Кто виноват в заражении на веб-сайтах?

[QUOTE=p2u;300028]проблема переполнений буфера именно характерна для языков программирования Си и C++[/QUOTE]
Эту проблему можно получить в любом языке программирования, допускающем приведения типов и массивы :) Выделил нпамять под short и записал в него int64 - вот тебе и переполнение буфера. Выделил память на массив из 10 элементов и записал 11 - вот тебе еще одно переполнение буфера.

Просто в C/C++ наиболее часто встречаются ошибки при работе со строками - ибо первоначально для них были написаны функции, не контролирующие размер буфера.

[B]DVi[/B], я далек от программирования, но мне интересно, почему компилятор не может проверять такие потенциальные уязвимости в коде?

[QUOTE=p2u;299889]Комментарии приветствуются. :) [/QUOTE]
Мне кажется, что тема названа неправильно. ;) В заражении веб-сайтов виноват, безусловно, тот, кто заражает. Пусть хоть тысячу раз будут дыры в заборе, но если не будет злоумышленника, то ничего не случится.
С другой стороны, уголовная ответственность за взлом сайтов применима исключительно ко взломщику. Я даже не представляю, что нужно, чтобы привлечь к ответственности программеров, пишущих дырявый код. ;) Пусть даже как соучастников. :)

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=Maxim;300071]почему компилятор не может проверять такие потенциальные уязвимости в коде?[/QUOTE]
Потому что он компилирует. То есть переводит с того же С в машинные коды. Чтобы проверить уязвимости нужно как минимум уметь эмулировать код.

[QUOTE='[quote];300093'][B]borka[/B], так создаете свой опрос. Что мешает...[/QUOTE]
А смысл? ;)

[QUOTE=borka;300096]А смысл?[/QUOTE]А смысл, что ктото пишет не думая, а ктото не читая предыдущего. Если ета тема неправильная, создайте свою правильную. А если и в этом для Вас нет смысла, то я не вижу смысла в подобных высказваниях. Вам то хот понятно, что никто не спрашивает про зараженье сайтов? А вопрос про заражение системы узера при заходе на сайт и кто в етом виноват.

[QUOTE]priv8v, скорость печати 10-палцевым методом опережат скорость мысли? Или руски экстерном сдали? Чо цепляетес? Ладно мне он не родной. Вы обсуждали... Что, заткнуться и освободит поле брани для спьециалистав? Вы хоть поняли, что обсуждали?[/QUOTE]
ну что я Вам могу сказать?.. могу сказать, что "каждый думает в меру своей испорченности". Если бы Вы лучше читали мои посты и созданные мной темы (некоторые из них Вы точно читали, т.к упомянули про 10-пальцевую печать), то заметили бы, что за свои почти 500 постов я никого не оскорбил, не обидел и не допустил никакого нехорошего намека в сторону какого-либо собеседника. Так с какой радости мне на этом посте отходить от своих жизненных принципов и хамить???...

Вам следовало бы учесть это...

Теперь по поводу моего и Вашего постов:

[QUOTE]мне он не родной[/QUOTE]
русский язык не родной?.. хм. я не знал. по Вашим сообщениям я не мог сказать, что Вы русский язык знаете плохо. возможно из-за этого и недопонимание...

Обратившись к вам и сказав про НТП я хотел найти единомышленника и развить далее эту интересную тему про косвенную вину в заражении сайтов (косвенная вина лежит на двигателях НТП - то бишь на создателях инета, на ученых, на строителях, которые заводы строят и т.д :) )
Вы же почему-то подумали, что Вас пытаются заткнуть. Почему?.. Странно.

Читая мои посты не стоит печатать на форум или мне в ЛС то, что первым придет в голову - стоит перечитать - посты я пишу не всегда простым для понимания русским языком - люблю и позаворачивать. Но стоит помнить, что собеседникам я не хамлю и не оскорбляю никого.

