Партнер предоставляет нашей компании некий веб-сервис. И мне надо его протестировать. Чтобы кто попало сервисом не пользовался, партнеры нам логин и пароль. Но кроме того спросили, с какой IP адреса мы будем обращаться к сервису.
В принципе, обычная практика, защита ведь должна многоступенчатой. Мало ли что - вдруг у нас украдут пароль? Или наш программист уволиться и унесет с собой. Да и вообще их администратору спокойнее, когда известно: к этому серверу доступ разрешен только с 10 адресов, а всё остальное можно смело рубить.
Вот только одно "но": как я обнаружил, они ограничили доступ только к тестовому серверу, а к живой базе может обращаться кто угодно! Правда, хакерам нужен ещё пароль, но даже и без пароля можно устроить DoS attack.
Я написал вежливое письмо: "Извините, я в этих сетевых делах особо не разбираюсь и не знаю Ваших обстоятельств, но мне кажется, что доступ надо закрыть." Они немедленно так и сделали. Но "спасибо" не сказали. Более того, теперь ко мне относятся с подозрением, как к опасному хакеру.
И это не какой-то мелкий стартапчик в гараже, а огромная контора.
1 комментарий:
Интернет - это ЗЛО!
Отправить комментарий