Обсудим "Аудит безопасности веб-проектов на "Битрикс: Управление сайтом"?

[Lazy Badger]

Поскольку жалко будет, если простые юзера в очередной раз купятся на эту дешевую разводку от "неуязвимой CMS" и "неуловимого Джо" (поискал я инфу по Немесису - темная лошадка, хотя я догадываюсь, кто это)

[edogs]

Поскольку жалко будет, если простые юзера в очередной раз купятся на эту дешевую разводку от "неуязвимой CMS" и "неуловимого Джо" (поискал я инфу по Немесису - темная лошадка, хотя я догадываюсь, кто это)

А есть предмет обсуждения? Изложи тогда.

[nessy]

причем тут разводка от "неуязвимой CMS" если аудит безопасности проводит компания Nemesis?

[edogs]

причем тут разводка от "неуязвимой CMS" если аудит безопасности проводит компания Nemesis?

После того, как рекламный отдел битрикса был уличен в использовании ничем не подтвержденной фразы "битрикс самая защищенная цмс"... Вы сказали нечто вроде - "ну что же Вы, не понимаете что это просто реклама и в ней можно все что угодно".
Вы что, серьезно ожидаете что здесь после этого кто-нибудь сможет без юмора относиться к какой-бы то ни было рекламной информации от битрикса?
Только ради бога, не пытайтесь опять вернуться к той теме изображая непонимание или отрицание. Мы там и статьи из закона о рекламе приводили нарушенные, и пункты правил гугла нарушенные.
Публикация результатов "тестирования" это тоже реклама. А учитывая что положительные публичные результаты аудита безопасности можно при желании организовать без проблем - делаем выводы.

[edogs]

Lazy, хотелось бы услышать о чем именно Вы говорите.

[Lazy Badger]

С огромным удовольствием пну под зад жирного облемнившегося кота... потому что может быть она заболит так, кто вышепомянутый кот перестанет лизать яйца и займется прямым котовым делом - ловлей мышей...

Ваша Честь, господа Заседатели!
Целью нашего заседания явлется установление подсудности и степени вины обвиняемого в причиненном прямом и непрямом ущербе от его действий по публикации пресс-релиза Аудит безопасности веб-проектов на «Битрикс: Управление сайтом»
Вопрос первый - подсудность... Поскольку, как будет показано ниже, действия, являющиеся предметом рассмотрения, наносят непрямой ущерб всему сегменту CMS как объекту бизнеса, обвиняемый подсуден рассмотрению состава правонарушения заседателями - игроками данного сектора рынка.
Рассмотрим непосредственно сами действия
Цитаты пресс-релиза приводятся по http://www.bitrixsoft.ru/sitemanager/news/10109.php, который считается официальым документом компании без придания ему юридической силы...

По итогам проведенного аудита выдан сертификат, подтверждающий неуязвимость продукта ко всем видам известных атак, направленных на веб-приложения.

1. Как известно, уже есть как минимум 1 сертификат безопасного веб-приложения, выданный на продукт "Битрикс. Управление сайтом"... Есть ли дополнительная польза от получения еще одного, от фирмы, не являющейся настолько известной в непрофессиональных кругах, как Positive Technologies? Ваша Честь, обвинение полагает, что эффект может быть скорее отрицательный и многоплановый. Во первых, это не тот случай, когда количество переходит в качество, и "много" скорее может означать "плохо"... Как пример можно привести пример обесценивания сертификатов BrainBench... И сторонний эффект - удар не только по Немесис ("...не иначе как их просто купить дешевле...") и PT ("...каким помоечникам они выдают свои сертификаты..."), но и прочим разработчикам CMS, которые (возможно) захотят получить для своих систем обесцененные действиями подсудимого сертификаты данных компаний. Со своей стороны отмечу, что Немесис является "широко известной в узких кругах" компанией и репутационные риски являются явно незаслуженными в данном случае
2. Формулировка "неуязвимость продукта ко всем видам известных атак, направленных на веб-приложения" является введением  потребителя в заблуждение, поскольку сертификатор как профессиональный безопасник не мог утверждать о всех видах известных атак (иначе мы должны согласиться что компании Немесис доступно всеведение, что вряд-ли принимается даже как теория), и данное искажение умышленно или неумышленно внесено обвиняемым

