Есть ли безопасным Уанет?

Ответ на вопрос поставленный в заглавии достаточно банальная: нет, Уанет не является безопасным. Это хорошо видно по моим новостям и найденным мной уразливостям, о которых я пишу у себя на сайте websecurity.com.ua Более интересен другой вопрос - или изменится ситуация с безопасностью в ближайшее время? В этом у меня есть некоторые сомнения и для этого приведу вам наглядный пример.

Сегодня началась (и будет проводиться 27 и 28 марта) конференция UA WEB 2008 - первая украинская конференция для веб разработчиков. И я желаю конференции, ее организаторам и всем докладчикам успеха. В данном случае рассмотрим отмеченную конференцию в контексте безопасности.

Поднимаются ли на конференции вопроса веб безопасности? Почти совсем не поднимаются. И это привычная ситуация, я уже давно обращаю внимание, что все Интернет-ориентированные конференции в Украине совсем не уделяют внимание безопасности. В данном случае ситуация подобна - тема безопасности не вынесена как отдельное направление и слова “безопасность” вы в названиях докладов не увидите .

Среди шести категорий докладов два доклада, которые касаются безопасности, были отнесены к категориям “Серверная часть, базы данных, системы управления контентом” и “Тестирование”. Но тестирование сайта и аудит безопасности сайта - это принципиально разные вещи, а категория “Серверная часть” также лишь опосредствовано связанная с безопасностью. И потому безопасность нуждается в отдельной категории и детальном рассмотрении. Всего связанными с безопасностью будут два доклада: “Тестирование Уязвимости Вебсайтов и Web-приложений” и “Теория и практика CAPTCHA-защиты интерфейсов”. Но даны доклады лишь частично (лишь по некоторым направлениям) описывают современные проблемы с безопасностью в Интернете, что видно по их тезисам. Потому в целом современное состояние веб безопасности не будет рассмотрено.

Из своей стороны я еще в прошлом году написал организаторам конференции и запронував свою тему для выступления -, чтобы рассказать о современном состоянии безопасности в Уанети и Интернете. Но ответа не получил. Совсем им не интересная дана тема (что хорошо видно по финальному расписанию конференции). Более того сам сайт конференции уязвим (что является привычным явлением для сайтов конференций, как можно увидеть из моих новостей). На сайте имеет место Persistent XSS уязвимость. И я еще в прошлом году сообщил об этом админам. Но ни одного ответа не получил и дыра поныне так и не была исправлена. Так что тема безопасности та безопасность собственного сайта организаторов конференции совсем не интересует.

Исходя из вышесказанного, еще раз повторю риторический вопрос: изменится ли ситуация с безопасностью в Уанети в ближайшее время? С подобным подходом, как в случае конференции UA WEB, наврядчи что-то изменится на лучше. Но незвачаючи на апатию в Уанети к вопросам безопасности, из своей стороны я ежедневно работаю для улучшения безопасности в Сети. Потому изменения на лучше будут обязательно, лишь сроки этого процесса направления зависят от общественности.