Hvor er webutvikler-yrket på vei?

Nutz

Med lem
adeneo skrev:
På den andre siden er det vel slik at dersom noen sitter å hakker på edb apparatet sitt og kommer over ett sikkerhetshull i WP, så har man plutselig tilgang til ørten trillioner zillioner sider med dette sikkerhetshullet, motivasjonen for hakkere er dermed langt større for å finne sikkerrhetshull i WP enn i en eller annen sær løsning laget av en nettstedsutvikler, regnbuemaker, skriptterapaut eller hva det nå kalles.
Det at hvem som helst kan laste ned WP og alle tenkelige plugin's gjør også at det er lettere for slike hakkere å finne slike smutthull ettersom de har enkel tilgang på koden, noe som ofte er litt verre med spesialtilpassede løsninger.

Min oppfatning er at man kan komme unna med relativt store sikkerhetshull i en hjemmespikket løsning uten at noen nødvendigvis klarer, eller har noen stor glede av, å finne disse sikkerhetshullene. Mens et sikkerhetshull i WP eller en populær plugin temmelig sikkert blir funnet og utnyttet rimelig raskt. Og jeg hevder ikke med dette at man bør la sikkerhetshull være i fred bare fordi det er lite sannsynlig at noen finner de, de bør uansett tettes, men bare mine 2¢ !!!
Har du tenkt over hvorfor det finnes store stimer med fisk, og flokker med fugler?
Vel, kan overføre samme overlevelsesstrategi til WP, antallet potensielle "ofre" er "trillioner", men det er ikke mange angrep på den enkelte som skal til før hele flokken er varslet.
De som holder seg oppdatert vil få hullene identifisert/isolert og evt. fikset etter en stund.

Dette med åpen kildekode slår begge veier, kjappere for inntrenger å finne hull dersom han har tilgang på kildekode, men også kjappere for de enkelte brukere å tette hullene.
Etter det jeg vet, så er det ikke frigitt noen kildekode til Windows, men du-verden så mange hull som blir oppdaget av eksterne, og ikke blir tettet før MS får ut finger'n..
Skrekkeksempelet er Adobe egentlig.. Flash og PDF har vært et mareritt. Der tetting av kjente hull har blitt drøyd i det ulidelige.
 

TorsteinO

Art Director & grunder
Har du tenkt over hvorfor det finnes store stimer med fisk, og flokker med fugler?
Vel, kan overføre samme overlevelsesstrategi til WP, antallet potensielle "ofre" er "trillioner", men det er ikke mange angrep på den enkelte som skal til før hele flokken er varslet.
De som holder seg oppdatert vil få hullene identifisert/isolert og evt. fikset etter en stund.

Dette med åpen kildekode slår begge veier, kjappere for inntrenger å finne hull dersom han har tilgang på kildekode, men også kjappere for de enkelte brukere å tette hullene.
Etter det jeg vet, så er det ikke frigitt noen kildekode til Windows, men du-verden så mange hull som blir oppdaget av eksterne, og ikke blir tettet før MS får ut finger'n..
Skrekkeksempelet er Adobe egentlig.. Flash og PDF har vært et mareritt. Der tetting av kjente hull har blitt drøyd i det ulidelige.

Helt sant. Men samtidig skal du også huske på at det

a) er veldig mye værre å finne et sikkerhetshull i noe der du ikke aner noe som helst om koden bak
b) langt over 99% av alle angrep mot WP-drevne sider blir gjort av scriptkiddies som egentlig ikke aner hva de driver med og ikke ville ha snev av sjanse til å finne på disse angrepene selv

med andre ord - bare det å kjøre en "ukjent"/spesiallaget løsning er faktisk en viss sikkerhet i seg selv. Er denne løsningen i tillegg laget nogenlunde ordentlig i utgangspunktet, så blir ting raskt ganske mye tryggere. Prisen for dette er selvsagt at man må betale for all utvikling/testing/osv selv.
 

