Tvorba webů / Bezpečnost webů

HackForum

Tvorba webů / Bezpečnost webů#
Ahoj.

Zajímalo by mě, jak vy (myslím zkušenější v oblasti bezpečnosti) vidíte trh práce. Chtěl bych vědět, jestli je v dnešní době (a hlavně v nejbližší budoucnosti) dobré (=lukrativní), soustředit svou snahu a energii právě na to, jak zabezpečit weby a dělat tuto činnost např. na živnosťák. Nic jiného, jen testy a případné záplaty.

Či je to nereálný sen a lepší by bylo spíš „vyrábět” weby s vyšším zabezpečením.

Což evokuje další otázku - není trh s weby, myslím tím nějaké bohatší aplikace, přesycen na to, začínat teď od nuly?
(odpovědět)
wongie | 90.180.236.*3.7.2012 21:27
re: Tvorba webů / Bezpečnost webů#
To jsou to opravdu tak stupidní otázky, že nikdo neodpoví :-/? Nebo nikdo není zkušenější v oblasti bezpečnosti?
Díky za „jakékoliv” myšlenky.
(odpovědět)
wongie | 90.180.236.*4.7.2012 22:34
re: Tvorba webů / Bezpečnost webů#
Dělat něco jen s vidinou finančního obohacení je přímá cesta do pekel. Člověk se nejdřív oboru musí věnovat s láskou a nadšením, a pokud má výsledky, pak může pomýšlet na zisk.

Pokud ti jde čistě jen o finanční záležitosti, doporučuju ti studium ekonomie a následně se protlačit na nějakou manažerskou pozici. Jak už je českou praxí a zvykem, i když všechno posereš, dostaneš pár set tisíc nebo několik milionů odstupného a za rok tě zase vezmou zpět na ještě vyšší pozici.

A co se týká tvého uvažování: Pokud by se každý ptal stejně jako ty, ještě dnes bychom žili na stromech.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website5.7.2012 0:05
re: Tvorba webů / Bezpečnost webů#
Beru to čistě z „podnikatelského hlediska”.
Myslíš si snad, že do každé práce musí být člověk zažraný a naprosto ji milovat, a nebo může dělat co má rád ale zároveň přemýšlet o penězích? Tu první variantu si snad nemyslel, protože to by SPOUSTA podniků neexistovala a možná by právě lidi lezli po stromech, protože by je to bavilo.

Neptám se přeci na věc typu „chci být bohatý hacker, doporučte link”. Námaha a úsilí jsou jasné, jen nechci dopadnout jako spousta „manažerů”, kterého si mi doporučil:
„Hmm, studuju management na VŠE, až vylezu budu velký zvíře.” A potom: „Aha, ono nás je 5000”.

Prostě mě zajímalo, jak je na tom trh v tomto ohledu, čekal jsem že se třeba někdo zdejší něčím podobným živí a zkusí mi popsat reálnou situaci, jak to vypadá a jaké jsou vyhlídky do budoucna. Proto si opravdu nemyslím, že by má otázka byla zas tak dementní a nezodpověditelná (i když, to si myslí každý). Pokud ano, pak se omlouvám.

Přesto díky za odpověď.
(odpovědět)
wongie | 90.180.236.*5.7.2012 0:23
re: Tvorba webů / Bezpečnost webů#
pravdou je, ze bez lasky, nadseni v oboru nemas sanci byt uspesny - vzhledem k tomu, ze do toho musis nejprve par let investovat bez navratnosti. a musi to byt opravdu s nadsenim.

takze odpoved: ne, pro lidi takhle smyslejici ne.

sezen si tabulky platu, a jdi delat to, za co je dost penez. ;)
(odpovědět)
gfr | 94.113.1.*5.7.2012 15:22
re: Tvorba webů / Bezpečnost webů#
Vidím, že podnikatelský duch tu opravdu vzkvétá :-).
Nemluvím přeci ani o tom, že bych to chtěl dělat já sám. Cením si vašich rad, máte ve všem pravdu, ale já se ptal na to, v jakém stavu se nachází současný trh, jaké jsou možnosti. Asi bylo chybné myslet si, že tu je někdo ne až tak focusnutý na technologie a analytické myšlení. Trošku nadhled, pánové.

Díky
(odpovědět)
wongie | 90.180.236.*5.7.2012 16:29
re: Tvorba webů / Bezpečnost webů#
Pokud hodláš dávat na rady a názor jiných, nejsi dobrý podnikatel. Jinak pro pentesty potřebuješ mít celý zástup expertů na různé oblasti. Není to jen o tom, že otestuješ, jestli není na webu SQL injection, XSS nebo RFI. Je to o nastavení operačního systému na serveru,běžících službách, nastavení a segmentaci sítě a hromadě dalších věcí. Základní vklad? Pokud nejedeš sám na sebe a chceš někoho zaměstnávat, začni šetřit, protože tohle ti nikdo za dvacet tisíc dělat nebude.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website5.7.2012 23:00
re: Tvorba webů / Bezpečnost webů#
OK. Takhle nějak jsem si odpověď představoval. Takže ten trh u nás existuje (ve smyslu že má smysl na něm začít podnikat), ale je to velmi komplexní a náročný obor.

Šlo mi však víc o to, jak je tenhle trh nasycen. Ale to je asi určitě nad rámec diskuze na Soomu.

A k těm radám a názorům ostatních si troufám rezolutně nesouhlasit! Není právě tohle jedna ze základních částí například investorského vkladu do firmy? Nechat si poradit někoho kdo tam, kam směřujeme, byl nebo je? Myslím že rada od věci znalého člověka (např. tebe) je k nezaplaceni!

