DS
Что мешает фото левых чуваков пихать
Они ищут фото в поисковиках, вроде
Size: a a a
2020 June 09
A
зевсовая на гитхабе, не пойдет?
таки хватило и зевса)
U
Знакомый CTO задал интересный вопрос, в каких случаях WAF несёт больше отрицательный эффект на проект, чем положительный.
Как сами считаете?:)
Как сами считаете?:)
W
Знакомый CTO задал интересный вопрос, в каких случаях WAF несёт больше отрицательный эффект на проект, чем положительный.
Как сами считаете?:)
Как сами считаете?:)
Когда тот самый waf самописный или давненько без патчей.
И ладно бы самописный, если разработчик не дурак - основных дыр не будет (а всякие редкие или специфичные ошибки надо будет поискать), а вот известный да без патчей - это проблема. Багов уже много, на некоторые зачастую есть готовые инструкции по использованию, даже думать не надо.
И ладно бы самописный, если разработчик не дурак - основных дыр не будет (а всякие редкие или специфичные ошибки надо будет поискать), а вот известный да без патчей - это проблема. Багов уже много, на некоторые зачастую есть готовые инструкции по использованию, даже думать не надо.
P
Знакомый CTO задал интересный вопрос, в каких случаях WAF несёт больше отрицательный эффект на проект, чем положительный.
Как сами считаете?:)
Как сами считаете?:)
Когда банят кавычки вафом (пентестер нашел чтото) при этом ломая большую часть пдф файлов лежащих на серваке. Т.е юзер хочет взять файл, а ваф говорит "пiшов нахуй, тут кавычка"
A
Знакомый CTO задал интересный вопрос, в каких случаях WAF несёт больше отрицательный эффект на проект, чем положительный.
Как сами считаете?:)
Как сами считаете?:)
Когда он в разрыв
W
Когда он в разрыв
Имеешь в виду когда шифрованный трафик смотрит?
A
Ну и это тоже, и когда вместо уведомления он рубит доступ
A
Знакомый CTO задал интересный вопрос, в каких случаях WAF несёт больше отрицательный эффект на проект, чем положительный.
Как сами считаете?:)
Как сами считаете?:)
И когда WAF тормозит работу пользователей
AK
Знакомый CTO задал интересный вопрос, в каких случаях WAF несёт больше отрицательный эффект на проект, чем положительный.
Как сами считаете?:)
Как сами считаете?:)
WAF это классификатор на основе сигнатур. Если ошибка 2 рода у него больше приемлемой — это вред.
DS
Когда тот самый waf самописный или давненько без патчей.
И ладно бы самописный, если разработчик не дурак - основных дыр не будет (а всякие редкие или специфичные ошибки надо будет поискать), а вот известный да без патчей - это проблема. Багов уже много, на некоторые зачастую есть готовые инструкции по использованию, даже думать не надо.
И ладно бы самописный, если разработчик не дурак - основных дыр не будет (а всякие редкие или специфичные ошибки надо будет поискать), а вот известный да без патчей - это проблема. Багов уже много, на некоторые зачастую есть готовые инструкции по использованию, даже думать не надо.
А есть пример, к каким типам дырок бывают инструкции?
AK
И когда WAF тормозит работу пользователей
это если скорость работы пользователей кого-то волнует ))
S
Знакомый CTO задал интересный вопрос, в каких случаях WAF несёт больше отрицательный эффект на проект, чем положительный.
Как сами считаете?:)
Как сами считаете?:)
В автоматизированных интеграциях, где нет доступа FFA, все забетонировано ACL, в т.н. G2G схемах PSP например
S
И когда WAF тормозит работу пользователей
На некоторых сервисах это критично, согласен
A
это если скорость работы пользователей кого-то волнует ))
Ну когда потенциальный клиент заходит на сайт, ждёт условные 5 секунд и уходит к конкуренту, эти моменты бизнес очень волнует
S
Ещё он вреден когда его не обновляют. Эффект плацебо при фактическом попущении дыр на стороне разработки.
A
Ещё он вреден когда его не обновляют. Эффект плацебо при фактическом попущении дыр на стороне разработки.
Думаю это можно отнести ко многим вещам-dlp, siem, антивирусы и так далее
S
Самое эпичное что я видел, это после аудита полностью нерабочий WAF, при формальном его наличии... Конфиг был настолько несобранным, что он ничего не делал.
A
По бумагам есть, значит всё в безопасности
S
Да