В очередной раз мы пишем о необходимости обновления CMS «1С-Битрикс» и хакерских атаках. Наверняка, у кого-то возникнет вопрос: А почему нельзя сразу закрыть все «дыры»? Почему «1С-Битрикс» постоянно выкатывает новые обновления, говоря о том, что повысили безопасность? Отвечаем.
- Исправляют то, что находят. А что не находят – не исправляют.
- Нельзя защитить от того, что ещё не существует (хакеры тоже развиваются и находят новые способы атак).
При этом:
- Чем больше кода – тем больше недочётов.
- Чем сложнее механизм – тем больше потенциальных проблем.
Отвлечённый пример:
- Купил сейф – вскрыли замок;
- Купил сейф с очень сложным механизмом замка – спилили петли;
- Сейф с мощными петлями – просверлили через заднюю стенку;
- Толстенные бронированные, что резать часами – украли весь сейф и не спеша вскрыли;
- Вбетонировал его в стену и сделал монолитом – встретили у выхода и стукнули по голове, забрав ключи;
- Поставил охрану – подкупили охрану и те украли и т.д.
Так и с сайтами:
- Есть уязвимости, которые ошибки кода «Битрикса»;
- Есть уязвимости, которые ошибки кода доработок;
- Есть уязвимости из-за особенности функционала;
- Есть недокументированные возможности, о которых никто и не подумал при разработке;
- Есть уязвимости ПО, которое обслуживает сайт (nginx, apache, php, операционной системы, ssh, ftp и т.д.);
- Есть человеческий фактор (например, простые и слитые пароли);
- Есть украденные пароли с взломанных пользовательских учёток, спуфинга;
- Есть недобросовестные люди.
И кроме того:
Есть те, кто от скуки или по работе постоянно ищут уязвимости, либо чтобы исправить, либо чтобы поднять ЧСВ, либо чтобы продать/использовать и т.д.
