρχίσετε. Εκτός δηλαδή κι αν αδιαφορείτε για ό,τι πραγματικά ενδιαφέρον μπορείτε να κάνετε με τον υπολογιστή σας — και τους υπολογιστές των άλλων ;)
