понедельник, 16 ноября 2009 г.

Самое слабое звено

Партнер предоставляет нашей компании некий веб-сервис. И мне надо его протестировать. Чтобы кто попало сервисом не пользовался, партнеры нам логин и пароль. Но кроме того спросили, с какой IP адреса мы будем обращаться к сервису.

В принципе, обычная практика, защита ведь должна многоступенчатой. Мало ли что - вдруг у нас украдут пароль? Или наш программист уволиться и унесет с собой. Да и вообще их администратору спокойнее, когда известно: к этому серверу доступ разрешен только с 10 адресов, а всё остальное можно смело рубить.

Вот только одно "но": как я обнаружил, они ограничили доступ только к тестовому серверу, а к живой базе может обращаться кто угодно! Правда, хакерам нужен ещё пароль, но даже и без пароля можно устроить DoS attack.

Я написал вежливое письмо: "Извините, я в этих сетевых делах особо не разбираюсь и не знаю Ваших обстоятельств, но мне кажется, что доступ надо закрыть." Они немедленно так и сделали. Но "спасибо" не сказали. Более того, теперь ко мне относятся с подозрением, как к опасному хакеру.

И это не какой-то мелкий стартапчик в гараже, а огромная контора.

1 комментарий:

Z комментирует...

Интернет - это ЗЛО!

Ratings by outbrain