2011/1/21 Nguyễn Hữu Thành <huuthanh...@gmail.com> > Chào các anh/chị và các bạn, > > Nói về các trang mạng xã hội tập thể thường dùng mã nguồn mở và thuê > dịch vụ "treo" (hosting) để giảm chi phí có ý kiến cho rằng "với cái > open source đang xài,... trước sau gì nó cũng bị đám oắt con tập tành > học hack bóp mũi". > > Họ phân tích kỹ hơn "ở Việt Nam, theo tôi quan sát rất ít người làm > web chú trọng đến vấn đề lập trình an toàn (secure coding) trừ một số > biện pháp hết sức cơ bản để chặn tấn công qua lỗi truy vấn cơ sở dữ > liệu (SQL injection). Trong khi đó bản thân phần core của các open > source chưa chắc đã đảm bảo được kiểm tra kỹ lỗi bảo mật khi lập > trình. ...hiện ở Việt Nam, có Dotnetnuke và Joomla là hai bộ mã nguồn > mở được sử dụng tương đối phổ biến cho các ứng dụng web. Tiếc thay cả > hai bộ này đều có những vấn đề về bảo mật trong các phiên bản trước > đây và chả ai đảm bảo là phiên bản hiện tại không tiềm ẩn nguy cơ nào. > Cá nhân tôi gần đây biết một trường hợp một doanh nghiệp... sử dụng > Joomla phiên bản mới nhất bị tấn công từ chối dịch vụ (DoS) liên tục. > Ban đầu họ... cho là (webmaster) làm chưa giỏi nên qua nhà cung cấp > dịch vụ khác, khi chuyển đi rồi thì tình trạng bị DoS vẫn không cải > thiện được bao nhiêu." > > Nói thêm rằng phân tích trên gần như phản ánh quan điểm của bên > hosting với các trang mạng tập thể dùng mã nguồn mở. Họ đồng ý rằng > bên hosting có trách nhiệm bảo an hệ thống. Còn trang mạng phải tự bảo > vệ mình trong các giao dịch lớp dịch vụ, như chủ nhà tự bảo vệ trước > "khách đểu" đến thăm nhà. > > Xin các anh/chị và các bạn cho vài ý kiến phản biện. Liệu trong trường > hợp thực tế đúng như thế thì các nhà cung cấp dịch vụ hosting có nên > đưa ra tiêu chuẩn chặt chẽ cho khách hàng của mình về công nghệ sử > dụng hay không? > -- > Nguyễn Hữu Thành > _______________________________________________ > POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines > _______________________________________________ > HanoiLUG mailing lists: http://lists.hanoilug.org/ > HanoiLUG wiki: http://wiki.hanoilug.org/ > HanoiLUG blog: http://blog.hanoilug.org/
Secure hay không là do người triển khai và quản trị có làm hay không bác ah. Không ai dám vỗ ngực bảo là ta secure chuẩn và không thể bị đục cả. Đứng trên phương diện một người quản lý an ninh hệ thống tôi thấy, secure code mới chỉ là một chuyện vì ngoài ra ta còn phải: Secure cho môi trường chạy ứng dụng. Enforce policy. Thực hiện định kỳ vulnerability assessment và pen test để đánh giá. Thực hiện monitor, analyze để phát hiện và kịp thời điều chỉnh sao cho phù hợp. Về DDOS và DrDOS thì thật sự rất khó chống mà ta phải kết hợp nhiều biện pháp để giảm thiểu thôi, vd: Traffic shaping DDOS và DrDOS migration ... Ở đây tôi nó là giảm thiểu chứ không phải là chống vì thật sự rất khó chống. Một vài ý kiến là thế các bác ah!
_______________________________________________ POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines _______________________________________________ HanoiLUG mailing lists: http://lists.hanoilug.org/ HanoiLUG wiki: http://wiki.hanoilug.org/ HanoiLUG blog: http://blog.hanoilug.org/
