Вадим Т.
3240 сообщений
#13 лет назад
Такой некрасивый код не может быть безопасным... Точнее это крайне маловероятно. Ну не бывает так, чтобы в этой огромной мешанине было все продумано до мелочей, возможности мозга человека ограничено, и если код не структурировать, то в такой каше легко потеряться и что-то упустить.

Вы так свято верите в безопасность битрикса... Предлагаю пари на 100 USD. Вы мне высылаете код последней версии Битрикса, я за одни сутки нахожу в этом коде какую-либо дыру в безопасности. Принимаете ли вызов, alex_gall, Vagir, или cmsmaster ?

(Обещаю, что полученный от вас код дальше меня никуда не уйдет без Вашего разрешения, кроме, возможно, третейской стороны разрешения спора если это понадобится, и после окончания пари код будет стерт с моего компьютера).
Алексей Гальченко
207 сообщений
#13 лет назад
Кстати, ещё один немаловажный фактор: уверенность в компании и её продукте. Я совершенно спокоен за сделанные нами проекты, поскольку вижу положительную динамику в развитии нашего Партнёра. Вижу грамотных специалистов и проводимую ими огромную работу над cms. Это действительно позволяет чувствовать уверенность в развитии нашего собственного бизнеса. А что может быть важнее для любого коммерческого предприятия?..


Как раз поэтому мы с Вами и выбрали Битрикс... Нам нужен надёжный партнёр, с которым мы можем говорить и обсуждать детали...+ Мы уверены, что все наши пожелания(если они будут стоящими) будут реализованы...Т.е. Битрикс делается в какой - то степени для нас...

Я думаю, что это ещё один большой плюс...
Алексей Гальченко
207 сообщений
#13 лет назад
tvv, чем Вам не нравятся сертификаты http://www.bitrixsoft.ru/security/certificate.php ? Или Вы сможете доказать, что Вы больший профессионал, чем сотрудники тех компаний ?
Вадим Т.
3240 сообщений
#13 лет назад
Цитата ("alex_gall"):
tvv, чем Вам не нравятся сертификаты http://www.bitrixsoft.ru/security/certificate.php ? Или Вы сможете доказать, что Вы больший профессионал, чем сотрудники тех компаний ?


Вы принимаете пари, или боитесь проиграть?
Алексей Гальченко
207 сообщений
#13 лет назад
tvv, я не боюсь проиграть, просто Вам никто не предоставит версию с исходным кодом...Чтобы её получить нужно быть либо партнёром, либо купить Битрикс.

Если Вам так интересно получить её для тестирования, отпишитесь на форуме Битрикса или в техподдержку...Возможно, Вам её дадут...

А на вопрос Вы мой так и не ответили...
Вадим Т.
3240 сообщений
#13 лет назад
Только я не хочу прослыть хакером, взламывающим проекты, и иметь от этого плохую репутацию. Оформим это дело так. Я нахожу уязвимость, с Вашего ведома отсылаю информацию о ней администрации Битрикс, они ее признают, возможно патчат (или я сам предлагаю патч). Если не признают - тогда уже предлагаю решить спор третейской стороне (предлагаю выбрать в качестве третейской стороны Weblancer.net, заодно оформим это как проект "Анализ безопасности CMS Битрикс" с СБС, чтобы администрации Weblancer.net тоже копейка упала).
Вадим Т.
3240 сообщений
#13 лет назад
Цитата ("alex_gall"):
А на вопрос Вы мой так и не ответили...


Почему же, могу и ответить. Да, я считаю себя специалистом в области безопасности интернет проектов. Возможно я не бОльший специалист, чем кто-то там еще, кого Вы привели в ссылке. А может и бОльший. Мы же с ними не мерялись, поэтому не могу знать. Но в своих силах найти уязвимость в куче написанного еще года 4 назад некачественного и неструктурированного кода, который наверняка неизменным дошел до наших дней в Битриксе, я уверен.

