דיון על "לכל מנעול יש מפתח"

ivrtikshoret

שלום לכל החברים לאחרונה שמעתי ממישהו אימרה
ש "לכל מנעול יש מפתח"
מאז הצלחתי לפרוץ לכמה אתרים....
ואני רוצה לשאול אתכם מה הדעה שלכם בעניין האם תמיד יהיה מפתח למנעול הכוונה תמיד יהיה איזה דרך שיוכלו לפרוץ לאתר (לא משנה ע"י מה ומי)
או שיש אפשרות לבנות אתר ולא יהיה שום דרך לפרוץ את זה

נ.ב. הדיון אינו על אפשריות פריצה זה שאלה תאורטית.

OdedDvir

@ivrtikshoret תגדיר מה זה נקרא לפרוץ:

(לא משנה ע"י מה ומי)

אפשר לפרוץ לחדר של השרת ולשפוך עליו מים, לנתק את החשמל, לגייס כמה מיליארדים של סינים שיפציצו את האתר בבקשות? גם פצצת אטום נחשב?

אני אענה בצורה פילוסופית, כי אני לא כל כך מבין מה המטרה בדיון הזה. כל שרשרת חזקה כפי החוליה הכי חלשה שלה, ולכן ברור שכל מערכת חזקה רק כפי הרכיב הכי חלש שבה.

לענ"ד מערכת נחשבת מוגנת מספיק כאשר הטירחה לפרוץ אותה לא משתלמת לפורץ מבחינת משאבים.

nigun

@ivrtikshoret
גם לכספת בבנק יש מפתח ואולי מומחים יוכלו לפרוץ אותו ואולי לא.
כנ"ל אתר שבנוי בצורה טובה לפורץ הממוצע לא יהיה דרך לפרוץ אותו
ולארגון עם משפיק משאבים יהיה את הדרך למצוא חולשות לא ידועות ולהשתמש בהם כדי להשתלט על המחשב שלך ולגנוב את הסיסמאות לאתר וכדו'
אבל כל עוד אתה בונה את האתר שבצורה נכונה, ושמר על הסימאות שלך במקום בטוח, והמחשב שלך נקי מרוגלות ואתה לא יעד ששווה להשקיע עליו משאבים, כנראה לא יפרצו לך.
עריכה: כמדומני שבהרבה מהפריצות יש טעות אנוש בסיפור, רק צריך ללמוד מה זה בכלל טעות בהקשר לאבטחת מידע.

אביי

@ivrtikshoret כל מנעול שיש מפתח כלשהו שפותח אותו, תמיד יכול להיות מפתח נוסף. אם תרצה מנעול חסין ב100% זה רק מנעול שגם אתה לא תוכל לפתוח (ופה, זה כבר ענין אחר, האם שייך מנעול שאף אחד לא יכול לפתוח..)
השאלה היא, כמה קשה זה יהיה, וכהיום בד"כ עם התקנים, אם לא יהיה טעויות אזי המפתח הנוסף רחוק מאוד מהישג ידו של כמעט כל פורץ..

dovid

@ivrtikshoret זה קשקוש.
הרבה יותר קל להגן על אתר מפריצה מאשר להגן על כספת של בנק.
כל הפריצות הנפוצות זה העדר ידע או רשלנות, או ניצול פרצות מפורסמות ברכיבים לא מעודכנים.

ivrtikshoret

@dovid אמר בדיון על "לכל מנעול יש מפתח":

@ivrtikshoret זה קשקוש.
הרבה יותר קל להגן על אתר מפריצה מאשר להגן על כספת של בנק.
כל הפריצות הנפוצות זה העדר ידע או רשלנות, או ניצול פרצות מפורסמות ברכיבים לא מעודכנים.

אתה הראשון שכותב שיש דרך להגן ב100% מעניין לשמוע האם יש עוד כאלה שמסכימים עם זה

@OdedDvir המטרה של הדיון היא אכן פילוסופית להבין את האימרה בהקשר לתיכנות אתרים וללא שום מטרה אחרת
ולגבי מה שכתבת אני יענה לך בצורה רטורית
איך אתה יכול להיכנס לחדר של השרת עם אין לך את המפתח?
מה הכוונה להפציץ בבקשות?
אתה יכול להגדיר בשרת שלך שלא יוכלו להגיש יותר מ x בקשות מאותו ip וכדומה.
ושוב אני לא צריך שתלמד אותי את דרכי ההגנה הקיימים או שלא קיימים השאלה היא תאורתית בלבד

nigun

@ivrtikshoret אמר בדיון על "לכל מנעול יש מפתח":

מה הכוונה להפציץ בבקשות?

חפש בגוגל מתקפת DDOS
אם זה נעשה מעשרות אלפי מחשבים אין לך מצב לסנן את זה
השרתים של הספק שלך נופלים לפני שהבקשות מגיעות לאתר שלך

ivrtikshoret

@nigun אמר בדיון על "לכל מנעול יש מפתח":

@ivrtikshoret אמר בדיון על "לכל מנעול יש מפתח":

מה הכוונה להפציץ בבקשות?

