[inne][PHP] Bezpieczeństwo aplikacji czy sieci?, Co wazniejsze? Bezpieczeństwo aplikacji czy sieci? Opcje

[-justa80justa-]

Witam wszystkich. Zaczynam w branży IT zaraz po szkole i mam dylemat:

Mamy do zakupienia oprogramowanie napisane w PHP 5.2 (obsługa finanowo personalna), czyli musi być bezpieczne. Sprzedawca tłumaczy się tym że aplikacja która będzie znajdowała się na naszym serwerze nie musie być bezpieczna. To bezpieczeństwo ma zapewniać nasz sieć.

Czy to prawda? Czy ważniejsze jest bezpieczeństwo sieci, czy aplikacji. Już mi brakuje argumentów w rozmowach z nimi. Proszę nie piszcie o tym żeby tego nie kupować itd, natomiast najważniejsze dla mnie jest to kto ma racje i dlaczego.

Ewentualnie może ktoś mi napisze coś konkretnie o tym PHP 5.2 - podobno aplikacji w tym języku nie można aktualizować do nowszych wersji php?
Z tego co wiem, aplikacja jest zależna od ustawień np. "magic quotes gpc"

Piękne dzięki za odpowiedź Smile

[wookieb]

I to i to - to raczej logiczne.
Co z tego, że masz samochód na klucz skoro do klucza mają dostęp wszyscy?

[-justa80justa-]

I to i to - to raczej logiczne.
Co z tego, że masz samochód na klucz skoro do klucza mają dostęp wszyscy?

[-justa80justa-]

Też tak myślałam, ale ta firma się upiera że nie najważniejsze jest bezpieczeństwo sieci i serwerów klienta a ich produkt może być dziurawy, czy to nie jest śmieszne? (IMG:style_emoticons/default/smile.gif)

[wookieb]

No to oni będą Cierpieć nie ty. I tyle.

[!*!]

I jedno i drugie jest ważne. Firma czy osoba która pisze inaczej, z całym szacunkiem ale pieprzy głupoty i odradzałbym Ci zakup ich aplikacji. Jeśli twierdzą że aplikacja jest zależna od "magic quotes gpc" to już coś jest z nią nie hallo i zacząłbym się już zastanawiać czy dane w niej gromadzone są na prawdę bezpieczne czy to tylko fasada w postaci czołgu z tektury.

[-justa80justa-]

Jest to aplikacja webowa uruchamiana by była z naszego serwerka przez przeglądarkę i w tym środowisku sobie pracuje. Służy ona do obsługi klientów, np. wystawianie faktur i skanowanie dokumentacji do archiwum. Są też moduły księgowe. Teoretycznie jedna aplikacja będzie połączona z naszym drugim oddziałem przez internet - no nie istotne to akurat.

Logowanie lokalnie przez przeglądarke następuje przez http. Z tego co wiem po rozmowie ze znajomym, który robił tzw audyt bezpiecz. przez fachowców tej aplikacji już u klienta działającej. Zostało stwierdzone że aplikacja jest dziurawa i ma podstawowe błędy nazwałabym je szkolnymi. Wg dokumentów przedstawionych ta firma zaleca nieużywanie aplikacji oraz zastrzezenia że jest w starym języku php 5.2, którego nie jest już rozwijany i nie moża takiej aplikacji podnieść do nowszych wersji (z tym php to prosiłabym o wytłumaczenie obszerniejsze bo nie znam się na programowaniu). Po za tym jest możliwe dowolne modyfikowanie plików i przejęcie kontroli nad serwerem i cos tam jeszcze zle z sql-em

Ostatecznie jedni twierdzą ze mozna uzywac a drudzy ze nie i kto ma racje?(IMG:style_emoticons/default/questionmark.gif)

Tu jest najwiekszy dylemat - prosze o doradztwo

ps. wg mnie aplikacja sama w sobie powinna zapewniać bezpieczeństwo wycieku danych bez względu na włamania z zewnątrz. Czy nie tak? I kto będzie odpowiadał za ewentualny wyciek danych osobowych, producent oprogramowania, czy użytkownik tego softu?(IMG:style_emoticons/default/questionmark.gif)

Dziękuję Smile

[!*!]

1. połączenie w takich aplikacjach powinno być przy https
2. skoro audyt wykazał błedy w zabezpieczeniu, nie widzę powodu aby ją kupować
3. za wyciek danych odpowiada opiekun aplikacji i/lub jej producent, w zależności od podpisanej umowy/licencji.