К сожалению, я не знаю Ваших жизненых принципов и того, что у Вас на уме. Читаю слова. Сами почитайте внимателно. Будет понятно, что и кто страный.

[QUOTE=borka;300090] Я даже не представляю, что нужно, чтобы привлечь к ответственности программеров, пишущих дырявый код. ;) Пусть даже как соучастников. :)[/QUOTE]
Будет недоказуемое преступление всё равно. Я уверен, что некоторые места, где переполняются буферы в Windows, например, были вставлены УМЫШЛЕННО с последующими инструкциями по работе в сети, но как это доказать? Если только весь код изучать по определённым признаком, но всё же - прямых улик мы не найдём никогда - будет либо 'баг', либо 'фича'. В эту сказку мы уже научились верить в течение лет 10. И так может случиться, что система обходит сама себя, и все программы защиты НЕ БУДУТ даже знать, что произошло. То, что андерграунд тоже 'пользуется' этими своеобразными 'бэкдорами' уже вторично...

Paul

[QUOTE=Maxim;300071][B]DVi[/B], я далек от программирования, но мне интересно, почему компилятор не может проверять такие потенциальные уязвимости в коде?[/QUOTE]
Приведение типов компилятор в большинстве случаев покажет в логе в виде предупреждений. А выход за границы массива - никогда.
Как правильно [URL="http://virusinfo.info/showpost.php?p=300090&postcount=23"]отметил [B]borka[/B][/URL], для этого нужны другие инструменты. Они есть, но и они не идеальны.

[QUOTE=p2u;300028]@ [b]Shark[/b]

Но атакуют же нас? Веб-сайт лишь средство; барьер, который ОЧЕНЬ просто преодолевается.

Paul[/QUOTE]

Преодолевается с использованием уязвимостей при разработке сайта. От публикации е-майл вместо формы обратной связи до недостаточного контроля параметров запросов в методе GET. И то и другое относится к Дизайнерам и разработчикам движка. Всё осложняется тем, что такие ошибки трудно прогнозируемы на этапе разработки и их приходится править в процессе обнаружения.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=p2u;300148]Будет недоказуемое преступление всё равно. Я уверен, что некоторые места, где переполняются буферы в Windows, например, были вставлены УМЫШЛЕННО с последующими инструкциями по работе в сети, но как это доказать? Если только весь код изучать по определённым признаком, но всё же - прямых улик мы не найдём никогда - будет либо 'баг', либо 'фича'. В эту сказку мы уже научились верить в течение лет 10. И так может случиться, что система обходит сама себя, и все программы защиты НЕ БУДУТ даже знать, что произошло. То, что андерграунд тоже 'пользуется' этими своеобразными 'бэкдорами' уже вторично...

Paul[/QUOTE]

Тут скорее проблема в programm management, хотя некоторые ошибки могут вноситься намеренно.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=borka;300090]Пусть хоть тысячу раз будут дыры в заборе, но если не будет злоумышленника, то ничего не случится.[/QUOTE]

Если не будет дыр в заборе - не будет и желающих ими воспользоваться. А ответственность разработчиков всё - таки имеет место быть. Если бы не было всякого рода уязвимостей - не было бы злоумышленников, которые ими пользуются. Как - то так...

[QUOTE=priv8v;300025]это как?.. т.е не зазенженный? [/QUOTE]
Старый-престарый. Образца начала 2007 года.

У меня немного alter pars:
[u]Кто виноват в том, что Вы заболели (в реальной жизни)?[/u]
Ответ тривиален - сам юзер.

[u]A что он сделал чтобы [b]не[/b] заболеть?[/u]
Меньше минимума.

Но если в реальной жизни болеть - это естественно и человек получает хоть какой-то имунитет, то в виртуальном мире - "проще всё снести и поставить заново" ИМХО.

По Вашему юзер виноват, что на сайте X появился зловред?
По меньшей мере странно. А если юзер не виноват - тогда кто виновник???

