3 дня назад вышел апдейт с фиксом 9-ти критических уязвимостей. Да, открытые CMS тестируются, но это не значит, что в них доселе нет глупейших уязвимостей, и это не значит, что я доверяю опыту тех программистов, которые писали WordPress Core.
Для более-менее серьёзной конторы надо очень подсуетиться, чтобы сделать из open-source CMS безопасную систему. Либо написать своё решение, если позволяет опыт сотрудников (писать безопасный, поддерживаемый, etc., etc. код) и поставленные процессы.
В моей компании пошли по первому пути. Я этому WordPress'у (как InfoSec Engineer) урезал почти всё, что можно, и не жалею.
Ни один подобный список не может считаться полным. Ваш не повторяет даже OWASP Testing Checklist v4. Ещё и акцентирует внимание на автоматическом тестировании.
Использую генератор паролей от Norton через веб-интерфейс. Просто отмечаю все галки, указываю длину в 16 символов. Для каждого сервиса свой пароль. При регистрации на сервисе ввожу сгенерированный пароль, а после вхожу и сохраняю его в хранилище firefox. В итоге я храню в голове только 1 замысловатый пароль от хранилища.
Cтатья ни о чём. Назвать надо было «проверяем, не забыли ли поменять пароль с дефолтного на нормальный» или «проверяем, не забыли ли проверить входящие данные».
Лично я «за» такие действия. Надо понимать, что интернет – не лучшее место для обмена конфиденциальной информацией.
Подобными «разоблачениями», что описаны в статье, заинтересованные лица пытаются сделать интернет свободным от слежения, но в современном мире это значит забыть о проблеме терроризма.
Ни при каких условиях, как инженер по ИБ, я бы не купил процессоры с Intel ME. :) /МНЕ ХВАТАЕТ/
Когда, казалось бы, ну сколько ещё можно найти дыр в WordPress…
https://wordpress.org/news/2017/09/wordpress-4-8-2-security-and-maintenance-release/
3 дня назад вышел апдейт с фиксом 9-ти критических уязвимостей. Да, открытые CMS тестируются, но это не значит, что в них доселе нет глупейших уязвимостей, и это не значит, что я доверяю опыту тех программистов, которые писали WordPress Core.
Для более-менее серьёзной конторы надо очень подсуетиться, чтобы сделать из open-source CMS безопасную систему. Либо написать своё решение, если позволяет опыт сотрудников (писать безопасный, поддерживаемый, etc., etc. код) и поставленные процессы.
В моей компании пошли по первому пути. Я этому WordPress'у (как InfoSec Engineer) урезал почти всё, что можно, и не жалею.
Ручное тестирование даст результат намного реальнее.
Есть. в Ubuntu —
network-manager-openvpn
.Если посмотреть остальные статьи автора — претензий не возникает. Вот только я бы не хотел видеть подобные статьи в хабе информационной безопасности.
Или не написать chef/ansible рецепты для централизованного управления конфигурацией firefox/chome/edge/safari?
Подобными «разоблачениями», что описаны в статье, заинтересованные лица пытаются сделать интернет свободным от слежения, но в современном мире это значит забыть о проблеме терроризма.
Так сколько лет тем девушкам? Я ставлю на 16-17.