Co do PHP 5.2. To nie jest do końca tak że aplikacja w 5.2 jest zła... Zależy od tego jak została napisana, jednak po tym co opisujesz, sądzę że fatalnie, i tu faktycznie migracja na 5.3 może stanowić problem.

Ten post edytował !*! 17.02.2012, 13:43:22

[red.orel]

Jeśli aplikacja jest potencjalnie niebezpieczna, firma która ją wypuściła nie rekomenduje użytkowania, to jaką masz gwarancję poprawności jej działania? Co do zmian związanych z PHP 5.2 w stosunku do PHP 5.3 informację na ten temat znajdziesz tutaj.

[Niktoś]

Co im po bezpieczeństwie sieci jak , aplikacja sama w sobie nie będzie bezpieczna ,wrażliwa na ataki xss, sql injection , session fixation czy session injection.Co z tego ,że postawią SSL ,czy IPsec jak ktoś tą aplikację rozwali w jeden dzień -niszcząc czy bazę danych ,czy samą aplikację.
Powiedz mi co to za fachowcy ,że takie brednie Ci opowiadają.

[-Gość-]

Co im po bezpieczeństwie sieci jak , aplikacja sama w sobie nie będzie bezpieczna ,wrażliwa na ataki xss, sql injection , session fixation czy session injection.Co z tego ,że postawią SSL ,czy IPsec jak ktoś tą aplikację rozwali w jeden dzień -niszcząc czy bazę danych ,czy samą aplikację.
Powiedz mi co to za fachowcy ,że takie brednie Ci opowiadają.

Narazie nie ujawnie firmy bo kolega mnie o to prosił - prawdopodobnie będzie on sie z nimi sądował o sprzedaż jak to powiedział bubla.

Tak z ciekawości jeszcze zapytam (bo dziś jeszcze z nim rozmawiałam), co taki producent oprogramowania musiałby zrobić z taką aplikacja? Poprawić wszystkie błędy czy musiałby przeprogramować ją na nowo w nowszym php aby działał dla niezależnych zmiennych środowiskowych? (nie wiem czy dobrze się wyraziłam)

[red.orel]

Musiałby wywiązać się z treści umowy, której my nie znamy.

[Niktoś]

Tak z ciekawości jeszcze zapytam (bo dziś jeszcze z nim rozmawiałam), co taki producent oprogramowania musiałby zrobić z taką aplikacja? Poprawić wszystkie błędy czy musiałby przeprogramować ją na nowo w nowszym php aby działał dla niezależnych zmiennych środowiskowych? (nie wiem czy dobrze się wyraziłam)

Wydaje mi się ,że egzekwowanie jakichkolwiek roszczeń zależy od zawartej z firmą umowy.My raczej nie wiemy,przynajmniej ja, jak ta umowa wyglądała,czy gwarancje bezpieczeństwa miały dotyczyć na całej płaszczyźnie aplikacji czy tylko gwarantowane było bezpieczeństwo sieci.

[by_ikar]

IMO nie rozumiem czemu ktoś na siłę ci próbuje wcisnąć że wersja php ma kolosalny wpływ na bezpieczeństwo.. Błędy się zdarzają w każdej jednej wersji oprogramowania i jest to rzecz normalna, bo oprogramowania idealnego nie ma i póki co nie będzie. Tyle że to nie jest wina całego języka, a winne mogą być poszczególne elementy, typu funkcja crypt w php 5.3.7 która zamiast hasha, zwracała sól + hash. Ale takie błędy można obejść nie aktualizując oprogramowania..

php 5.2 póki co jest używany na bardzo wielu serwerach, powiedziałbym nawet że póki co jest najpopularniejszy. A serwerownie powoli migrują na 5.3.

Reasumując, można napisać aplikacje w php 5.2 jak i 5.3 (php ma wsteczną zgodność), która może być mega dziurawa i żadna wersja php tego nie zmieni.

Heh aż mi się przypomniał temat o tym skrypcie ala demotywatory (IMG:style_emoticons/default/wink.gif) tam autor też się zapierał że jest super specem bezpieczeństwa, że inne skrypty są dziurawe, ale jego na pewno nie! (IMG:style_emoticons/default/wink.gif) najlepiej zrobić audyt, który zresztą wykazał jasno - ser szwajcarski.