חפש בגוגל מתקפת DDOS
אם זה נעשה מעשרות אלפי מחשבים אין לך מצב לסנן את זה
השרתים של הספק שלך נופלים לפני שהבקשות מגיעות לאתר שלך

זה לא קשור לאימרה הנ"ל..
אתה לא הצלחת להיכנס, אתה אולי הצלחת לחסום כניסה לx

yossiz

@ivrtikshoret אמר בדיון על "לכל מנעול יש מפתח":

לכל מנעול יש מפתח

זה משפט רדוד, ולא כדאי לדון עליו

עריכה: אני רואה ש @OdedDvir הקדים אותי רק שניסח את זה בצורה עדינה יותר...

dovid

@ivrtikshoret אמר בדיון על "לכל מנעול יש מפתח":

אתה הראשון שכותב שיש דרך להגן ב100%

אי הבנת הנקרא, לא כתבתי כזה דבר.

איש נחמד

@nigun אמר בדיון על "לכל מנעול יש מפתח":

@ivrtikshoret אמר בדיון על "לכל מנעול יש מפתח":

מה הכוונה להפציץ בבקשות?

חפש בגוגל מתקפת DDOS
אם זה נעשה מעשרות אלפי מחשבים אין לך מצב לסנן את זה
השרתים של הספק שלך נופלים לפני שהבקשות מגיעות לאתר שלך

יש היום שירותי הגנה (כגון cloudflare) שמשמשים כשרת מתווך ואמורים לעצור את הבקשות האלו באמצע הדרך. על מה הם מסתמכים שהם לא יפגעו?

nigun

@איש-נחמד
זה כבר נושא אחר
בעיקרון הם שמים שרתים כבדים שמתמודדים עם תעבורה בסדר גודל כזה
וכנראה יש להם גם שליטה על השרתים של הספקים בסביבה שלהם ויכולים לעצור את התעבורה לפני שזה מגיע אליהם.

avramk

@ivrtikshoret אמר בדיון על "לכל מנעול יש מפתח":

מאז הצלחתי לפרוץ לכמה אתרים....

בגלל ששמעת אימרה לכן הצלחת ? מה הקשר? נשמע מעניין

אביי

@avramk עד שהוא שמע הוא לא האמין שאפשר, ואחרי זה הוא כבר האמין בעצמו אז הוא הצליח... כוחו של אמון..

גגד

פוסט זה נמחק!

dovid

@גגד
ראשית כל תודה על השתתפותך בפורום!
שנית, אנא מפציר בך, פתח נושא משלך על כל נושא משלך. הנזק של נושא כפול פחות בהרבה מנושא ארוך ו"לעוס" ומתפצל לתתי נושאים מעניין לעניין.
נושא חדש זה בחינם, ולא חייבים למצוא כותרת הכי טובה בעולם, ואפשר לתת לינק לנושא אחר אם רוצים ממש לחסוך במלל או להביא את מה שעורר את השאלה.
שלישית לגוף שאלתך, היא מידי תיאורטית כך שקשה לענות לך איך, בנושא החדש שתפתח נסה לתת קצת יותר הגשמה לשאלה.

שואף

@OdedDvir אמר בדיון על "לכל מנעול יש מפתח":

לענ"ד מערכת נחשבת מוגנת מספיק כאשר הטירחה לפרוץ אותה לא משתלמת לפורץ מבחינת משאבים.

המשפט הכי קולע..
יש הרבה רמות של אבטחה, לא הרי אבטחה של פייסבוק כאבטחה של האתר של תחומים לצורך הענין.

שמואל4

@nigun מתקפת DDOS היא המתקפה הכי "רדודה" שיש, ובדיוק כמו שאמרת - היא מתקפה, לא פריצה.

לדעתי היום כדי באמת להתקיף ברמה שתפיל מתגים של חברות ענק צריך להיות ענק פי כמה כמה והם - וזה לא נפוץ.
מתקפות DDOS מנוצלות היום בעיקר בין מדינות כאשר יש באמת לתוקף יכולת מאד גבוהה.

לגבי טענת פותח הנושא, אני מנסה להבין מה מטרת השאלה, אם השאלה היא "רגע, לכל מנעול יש מפתח, זה אומר שאוכל לפרוץ לכל מקום?" אז התשובה היא בוודאי שלא.
אני לא יודע בדיוק מהם הפריצות שהצלחתי למצוא ואיפה, אבל לדעתי יש כמה סוגי פריצות.

בעבר הצלחתי לבצע פעולות לא רצויות (אז קראתי לזה "פריצה") בכמה אתרים על ידי משחק בקליינט או עיון ב js בצד לקוח. זה אכן דרך יפה לנצל לרעה חולשה של הגבלת דברים ברמת קליינט בלבד - אבל לא פריצה.
פריצה לדעתי זה בד"כ ניצול לרעה של חולשות שהם לא נגרמו על ידי רשלנות של כותבי התוכנה, כמו מציאת חולשות בספריות וניצול לרעה אצל מפתחים טובים שסה"כ השתמשו עם ספריה/תוכנה פופולרית כזאת או אחרת.

יש גם את הנושא של מסחר בחולשות אבטחה ב"ארגונים" שמספקים את זה, אבל למעשה זה ברור שבהחלט על ידי ביצוע נכון ומקצועי בוודאי שאי אפשר לומר "כל דבר אפשר לפתוח".