Специалисты «Немесис» анализировали программный продукт в течение четырех месяцев

Поскольку на продукт распространяется действиек технологии SiteUpdate, нельзя утверждать, что анализируемый продукт является тем продуктом, который используется у клиентов и следовательно - реальная потребительная ценность данного сертификата в настоящий момент является практически нулевой. Ненулевой она, тем не менее, может быть в случае, если сертификат сетифицирует известный и задокументированный в тексте сертификата билд, и для тех и только тех сайтов клиентов, которые используют данный билд  и не активизировали технологию SiteUpdate. Для поддержания достоверности сертификата безопасности специалисты Немесис должны проводить реаудит комплекса после каждого обновления, причем верифицироваться должен не только измененный обновлением код, но и обновленная система в целом... что, судя по предоставленной информации, не проводится и не планируется

аудит сайтов позволит предложить специальный комплекс услуг корпоративным клиентам, уделяющим серьезное внимание вопросам безопасности сайтов, обеспечить и в дальнейшем поддерживать высокий уровень информационной безопасности веб-проектов

Поскольку предлагается разовый аудит, нарушающий базовый принцип "Безопасность - это не состояние, безопасность - это процесс", он не может считаться методом, гарантирующим безопасность веб-проекта... Педлагаемый аудит правдив в результатах до первого изменения системы, что, как мы знаем, с использованием SiteUpdate не является стабильным состоянием программного комплекса и сам аудит может квалифицироваться только как "еще один способ относительно честного отъема денег"

Аудит веб-проектов можно заказать непосредственно в компании «Немесис» или у партнеров «Битрикс».

Прошу обратить внимание на окончание предложения - "...или у партнеров «Битрикс»". Партнерами «Битрикс» являются не безопасники, а программерско-дизайнерские организации. Что и как могут они проанализировать, оставим на совести авторов прессс-релиза и идеи, мы ограничимся лишь поговоркой "сапожник пусть судит не выше сапог"... или компания Немесис в сотрудничестве с Битрикс открыла метод обучения Blonde Mary на профессионала-безопасника?! С нетерпением ждем пресс-релиза на этот прорыв в методологии обучения

Первым партнером, который предлагает своим клиентам дополнительные услуги по аудиту безопасности веб-проектов является компания QSOFT.

И обвинение полагает, что компания, специализацией которой является

Управляемые интернет-сайты
Надежные интранет-решения
Корпоративные порталы
J2EE приложения
Интеграцию с ERP-системами

могда бы проткрыть завесу тайны над тем, как ей удалось так оперативно войти в новый для нее рынок "комплексный аудит безопасности"

Таким образом, Ваша Честь, господа Зеседатели, обвинение постаралось показать в своем выступлении наличие состава следующих преступлений

1. Нанесение морального вреда (репутационный ущерб)
2. Обман
3. Мошенничество
4. Недобросовестная реклама

Обвинение закончило, Ваша Честь!

[nessy]

-> edogs

Рекламный отдел Битрикса, как собственно и отдел разработки, работают так, что другим у них стоило бы поучиться.

-> Lazy


долго писал? этот бред даже комментировать не хочется...

[Dagdamor]

Lazy Badger
Отличная речь, но есть логические ошибки, и не одна

Поскольку, как будет показано ниже, действия, являющиеся предметом рассмотрения, наносят непрямой ущерб всему сегменту CMS

Это не было показано "ниже" либо я не заметил... каким образом акция Битрикса, пусть даже и насквозь рекламная, наносит ущерб другим системам?

Есть ли дополнительная польза от получения еще одного

Далее ты сам утверждаешь, что стопроцентной гарантии подобные сертификаты не дают, так что чем больше, тем действительно лучше.