[quote]По Вашему юзер виноват, что на сайте X появился зловред?[/quote]
Именно так, хотя я этого и не утверждал: болезни (и "болезни") есть всегда, но почему-то не все болеют. Если пользователь заранее побеспокоился, то он либо совсем не заболеет, либо проболеет в лёгкой форме. Админ сайта тоже в какой-то мере пользователь. ИМХО.

Вообще - то в данном случае "не болеть" - это пользоваться Гуглом. (Он сайты со зловредами метит). Только обычный Пользователь всё равно не отвечает за то, что Админ сайта через кривой движок заразу хапанул.
Что мешает пользоваться POST вместо GET? Или параметры GET - запроса контролировать? Кстати, методики хака описаны достаточно подробно. Нужно этим интересоваться - только и всего!

[QUOTE='[quote];300106']А смысл, что ктото пишет не думая, а ктото не читая предыдущего. Если ета тема неправильная, создайте свою правильную. А если и в этом для Вас нет смысла, то я не вижу смысла в подобных высказваниях. [/QUOTE]
О! Теперь я вижу, кто пишет не читая. :)

[QUOTE='[quote];300106']Вам то хот понятно, что никто не спрашивает про зараженье сайтов? А вопрос про заражение системы узера при заходе на сайт и кто в етом виноват.[/QUOTE]
Вам-то хоть понятно, что заражение системы юзера невозможно без заражения сайта, на который он заходит? Никак невозможно. Физически. ;)

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=p2u;300148]Будет недоказуемое преступление всё равно. Я уверен, что некоторые места, где переполняются буферы в Windows, например, были вставлены УМЫШЛЕННО с последующими инструкциями по работе в сети, но как это доказать? Если только весь код изучать по определённым признаком, но всё же - прямых улик мы не найдём никогда - будет либо 'баг', либо 'фича'. В эту сказку мы уже научились верить в течение лет 10. И так может случиться, что система обходит сама себя, и все программы защиты НЕ БУДУТ даже знать, что произошло. [/QUOTE]
Если недоказуемое - то какое ж это преступление? ;) Преступником может назвать человека только суд. При наличии железных доказательств. А так - одни подозрения...

[QUOTE=p2u;300148]То, что андерграунд тоже 'пользуется' этими своеобразными 'бэкдорами' уже вторично... [/QUOTE]
Хм... Кто бы пользовался при отсутствии андерграунда?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=Shark;300223]Если не будет дыр в заборе - не будет и желающих ими воспользоваться. А ответственность разработчиков всё - таки имеет место быть. Если бы не было всякого рода уязвимостей - не было бы злоумышленников, которые ими пользуются. Как - то так...[/QUOTE]
С точностью до наоборот: не было бы злоумышленников, никто не пользовался бы всякого рода уязвимостями. :)

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=Shark;300304]Нужно этим интересоваться - только и всего![/QUOTE]
Вот это Вы домохозяйке скажите, что она должна интересоваться чем-то еще вместо того, чтобы зайти на сайт и посмотреть погоду. ;)

[QUOTE=borka;300328] Хм... Кто бы пользовался при отсутствии андерграунда?[/QUOTE]
Очень просто - Заказчик, который потребовал чтобы они были. :)

Paul

В заражении на сайте виноват тот, кто выложил ссылку на зараженный сайт. Прямо, если намеренно. Косвенно, если нет.

а как на счёт тех, кто заразился и вместо того чтобы лечиться заражает (например, по безалаберности) других? Самый виноватый этот тот, у кого самый ранний штам?
Или вина пропорционально дате заражения и карантина?
Теоретически практика и теория сходятся, а практически - нет.
__________________
Невиновность ничего не доказывает: абсолюно невиновных нет, есть только разные степени вины

Решил все-таки проголосовать за "Сам Троян". На остальных действует презумпция невиновности.