php/archived-doc-ru
1
0
Fork 0
mirror of https://github.com/php/doc-ru.git synced 2026-03-23 23:32:16 +01:00
Code Issues Packages Projects Releases Wiki Activity
Files
master
archived-doc-ru/security/general.xml

70 lines
4.8 KiB
XML
Raw Permalink Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
<?xml version="1.0" encoding="utf-8"?>
<!-- EN-Revision: 96c9d88bad9a7d7d44bfb7f26c226df7ee9ddf26 Maintainer: shein Status: ready -->
<!-- CREDITS: young -->
<!-- Reviewed: no -->
<chapter xml:id="security.general" xmlns="http://docbook.org/ns/docbook">
<title>Общие соображения</title>
<simpara>
В каждой системе встречаются уязвимости, поэтому в сфере безопасности
традиционный подход часто состоит в балансе между риском и удобством.
Разработчик поддерживал бы чрезмерный уровень безопасности,
если бы каждая переменная, которую отправил пользователь, требовала двух форм
биометрической проверки: сканирования сетчатки глаза и отпечатков пальцев.
Потребовалось бы полчаса на заполнение сложной формы,
которая побудила бы пользователей на поиск способов обойти защиту.
</simpara>
<simpara>
Взвешенная защита часто ненавязчива: она одновременно поддерживает
достаточный уровень безопасности, не мешает пользователю работать
и не перегружает автора кода чрезмерной сложностью. Отдельные атаки
на системы безопасности совершают только за счёт брешей в таких системах
с чрезмерной защитой, которая постепенно разрушается и становится уязвимой.
</simpara>
<simpara>
Пословица, которую лучше бы запомнить: где тонко, там и рвётся — надёжность системы
зависит от надёжности самого слабого звена.
Связь записей лога транзакций с пользователями сильно снижается,
если тщательно логируется время каждой транзакции,
место, тип операции и другая информация о транзакции,
но пользователь проверяется только на основе одного блока cookie.
</simpara>
<simpara>
Разработчики знают, что тестирование не выявит каждую уязвимость,
даже при проверке простейших страниц. Предполагаемые входные данные
не будут соответствовать вводу, который отправил недовольный
сотрудник, взломщик с месяцами свободного времени или домашний кот, который
ходит по клавиатуре.
Поэтому на код лучше посмотреть логически, чтобы увидеть, где введут неожиданные данные,
а затем проследить, как данные изменяются, сокращаются или дополняются.
</simpara>
<simpara>
В интернете часто ищут славы за счёт
взлома кода, разрушения сайта, публикации неуместного материала
или другими способами делают день разработчика «интереснее». Неважно, идёт речь
о маленьком сайте или о портале, сервер становится мишенью только потому
что доступен для подключений. Программы-взломщики не смотрят на размер,
а слепо перебирают IP-адреса в поисках жертвы. Разработчики следят за безопасностью кода,
чтобы предотвратить попытки злоумышленников обойти защиту.
</simpara>
</chapter>
<!-- Keep this comment at the end of the file
Local variables:
mode: sgml
sgml-omittag:t
sgml-shorttag:t
sgml-minimize-attributes:nil
sgml-always-quote-attributes:t
sgml-indent-step:1
sgml-indent-data:t
indent-tabs-mode:nil
sgml-parent-document:nil
sgml-default-dtd-file:"~/.phpdoc/manual.ced"
sgml-exposed-tags:nil
sgml-local-catalogs:nil
sgml-local-ecat-files:nil
End:
vim600: syn=xml fen fdm=syntax fdl=2 si
vim: et tw=78 syn=sgml
vi: ts=1 sw=1
-->
Reference in New Issue View Git Blame Copy Permalink