Nutz

Med lem
De samme "script-kidsa" finner du også med avanserte verktøy for "blind hack attac's" ..
Er ikke lenger så veldig avhengig av tilgang til kode for å finne hull, med kjente "metodiske sårbarheter" (pøser på med hudrevis av exploits) som er universelle, dersom programmerer har glemt en ørliten detalj i filtreringen av input, så er han "solgt" uavhengig av scriptets navn.
I prinsipp funker det like godt mot cPanel, phpMyAdmin, som WP og Joomla og andre spesiallagede CMS.

Og da er det godt at fellesskapet er såpass stort og rapporterer tilbake til utviklere med evt. logg.
 

TorsteinO

Art Director & grunder
Det er helt sant pong, til en viss grad, men apache/mysql/php osv oppdateres ikke på langt nær så ofte som wp, spesielt ikke som wp kombinert med en bøtte plugins, og dermed minsker problemene dramatisk. Samtidig er jo også dette noe som i stor grad er webhostens oppgave.

nutz: samtidig er jo det der en ren huskeliste for utviklere for hva som må tettes, og igjen: Så lenge det ikke legges til nye funksjoner titt og stadig, så vil problemene bli færre og færre i en spesialtilpasset løsning - og fremdeles er jo problemene langt på vei løst hvis alt gjøres skikkelig i utgangspunktet.

Så, jeg vil nok fremdeles si at alt har fordeler og ulemper
 

Nutz

Med lem
Ja, fordeler og ulemper med begge "løsninger"..
Citibank har mistet et utall med kontoinfo nå i det siste..
Info fra så mange som en million forskjellige kontoer er på avveie..
Vil anta at Citibank ikke kjører noe standard opplegg. Tror jeg ville vært veldig forsiktig med å bruke sikkerhet som salgsargument dersom jeg var "PHP-koder" hvis jeg ikke hadde annet enn et dyrt NKS-brevkurs og noen simple Online-kurs fra W3schools eller tilsvarende.
En ensom sjel kan ikke ha denne kapasiteten med å være oppdatert på alt. -Det er "team-work"-mat.
 

adeneo

Medlem
Da er vi vel litt over på det med hva som er interessant å hakke igjen.
Citibank er et populært mål, det samme er WP, av den enkle grunn at så mange benytter det, mens den spesialtilpassede løsningen til f. eks. Toten Kamelutleie er for de fleste hakkere helt uinteressant å bruke tid på.

Hva med den dagen noen utvikler en bendelorm som angriper alle WP sider gjennom et sikkerhetshull?
Sier ikke at dette nødvendigvis kommer til å forekomme(selv om det faktisk har forekommet for noen år siden), men dersom noen lager noe slikt kan vedkommende nå ta ned svært mange nettsteder ved kun å finne ett enkelt hull i koden.

Det høres forøvrig ut som WordPress er utviklet av Microsoft med alt dette snakket om team work og samlet kunnskap osv.
Automaticc hadde for rundt ett år siden i underkant av 30 "ansatte", den siste utgaven av Wordpress har 180 bidragsytere totalt, noe som er mikroskopisk for Open Source å regne.
MicroSoft har til sammenligning rundt 150K fulltidsansatte med lønn, og Google rundt 26K, uten at dette garanterer at produktet blir noe bedre av den grunn.

Automaticc er etter min mening en pytteorganisasjon som består av til dels frivillige bidragsytere, og produktet gis bort gratis.

Det kan forøvrig ikke sammenlignes med Mozilla eller Google, da de faktisk tjener svært gode penger på annonser(Google) og sponset søkefelt(Firefox) osv.

Man kan forøvrig lese mer alle medarbeiderne til Automaticc her, for de som er spesielt interesserte.
 

Nutz

Med lem
Vel, dette med Citibank var et lite eksempel på at man ikke er avhengig av tilgang på kildekode for å krølle til for noen..
Selv om det "bare" er 30 ansatte i Automattic, så er det 29 fler enn en stakkar som skal gjøre alt.. Større sjans for noen av de har spesialisert seg nettopp på sikkerhet, som i fred og ro kan gå igjennom scriptet med tanke på å avsløre hull..
Microsoft og Google stiller i en helt annen gruppe enn WP-teamet, det er typiske pengemaskiner og har mange produkter, der godt over halvparten av staben driver med økonomi, salg og juridiske ting.. -Altså ikke-relevante ting når det er prat om utvikling av "script og programmer".
 
Topp