но и прочим разработчикам CMS, которые (возможно) захотят получить для своих систем обесцененные действиями подсудимого сертификаты данных компаний

Обесцененность сертификата не была доказана или хотя бы обоснована, так что тут уже возможен встречный иск за клевету

Формулировка "неуязвимость продукта ко всем видам известных атак, направленных на веб-приложения" является введением  потребителя в заблуждение

Здесь ключевым является слово "известных", т.е. говорится не о всех существующих видах атак, а только о тех, которые известны фирме, осуществлявшей проверку.

Педлагаемый аудит правдив в результатах до первого изменения системы, что, как мы знаем, с использованием SiteUpdate не является стабильным состоянием программного комплекса

Тестируется конкретный релиз, это верно, но выводы-то делаются для системы в целом. Вывод "система безопасна" для большинства людей означает, что систему пишут люди с головой и руками, а не что "все прочие релизы системы небезопасны".

[edogs]

Lazy, на удивление верно, хотя в паре мест ляпнул имхо.

[nessy]

-> edogs

нет никакого желания разводить беспочвенные дискуссии поэтому ничего и не пишу... ваши позиции понятны, а нового вы ничего не сказали... все как обычно - много бестолкового и бесполезного бреда основанного только на желании:

С огромным удовольствием пну под зад жирного облемнившегося кота...

(кстати уместнее было бы сравнение незабвенного крылова о слоне и моське)

за сим откланяюсь в этой теме... играйте в своей песочнице самостоятельно... работа ждет...

[Сергей]

А что так задевает битрикс ? У них такой аудит проходит. Другие просто или код закрывают затрудняя жизнь программистам, или никакого аудита и в помине нет. При этом и они утверждают в полной своей "непограшимости". Приводить примеры не вижу смысла - в инете много подобных утверждений от разработчиков базирующихся на чистом вымысле. У битрикса есть команда и она прекрасно работает... поэтому его и ругают :-). Но в споре рождается истина...

[edogs]

А что так задевает битрикс ? У битрикса есть команда и она прекрасно работает... поэтому его и ругают :-).

Вы что, тоже как и nessy, будете уверять что все отрицательные вещи высказываемые в адрес рекламной политики битрикса объясняются завистью к нему и прочим?
Очень удобная позиция.
Вы никогда не думали, что даже (или точнее ОСОБЕННО) приличная цмс должна иметь ЭТИЧНУЮ и честную рекламную политику?
Вам не приходило в голову, что если бы битриксовая команда рекламщиков вела бы себя прилично, то к ней было бы другое отношение?
Подумайте об этом.
Неужели Вы считаете что приличную цмс обязательно пиарить нечестными методами?
Или Вы считаете что приличной цмс можно простить любой читинг в рекламе?
Вы серьезно считаете что без жульнических методов рекламы битрикс бы не выжил?

[Сергей]

edogs, ну снова крайности. Не это я хочу донести. Давайте читать между строк - безопасность даже в таком виде лучше чем вообще никакой. Просто новый битрикс стал защищенней чем старый - это и доводится для своих клиентов битриксом. Вопрос кто предоставляет сертификат и его валидность существует, но это обсуждается выше и с этим я и не спорю.

Посмотрим с другой стороны ? битрикс ставит как один из аспектов и разработки и рекламной компании свою безопасность. Это вынуждает и конкурентов прислушиваться к нашему Российскому лидеру и тоже проводить некий аудит. Получается что улучшается безопасность всех продуктов что есть хорошо.

P.S. я конечно все сильно утрировал и надеюсь на понимание мысли а не обгладывание слов.

[edogs]

edogs, ну снова крайности. Не это я хочу донести. Давайте читать между строк - безопасность даже в таком виде лучше чем вообще никакой.

А мы не хотим читать между строк, мы хотим быть уверенными в том, что в строках (а не между ними) написана правда и нас не пытаются обмануть..

Просто новый битрикс стал защищенней чем старый - это и доводится для своих клиентов битриксом.

