Chyby vo webových aplikáciách sa opravujú o tretinu rýchlejšie

Značky: bezpečnosťweb

DSL.sk, 10.2.2014

Tvorcovia webových aplikácií, dodávaných ako softvér a používaných na mnohých weboch ale tiež navštevovaných vlastných webov a služieb, v uplynulom roku opravovali bezpečnostné chyby po nahlásení priemerne o približne tretinu rýchlejšie ako v roku 2012.

Naznačujú to štatistiky bezpečnostnej spoločnosti High-Tech Bridge vytvorené z dát o opravách 126 bezpečnostných zraniteľností, ktoré táto spoločnosť identifikovala a nahlásila tvorcom aplikácií.

High-Tech Bridge identifikuje bezpečnostné chyby najmä vo webových aplikáciách používaných na mnohých weboch, ako sú najmä content management systémy WordPress a Joomla. Chyby identifikovala ale tiež v menších CMS, pluginoch pre CMS a webových aplikáciách prevádzkovaných iba ich tvorcom.

Priemerná doba vydania aktualizácie dosahovala v uplynulom roku 18 dní, pred rokom to bolo 27 dní. U najvážnejších kritických chýb sa priemerná doba vydania aktualizácie skrátila o 35% zo 17 na 11 dní. U zraniteľností označených druhým najvážnejším stupňom sa znížila len o 8% z 13 na 12 dní.

Najviac percentuálne sa tvorcovia zlepšili u chýb so strednou závažnosťou, o 55% z 29 na 13 dní. U chýb s nízkym rizikom sa zrýchlila doba vydania aktualizácie o 27% zo 48 na 35 dní.

Najčastejšími typmi chýb sú s 55% Cross-Site Scripting chyby a s 20% SQL injections chyby. Takéto chyby sa ale nachádzajú najmä v novších aplikáciách zatiaľ dostatočne nepreverených po bezpečnostnej stránke, vo vyzretejších aplikáciách ide najmä o chyby typu Cross-Site Request Forgery a User Identity Spoofing.




Najnovšie články:



Diskusia:

asasdasd Od: Komunista | Pridané: 10.2.2014 10:14 Lebo wšetko je na vebe, kým sa to nezjebe... Odpovedať Známka: 8.8 Hodnotiť:

Re: asasdasd Od: 2Maniak. | Pridané: 10.2.2014 10:32 Na webe je toho zatiaľ veľmi málo... Na VéBé toho mávali viacej. Odpovedať Známka: 7.0 Hodnotiť:

Re: asasdasd Od: 6aaaaaa | Pridané: 10.2.2014 13:32 na webe je toho cim dalej tym menej. vsetko kvalitne spoplatnilo piano Odpovedať Známka: -2.7 Hodnotiť:

Re: asasdasd Od reg.: Sheer Mirage | Pridané: 10.2.2014 18:49 "Kvalitné SME" - aký fajný oximoron. Odpovedať Známka: 3.3 Hodnotiť:

Re: asasdasd Od: uffffff | Pridané: 10.2.2014 20:02 nezvyknem to robit, ale ked nevies ani napisat spravne slovo Oxymorom, tak to radsej nepis, lebo to bije do oci ako ciganovi zelezny dekel z cesty... Odpovedať Známka: 5.0 Hodnotiť:

Re: asasdasd Od reg.: Sheer Mirage | Pridané: 10.2.2014 23:10 A ty keď nevieš človeka na chybu upozorniť normálnym spôsobom, tak tiež radšej nič nepíš. Odpovedať Známka: -3.3 Hodnotiť:

Re: asasdasd Od: sensei-san | Pridané: 11.2.2014 8:40 Hlavne, že ty si ho napísal správne. Odpovedať Známka: 5.0 Hodnotiť:

Re: asasdasd Od: opeain | Pridané: 12.2.2014 7:06 Zebrak Odpovedať Hodnotiť:

Re: asasdasd Od reg.: zaezae | Pridané: 10.2.2014 12:54 no mna najviac pobavil Karpeles. emtekoks roby zmeni v kode priamo do produkcneho kodu. Nemaju ziadny testovacie prostredie vsetko sa robia live. Darmo ked cely endzin je napisany v PHP. Maju napisanu vlastnu penazenku a zle naimplementavali blokcajn protokol a preto su problemy s vyberanim bitkoinov. To nehovorim o vyberani eur a dolarou. Odpovedať Známka: -5.0 Hodnotiť:

Re: asasdasd Od: quix_ | Pridané: 10.2.2014 13:16 "Darmo ked cely endzin je napisany v PHP." wtf? a co to s tym ma? Odpovedať Známka: -2.0 Hodnotiť:

Re: asasdasd Od reg.: zaezae | Pridané: 10.2.2014 14:52 no ze je to jednoduche nie ako s kompilovanimi jazikami Odpovedať Známka: -6.0 Hodnotiť:

Re: asasdasd Od: harkonen | Pridané: 10.2.2014 15:13 mne sa zda ze aj ty si naprogramovany v php Odpovedať Známka: 8.7 Hodnotiť:

Re: asasdasd Od: quix_ | Pridané: 10.2.2014 16:51 to s jazykom nema ani trt spolocne. ked nie si schopny mat vyrieseny CI, tak to niekto vzdy odserie a bohuzial casto to moze byt konecny pouzivatel. Odpovedať Známka: 5.0 Hodnotiť:

Re: asasdasd Od reg.: zaezae | Pridané: 10.2.2014 17:15 ucite ze ma. PHP je sracka v nom programujes blogi nie trejding engini Odpovedať Známka: -2.5 Hodnotiť:

Re: asasdasd Od: 6aaaaaa | Pridané: 10.2.2014 19:19 skor by som povedal, ze php je dakus bordel. sa naosetrujes, az kym ti z toho neprepne... Odpovedať Hodnotiť:

Re: asasdasd Od: quix_ | Pridané: 11.2.2014 8:48 a vom by zlaticko programovalo "trejding engini"? c#? v php by som to urcite nepisal ani za boha ale nepaci sa mi, ze sa ides tvarit ako keby ich neschopnost bola chyba jazyka. php je napisane fakt hrozne ale stale je to celkom slusne pouzitelny a rychly jazyk. a ty sa prosim ta nauc pisat slusne nie ako pica Odpovedať Hodnotiť:

Re: asasdasd Od: 6aaaaaa | Pridané: 10.2.2014 13:30 kkcina a ani to nie je vtipne... Odpovedať Známka: 5.6 Hodnotiť:

leboooo Od: 6aaaaaa | Pridané: 10.2.2014 13:35 lebo na WP, Joomla, ... robi X koderov pocas volnych vikendov. ale co s tymi, ktorym sused Pista webdizajner (od vcera, co mu zapojili net) nahodi Joomlu s priadnym skinom a 5r ju neaktualizuje? --------- inak nie su tie CMS nejako barz pomale?? Odpovedať Známka: 2.0 Hodnotiť:

Re: leboooo Od: vitazoslav conka | Pridané: 10.2.2014 14:07 preco by mali byt pomale ? nemas pomale pripojenie ? Odpovedať Známka: -10.0 Hodnotiť:

Re: leboooo Od: 6aaaaaa | Pridané: 10.2.2014 19:21 nemam. alebo zeby som mal pomaly prehliadac? ...na vsetkych pc kde robim? neexistuje Odpovedať Hodnotiť:

Re: leboooo Od: prdlajs | Pridané: 10.2.2014 15:09 Lenze skus dat aktualizaciu WP alebo Joomly a v lepsom pripade ti stranka zostane ako-tak funkcna. Preto to skoro nikto neaktualizuje. Ked si raz klientovi nieco dodal, tvoj zaujem je, aby to tak fungovalo nadalej, lebo nemas cas dalsich 5 rokov riesit vyvolavajucich klientov, ze im to po aktualizacii rozhodilo layout, alebo (co sa mi uz par krat stalo) uplne zbori celu stranku. Klientovi darmo budes vysvetlovat, ze ta chyba je popisana v dokumentacii a nie je na nu poriadny workaround, oni to proste chcu mat stale funkcne. A ked to nie je funkcne, rozsiria ti zle meno, co je uplne posledna vec, co by si chcel. Lebo potom mozes akurat tak zuvat rozky s Tesca s vodou. Odpovedať Známka: 10.0 Hodnotiť:

Re: leboooo Od: quix_ | Pridané: 10.2.2014 16:55 a preto treba klientom zobrat moznost to dokurvit pri aktualizacii alebo pouzivat vlastne riesenie/framework/"platformu" o ktorej vyvojari aspon tusia ako funguje. ja vzdy nadavam na stare instalacie drupalu.. vzdy ked vidim niekde aktualizaciu na core tak sa toho tak neobavam ako aktualizacie roznych modulov, ktore boli uz v case tvorby "projektu" zastarale alebo v beta verzii. Odpovedať Známka: 10.0 Hodnotiť:

Re: leboooo Od: 6aaaaaa | Pridané: 10.2.2014 19:24 nj, to mi pripomina, ako som 1h vysvetloval kamaratke, ze windows sa neopravuje ale reinstaluje. a ona ma pritom zavolala na jahody... Odpovedať Známka: 3.3 Hodnotiť:

Re: leboooo Od: 6aaaaaa | Pridané: 10.2.2014 19:33 s tymi CMS nerobim, dokonca priznam, ze som len pred mesiacom videl admin demo, ked som hladal background color pre jeden obrazok :)) jedinu skusenost mam so Zend framework a aj to som lutoval ze som zobral, ked som zakaznikovi musel tyzden vysvetlovat, preco rozsirenie portalu stalo viac ako jeho cela vyroba (kedze sused Pista webdizajner to po polroku vzdal a siel do t-systems) Odpovedať Hodnotiť:

Pridať komentár