Общие соображения

<?php
include_once $_SERVER['DOCUMENT_ROOT'] . '/include/shared-manual.inc';
$TOC = array();
$TOC_DEPRECATED = array();
$PARENTS = array();
include_once dirname(__FILE__) ."/toc/security.inc";
$setup = array (
  'home' => 
  array (
    0 => 'index.php',
    1 => 'PHP Manual',
  ),
  'head' => 
  array (
    0 => 'UTF-8',
    1 => 'ru',
  ),
  'this' => 
  array (
    0 => 'security.general.php',
    1 => 'Общие соображения',
    2 => 'Общие соображения',
  ),
  'up' => 
  array (
    0 => 'security.php',
    1 => 'Безопасность',
  ),
  'prev' => 
  array (
    0 => 'security.intro.php',
    1 => 'Вступление',
  ),
  'next' => 
  array (
    0 => 'security.cgi-bin.php',
    1 => 'О безопасности PHP в режиме CGI-программы',
  ),
  'alternatives' => 
  array (
  ),
  'source' => 
  array (
    'lang' => 'ru',
    'path' => 'security/general.xml',
  ),
  'history' => 
  array (
  ),
);
$setup["toc"] = $TOC;
$setup["toc_deprecated"] = $TOC_DEPRECATED;
$setup["parents"] = $PARENTS;
manual_setup($setup);

contributors($setup);

?>
<div id="security.general" class="chapter">
   <h1 class="title">Общие соображения</h1>

   <p class="simpara">
    В каждой системе встречаются уязвимости, поэтому в сфере безопасности
    традиционный подход часто состоит в балансе между риском и удобством.
    Разработчик поддерживал бы чрезмерный уровень безопасности,
    если бы каждая переменная, которую отправил пользователь, требовала двух форм
    биометрической проверки: сканирования сетчатки глаза и отпечатков пальцев.
    Потребовалось бы полчаса на заполнение сложной формы,
    которая побудила бы пользователей на поиск способов обойти защиту.
   </p>
   <p class="simpara">
    Взвешенная защита часто ненавязчива: она одновременно поддерживает
    достаточный уровень безопасности, не мешает пользователю работать
    и не перегружает автора кода чрезмерной сложностью. Отдельные атаки
    на системы безопасности совершают только за счёт брешей в таких системах
    с чрезмерной защитой, которая постепенно разрушается и становится уязвимой.
   </p>
   <p class="simpara">
    Пословица, которую лучше бы запомнить: где тонко, там и рвётся — надёжность системы
    зависит от надёжности самого слабого звена.
    Связь записей лога транзакций с пользователями сильно снижается,
    если тщательно логируется время каждой транзакции,
    место, тип операции и другая информация о транзакции,
    но пользователь проверяется только на основе одного блока cookie.
   </p>
   <p class="simpara">
    Разработчики знают, что тестирование не выявит каждую уязвимость,
    даже при проверке простейших страниц. Предполагаемые входные данные
    не будут соответствовать вводу, который отправил недовольный
    сотрудник, взломщик с месяцами свободного времени или домашний кот, который
    ходит по клавиатуре.
    Поэтому на код лучше посмотреть логически, чтобы увидеть, где введут неожиданные данные,
    а затем проследить, как данные изменяются, сокращаются или дополняются.
   </p>
   <p class="simpara">
    В интернете часто ищут славы за счёт
    взлома кода, разрушения сайта, публикации неуместного материала
    или другими способами делают день разработчика «интереснее». Неважно, идёт речь
    о маленьком сайте или о портале, сервер становится мишенью только потому
    что доступен для подключений. Программы-взломщики не смотрят на размер,
    а слепо перебирают IP-адреса в поисках жертвы. Разработчики следят за безопасностью кода,
    чтобы предотвратить попытки злоумышленников обойти защиту.
   </p>
  </div>
<?php manual_footer($setup); ?>