Я ответил на Ваш вопрос?
Алексей Гальченко
207 сообщений
#13 лет назад
tvv, обратитесь к Битриксу. Пусть Вам предоставят исходный код системы...Потом и будем говорить...

Но в своих силах найти уязвимость в куче написанного еще года 4 назад некачественного и неструктурированного кода, который наверняка неизменным дошел до наших дней в Битриксе, я уверен.


Вы чересчур самоуверены...

Только я не хочу прослыть хакером, взламывающим проекты


Собстевенно, а что Вы собираетесь ломать : окружение или код ?
Алексей Гальченко
207 сообщений
#13 лет назад
+ как Вы можете подтвердить свою квалификацию?
Вадим Т.
3240 сообщений
#13 лет назад
Я могу обратиться к Битриксу, это не вопрос. Просто я не хочу тратить время бесплатно, пытаясь Вам, предвзятой стороне в этом споре, что-то доказать. Поэтому я предлагаю пари. Если Вы согласны заключить пари, я обращусь к администрации битрикса, и если код будет в мое распоряжении, будем считать что пари стартовало, и я приступлю к поиску уязвимости.

"Ломать" я ничего не собираюсь, я лишь не хочу чтобы меня считали хакером. Я просто укажу на уязвимость именно в исходном коде, которую найду.

Ну что, согласны на пари?

Насчет самоуверенности. А почему бы и нет. Я готов за это взяться, и рискнуть своими 100 USD в этом споре. Или эта сумма для Вас мала? Тогда предлагаю спор на 200 USD. Идет?
Roman Susha
1517 сообщений
#13 лет назад
tvv, ты крут в прямом смысле этого слова, уважаю
Вадим Т.
3240 сообщений
#13 лет назад
Цитата ("alex_gall"):
+ как Вы можете подтвердить свою квалификацию?


Тем, что найду уязвимость в коде битрикса, который мне предоставят. Этого недостаточно? А есть ли методики для подтверждения такой квалификации, в принципе, кроме разве что технического интервью? (могу пройти если понадобится)

Кстати, как Вы можете подтвердить квалификацию этих ребят: http://www.bitrixsoft.ru/security/certificate.php ??? Я думаю, никак. И я тоже не могу подтвердить их квалификацию, в том числе и потому, что они утверждают что в битриксе дыр нет.
Алексей Гальченко
207 сообщений
#13 лет назад
Positive http://www.ptsecurity.ru/licenses.asp
Алексей Гальченко
207 сообщений
#13 лет назад
tvv, я ещё раз повторю : если Вам дадут открытую версию кода в Битриксе, тогда и заключим пари...А так мне не хочется,чтобы с Вами то же самое было http://www.securitylab.ru/news/275460.php ... А то вдруг я Вам дам открытую версию, а Вы потом шантажировать кого - то будете
Вадим Т.
3240 сообщений
#13 лет назад
Цитата ("alex_gall"):
Posirive ]http://www.ptsecurity.ru/licenses.asp


Так, я разобрался в чем дело.
Ptsecurity разработали продукт, который называется XSpider.
Именно этот продукт сертифицирован такими внушающими доверие источниками.
XSpider анализирует сайты на некий заданный программистами набор уязвимостей.
То есть если XSpider не нашел проблем, значит Ptsecurity выдает сертификат, что известных (прим. для XSpider-а) уязвимостей не найдено. Не более чем.
И они не проверяют тысячи других типов уязвимостей, которые или им не известны, или которые не проверяются их продуктом XSpider-ом.

То, что XSpider не нашел уязвимость, не значит то нет уязвимостей.
Вы согласны?