Díky
(odpovědět)
wongie | 90.180.236.*5.7.2012 23:11
re: Tvorba webů / Bezpečnost webů#
Zdar,

podelim se tady s tebou o svoje poznatky, ktere jsem pracne sbiral jako pentester v ruznych spolecnostech i "sam na sebe" pres 7 let. Vsichni semnou nemusi souhlasit / mohou mit jine zkusenosti, ale tak to uz v zivote byva :)

Dle meho je trh okolo security v CR nasycen dostatecne. Situace je vsak takova, ze "velke ryby" ke kterym by jsi se jako podnikatel rad dostal, protoze plati nejvic (banky, pojistovny, statni instituce) jsou uz rozebrane od velkych konzultacnich firem. U velkych konzultacnich firem je to stejne, jako se znackovym oblecenim. Zakaznim tam plati za tu znacku, ikdyz kvalita je casto nizsi, nez by byla schopna dodat nejaka "garazovka". Manager firmy, ktera zadavala poptavku se pak muze ohanet papirem na poradach a rikat : "chlapi, tohle musime dokoupit/predelat, je to nutne a navic mam papir od lidi, co jsou v tom fakt spicky".

Ironii je, ze to samozrejme byt spicky nemusi, ale maji razitko, co ma vybudovanou tradici a respekt.

Co je IMHO uplne nejhorsi, je ceska mentalita ohledne security. Cesi k tomu pristupuji asi tak:

"Proc bych ted daval 250 000 KC za test bezpecnosti, kdyz to stejne nebude nikde videt, radeji si za ty prachy necham naprogramovat novy produkt a ten mi potom bude generovat zisk". Je to smutne, ale je to tak :) Ty lidi nezajima, ze tou investici muzou predejit poskozeni povesti/ financnim ztratam/ krachu.

Takze za me, poustet se v tuhle dobu do oblasti kolem pentestu jedine, jestli mas na zacatek nejake "kamarady", kteri ti jsou schopni dohodit par prvnich kseftu. Pak se ti to bud povede a rozjede se ti to, nebo ne.

Take zalezi, jak kolosalni vydelek by jsi si predstavoval. V pripade, ze nemusis vydelavat desitky milionu mesicne, tak ti staci mit 3 - 4 stredni firmy, ktere budou trvalymi zakazniky. Pentesty by se mely opakovat min 1x za 4 mesice, nebo po nejake majoritni zmene v produktu. Kdyz si to spoctes, tak to mas 16 kseftu do roka, teda 1,3 za mesic. Kdyz si budes rikat za testy 150 000 Kc, jsi na rovnych 200 000 za mesic. Ale to byl spis takovy nastrel, samozrejme zalezi na spouste dalsich veci.

Snad ti to alespon trochu pomuze.

Be safe
(odpovědět)
Playa_ | 95.154.230.*7.7.2012 9:30
re: Tvorba webů / Bezpečnost webů#
Par bodu, co me k tomu napada:

- Zalezi co presne chces. Vetsi a renomovanejsi firmy/lide podnikajici v oblasti bezpecnosti maji sirsi zamereni, nezustavaji jen u webovych testu.

- Cena, kterou zaplati rozumny, nezmanipulovany zakaznik za testy se odviji od ceny, kterou pro nej web/projekt ma, resp. od vyse pripadnych ztrat.

- Kdyz budes chtit nekdy delat pro nejakou vetsi firmu nebo banku, budes si must osvojit dovednosti tech velkych firem. Budes muset umet komunikovat s lidmi na jejich pozicich a budes je muset presvedcit o tom, ze jim tve testy pomohou a _HLAVNE_, ze jim neuskodi. Nikdo nema zajem o nejake kovboje, kteri prijdou a srovnaji vse se zemi.

- To je ten duvod, proc vetsinou berou velke konzultacni firmy a ne malou garazovku, ale jsou vyjimky, uz jsem videl par "testu" za beznou cenu provedenych jedinym nastrojem behem par hodin. Velke firmy maji metodiku a dostatecnou pojistku na kryti skod. U vetsich zakazak je vyzadovano pojisteni vyssi pojisteni skody, v radech nekolika milionu.

- Potrebujes reference, reference a zzse reference a k nim zkusenosti a zkusenosti. Hodne je to o lidech - i ty velke konzultacni firmy maji na testovani nekolik malo lidi a znali objednavatele se ridi podle nich.

- Byla tu rec o nasazeni kontra komerce. Myslim, ze s nasaznim to neni nutne prehanet. Je treba skloubit profesni a soukromy zivot. Proto je treba pred tim, nez se do neceho takoveho pustis mit nejake znalosti o tom, jak to chodi v danem v oboru, abys sis mohl spocitat, jestli to ma nebo nema cenu.

- Osobne si myslim, ze nema cenu se do neceho takoveho poustet v jednom cloveku, je treba cely mensi tym. Garazovka muze jit s cenou dost dolu, takze je sance se dostat tak, kde jde jen o cenu, ale i ty velke firmy sly s cenami v poslenich par letech dolu, takze na to bych tolik nesazel. Musis mit rezervu na dobu, kdy zakazky nebudou. Vyhodou vetsiho tymu je, ze se daji realizovat i jine projekty nez primo testy.

- kdyz zareaguji jeste na kolegu nad sebou. Nemaloval bych si to tak ruzove. Pentesty jsou draha sranda a nenajdes moc zkusenych objednavatelu, kteri by si je nechavali provadet minimalne kazde 4 mesice. Take je treba delit jedenacti nebo mene mesici, preci jen si clovek chce vybrat nejakou dovolenou, na kterou si musi vydelat.

(odpovědět)
juj | 109.80.56.*7.7.2012 23:13

Zpět
 
 
 

 
BBCode