Нет, неправда. Не это доводится. В этом и дело.
Сказал бы битрикс "мы получили сертификат безопасности от немесиса для нового битрикса" и вопросов бы не было. Было бы уважение.
А что имеем?
Получили они сертификат от позитив тех. - выдали на гора голословный ничем не подтвержденный лозунг "битрикс самая безопасная цмс".
Получили они сертификат от немесиса - выдали на гора лозунг "система не подвержена никаким из известных атак направленых на веб-приложения".
И тот и другой лозунг - это обман (почему - уже говорилось и обосновывалась - даже со ссылкой на законы и правила, возвращаться не хотим - можем объяснить в личке если непонятно до сих пор). И это не крайность.
Объясните - если есть сертификат безопасности - почему просто сказать что он есть и не прибегать к обману в анонсе о получении сертификата? Ну скажите ПОЧЕМУ?

Посмотрим с другой стороны ? битрикс ставит как один из аспектов и разработки и рекламной компании свою безопасность. Это вынуждает и конкурентов прислушиваться к нашему Российскому лидеру и тоже проводить некий аудит. Получается что улучшается безопасность всех продуктов что есть хорошо.

Битрикс тестирует себя на безопасность, это хорошо. Но если Вы всё-таки прочитаете о чем мы говорим  - то поймете, что мы говорили не о самом тестировании на безопасность, а о том как это преподносится. Не нравится не сам факт, а способ его преподнесения, ибо способ преподнесения это как минимум введение в заблуждение и недобросовестная реклама.

P.S. я конечно все сильно утрировал и надеюсь на понимание мысли а не обгладывание слов.

Вы правильно ответили, но немного не по теме.

P.S.: Без понятия насколько крут немесис, позитив и т.д. в области тестирования на безопасность, это не к нам, мы не об этом.

P.P.S.: Как бы Вы отнеслись к новоявленной системе "ЖО" (желтый одуванчик) которая заявила бы что её протестировала компания "ЖО2" и теперь она самая безопасная в мире и неуязвимая ко всем известным веб-атакам? Только не надо кидаться в крайности и рассказывать что битрикс это не ЖО и немесис это не ЖО2, ибо это будет махровое применение двойных стандартов.

[Сергей]

edogs, я вас понял. Мы просто говорили о двух разных направлениях в обсуждении. Я про сам факт, Вы про его доведение до клиентов. Меня больше волнует первое, вас второе.

[edogs]

edogs, я вас понял. Мы просто говорили о двух разных направлениях в обсуждении. Я про сам факт, Вы про его доведение до клиентов.

Угу.

Меня больше волнует первое, вас второе.

Сам по себе факт тестирования у нас просто вопросов не вызывает. Поэтому тут обсуждать просто нечего.
А вот подобное преподнесение этого факта лишь наводит на подозрения о том, что факт "левый". Настоящему солидному факту положительных результатов тестирования в солидной компании не нужна обманная обложка. Вы видели когда-нибудь справочники по математике в красочной обложке раскраске? Ну вот.

[Lazy Badger]

Догсы, а самое обидное - что на этот гуан в красивой обертке поведется еще толпа безмозглых юзеров... До чего же обидно - какое тупое, чмошное, разводимое на "раз-два" самыми дешевыми методами поколение выросло

[edogs]

Догсы, а самое обидное - что на этот гуан в красивой обертке поведется еще толпа безмозглых юзеров... До чего же обидно - какое тупое, чмошное, разводимое на "раз-два" самыми дешевыми методами поколение выросло

А чего обидно-то? Нам не обидно. Мы за такого рода аудиторией не гонимся.

[Lazy Badger]

Мы за такого рода аудиторией не гонимся

Не уверен, что такими темпами скоро не будет просто другой... Не выбирающей между "Битрикс", "Хитрикс","Хмытрикс"

[edogs]

Мы за такого рода аудиторией не гонимся

Не уверен, что такими темпами скоро не будет просто другой... Не выбирающей между "Битрикс", "Хитрикс","Хмытрикс"

Другая аудитория всегда будет, куда она денется-то. Чем больше упомянутой аудитории, тем приятнее работать с теми кто является из неё исключением. Просто сейчас период такой, популяризация интернета, удешевление "входного билета", вот и ломится туда кто попало.