Пример.
Я могу написать скрипт, которая будет анализировать любой сайт на некий определенный вид SQL инъекции. Этот скрипт будет работать, и я могу его сертифицировать (то есть сторонние учреждения, если им заплатить за труд, проанализируют мой скрипт и скажут - таки да, он проверяет эту определенную дыру в безопасности).
Затем я могу "сертифицировать" тысячи продуктов, говоря что моя лаборатория проверила эти сайты, и известных уязвимостей не обнаружила.
И при этом буду прикрываться красивыми авторитетными лицензиями.
Именно так работает этот бизнес систем по защите информации, уважаемый alex_gall, если Вы этого не знали...
Гриппа Василий
6 сообщений
#13 лет назад
Цитата ("tvv"):
Вы так свято верите в безопасность битрикса...
Нет, я не являюсь "слепым верующим", если Вы это имеете в виду. Достаточным доказательством безопасности для меня являются сертификаты "Positive Technologies" (на которые, как я понял, Вы даже не удосужились взглянуть), информация в разделе "Безопасность" на сайте Битрикса, слова директора Битрикса Сергея Рыжикова, которые я сам лично слышал и в которых нисколько не сомневаюсь, отсутствиее публичных жалоб на безопасность со стороны партнёров и клиентов Битрикса и, наконец... мой личный опыт работы с системой. Для меня этого действительно достаточно.

Цитата ("tvv"):
Предлагаю пари на 100 USD. Вы мне высылаете код последней версии Битрикса, я за одни сутки нахожу в этом коде какую-либо дыру в безопасности. Принимаете ли вызов, alex_gall, Vagir, или cmsmaster ?

(Обещаю, что полученный от вас код дальше меня никуда не уйдет без Вашего разрешения, кроме, возможно, третейской стороны разрешения спора если это понадобится, и после окончания пари код будет стерт с моего компьютера).

Я в этом не участвую по следующим причинам:
- дорожу партнёрским соглашением с Битриксом и не собираюсь его нарушать, распространяя исходные коды cms;
- не вижу причин сомневаться в достаточном уровне безопасности системы (см. выше);
- у меня имеется много других, более полезных, способов проведения свободного от работы времени.
Вадим Т.
3240 сообщений
#13 лет назад
Цитата ("alex_gall"):
tvv, я ещё раз повторю : если Вам дадут открытую версию кода в Битриксе, тогда и заключим пари...А так мне не хочется,чтобы с Вами то же самое было http://www.securitylab.ru/news/275460.php ... А то вдруг я Вам дам открытую версию, а Вы потом шантажировать кого - то будете


Итак, Вы обещаете заключить со мной пари, если администрация Битрикса даст мне код для анализа? На 100 USD или на 200 USD?
Вадим Т.
3240 сообщений
#13 лет назад
Цитата ("Vagir"):
Нет, я не являюсь "слепым верующим", если Вы это имеете в виду. Достаточным доказательством безопасности для меня являются сертификаты "Positive Technologies" (на которые, как я понял, Вы даже не удосужились взглянуть), информация в разделе "Безопасность" на сайте Битрикса, слова директора Битрикса Сергея Рыжикова, которые я сам лично слышал и в которых нисколько не сомневаюсь, отсутствиее публичных жалоб на безопасность со стороны партнёров и клиентов Битрикса и, наконец... мой личный опыт работы с системой. Для меня этого действительно достаточно.


Зачем Вы меня обвиняете? Я посмотрел, и очень даже внимательно. В доказательство этому пожалуйста смотрите мое сообщение несколькими постами выше про XSpider. Это мое собщение объясняет природу этих сертификатов, и что именно они означают.

А вот Вы сами посмотрели ли внимательно на эти сертификаты, и разобрались ли что именно они сертифицировали?
Алексей Гальченко
207 сообщений
#13 лет назад
Почему нет?

Но смысла не вижу тратить своё время и Ваши деньги...

Но, как и сказал Vagir,
у меня имеется много других, более полезных, способов проведения свободного от работы времени.


И как Вы докажете, что данная версия предоставлена Битриксом ?
Алексей Гальченко
207 сообщений
#13 лет назад
Кстати,

Настоящий сертификат подтверждает, что компания Positive Technologies провела полный аудит программного продукта «Битрикс: Управление сайтом 4.0.1», разработанного ООО «Битрикс», на предмет наличия уязвимостей к сетевым атакам в среде Интернет, включая анализ кода продукта.