Mendel

Бытует мнение, что разграничение доступа это панацея. К примеру часто вебмастера ставят форум на поддомен, в надежде что возможные уязвимости форума не повредят безопасности других частей портала.
Однако так ли это?

Такие методы защиты очень часто идут во вред, а не на пользу...
Они расслабляют.
Чуток позанудствую, и напомню классику:
многие уязвимости позволяют слить базу паролей...
Это бывает редко одна уязвимость, но в паре с другой относительно безобидной уязвимостью, она дает таки ее слить...
Да это банально, именно поэтому все уважающие себя движки хранят пароли в md5 или любом другом необратимом виде, и даже в куках нет ничего, что можно было бы обратить...
НО! можно попросить пользователя ввести пароль заново... это не вызовет подозрений, ибо мы находимся на правильном сайте... очень мало кого это испугает, да и тот кого испугает панику на форуме поднимать не станет... итак база паролей форума слита...
более 90% пользователей используют одинаковый пароль для форума и для системы к которой он прикреплен...
т.о. 90% уже дали нам доступ к основной части сайта...
далее 10-20% пользователей (в зависимости от продвинутости аудитории) используют одинаковые пароли везде где это возможно... еще около 30% используют относительно однотипные пароли, с небольшими модификациями, которые или анализируются, или банально брутятся...
т.о. мы получаем доступ к аккам сапы или других околотематических двигов, к почтовым ящикам и прочим сервисам у примерно 40-50% пользователей форума...
имея доступ к мылу во многих системах можно сменить кошельки вывода и тп относительно незаметно (проверть свои данные мало кто будет, а письмо мы в почте удалим).... если человек оптимизатор, и тратит много в сапе, то можно поменять кошель для вывода, и он этого не заметит, ибо не выводит... и выводить "по чуть чуть" каждый день..
если человек чисто вебмастер, и не покупает в той же сапе ссылки, то можно процентов на 10 от его дохода их покупать...
уверяю что больше трети пользователей заметят, что у них в поле "расход" появились какие-то цифры месяца через три-четыре.... гораздо позже чем заметят залитые на их сайты невидимые ссылки...
нет, ссылки конечно же будут на доры, ну кто ж будет ворованное ссылочное на себя лить...

Есть только одна причина, почему такие вещи делаются редко - такие трюки под силу только хорошим спецам, в основном старой школы... а такие как правило или в глубокой завязке, или грабят банки и меньше чем на миллионы не размениваются... но лично для меня такое мало утешает

__________________
подпись

Kanisares

Да уж, Mendel. Вы меня напугали, хотя и утешили тоже, на счет старой гвардии...