Názory k článku Web Microsoftu byl hacknut pomocí SQL Injection

ze se nekomui povedlo hacknout stranky M$. Staci se jen podivat na validitu stranek. Furt se chvastaji jak jsou super a nejlepsi firma sveta a neumi nic udelat poradne.

Jen skoda, ze jim nesmazal server nebo data. Snad priste... ;-)

"SQL Injection" nemá co dělat s bezpečností Win Serveru, MSSQL či ASP.NET. Je to prostá programátorská chyba, kterých je v jiných produktech a malých webech po desítkách..

Na gigantickém webu Microsoftu by se to stávat nemělo, ale v těch miliónech stránkách..

"The site took SQL queries of a particular form, embedded in URLs (uniform resource locators), and passed them to a database. By embedding a query with an unexpected form in the requested URL, the hacker prompted the server to return error messages, Halbheer said." -- to je ryzí chyba programátora, asi nějaká 10 let stará neošetřená aplikace...

SQL Injection chyb jsou mraky, třeba i v onom PHP. Viz PHPBB, založené na PHP a stovky jeho chyb za poslední roky a tisíce hacknutých fór.

Ale o to přece jenom jde, když m$ pověří konstrukcí své prezentace na webu nějakou lamku, kdo asi tak může dělat na produktech za které inkasuje imho přemrštěné peníze? Jsou ti lidé tam rozdílní?

Vím že populace blbců je mezi lidmi rozmístěna rovnoměrně a tak bych tohle neoznačil hned jako precedent - ovšem za zamyšlení to stojí.

Prostá programátorská chyba? Dosti alibistický přístup, alespoň pokud se budeme bavit o aplikačním programátorovi co řeší to co byznys potřebuje a měl by mít k dispozici takové prostředky které už budou mít toto ošetřené, které mu dokonce ani bez velké námahy neumožní tam takovou díru vyrobit. Solidní platforma je připravená systemovými programátory tak že je vše defaultně zavřeno a při vývoji se progresivně povoluje jen to co je třeba. Pak se taková věc nemůže dost dobře stát. Takže bych to na problém platformy docela viděl.

Kolik chyb ma v sobe asi F-ART:CMS ?? Vzhledem k mnozstvi objektoveho kodu, ktery radove previsuje kvalitou, kod nekoho jineho, to bude radove vic nez Nucleus CMS.

Mno, já tam objevil, vyjma odkazu na externí reference, o PHP zmínku pouze v příkladu, jak je toto v PHP ošetřeno. Tudíž (opět) plácnutí naprázdno :))

a co jako?
Aspon fkticky neplacam nesmysli...

Proč sem cpete validitu? Co s tím má společného?

"a neumi nic udelat poradne"
Hlavně, že na co Vy sáhnete je dokonalé a bez chyb..

Děkuji že jste vyjmenoval platformy které srovnáváte s enterprise systémem firmy Microsoft, tím jste se sám označil za neobdorníka, chcete-li raději vaším slovníkem, diletanta. Webová prezantace velké firmy jako je Microsoft nemůže fungovat jako nějaká garážovka kde zvítězí čas a funkčnost nad robustností a zabezpečením. Tedy neměla by, ovšem chápu že pokud takový projekt řídí někdo jako vy, dopadne to tak jak to dopadlo. Mějte se pěkně a doufám že vaší práci (pokud někdy nějaká byla dotáhnuta do konce) nepotkám na nějakém projektu.

Platformy? Hm, na Wikipedii je u hesla SQL Injection jmenovitě zmiňován Linux, MySQL a PHP:
http://en.wikipedia.org/wiki/SQL_injection

Takže to fakt budou "platformou". Diletanti by neměli komentovat články...

Člověče, nechtěl byste se nejdříve naučit češtinu? Doporučuji začít u vyjmenovaných slov. Stačila by elementární znalost problému.

Od kdy diletanti maj svuj blog? :o)

SQL injection je samozrejme proveditelne na temer jakekoliv SQL DB pokud obsahuje jeji ENGINE chybu ktera to umozni.

Stacila by elementarni znalost problemu, cimz by se mohla radove zvisit uroven toho co pisete a extremne by se tak minimalizovala moznost ze budete za trumpetu.

Co je zase tohle za blábol. SQL Injection nemá nic společného s enginem databáze - jen využívá chyby při sestavování dotazu, kde se hodnota např. z webového z formuláře použije jako součást sql dotazu.

To je nutné ošetřit v kódu programu (parametrizovaná query) a umožňují to všechny dnešní databázové vrstvy (ADO.NET, JDBC apod.).