Итак, обещанный краткий ликбез и немного мыслей на эту тему.

1. DoS (Denial of Service, отказ в обслуживании). Этим термином обычно называют два разных вида атаки:

• атака на взлом с использованием известной хакеру уязвимости в вашем ПО (обычно это ошибки переполнения буфера, позволяющие выполнять произвольный код).
• атака на отказ с помощью забрасывания компьютера большим количеством каких-либо данных. С приходом высоких скоростей и уходом Windows 9x практически бессмысленна.

Защита на серверном уровне заключается в поддержании свежих стабильных версий используемых программ, а на домашнем — в грамотной настройке firewall`а.

2. DDoS (Distributed Denial of Service, распределённая атака на отказ в обслуживании). Это «тупая атака», суть которой в отправке бессмысленных пакетов с большого количества компьютеров с целью либо заставить сервер тратить все свои ресурсы на обработку этих пакетов, либо вообще забить ими весь канал на пути к серверу.

DDoS-атаки на данный момент являются проблемой. Более половины всех деструктивных мероприятий в интернете являются тупыми DDoS-атаками. Реализуются они двумя основными путями:

• создание собственного ботнета. Создание и распространение вирусов, стелс-модулей различными путями.
• аренда чужих ботнетов. Это уже довольно сформировавшийся рынок со своими авторитетами и ценовой политикой.

Основные методы борьбы здесь такие:

• Предотвращение. Этот способ не по мне, я скандалист и провокатор ))
• Фильтрация входящего траффика. Наиболее эффективный метод, в то же время наиболее дорогой, так как специальное ПО и железо стоит больших денег.
• Наращивание ресурсов и расширение канала. Защитит от «пионеров» и небогатых врагов.
• Рассредоточение. Дублирование, создание резервных источников.
• Уклонение. Суть — увести с атакуемого сервера всё что там работает — и пусть ддосят…
• Активные ответные меры. Вот это по мне. Любимый способ политиков. Нанесение контрудара — или взлом источника атаки, или просто люди в масках с доставкой на дом.

Программная защита — очень спорный вопрос. Существуют и готовые рецепты, и модули для Apache, но универсального решения нет — все в сущности можно обойти и заглушить числом атакующих. Поэтому уже есть компании, профессионально занимающиеся решением таких проблем (помните, историю с SeoNews?).

Для тех, кто дочитал до этого места, оффтопично сообщаю, что до проведения Chaos Constructions HackAround’2007 остался месяц. По предварительной договорённости, информационной поддержкой фестиваля снова буду заниматься я. А на сайте $CCA7 выложили в нормальном качестве видеоролик, собранный в основном из отснятого мной на фестивале материала.

Жилинский Владимир.

Почему я давно не пишу ? Во-первых, не хватает времени, во-вторых я считаю, что лучше не писать ничего, чем писать что-то только ради того, чтобы писать.

Испытываю несколько дедлайнов, сдаю несколько крупных проектов, а по ночам развлекаюсь PHP-кодингом. Сегодня окончательный дедлайн по корпоративному сайту, так что времени должно прибавиться. Как только появится свободный час времени — выложу статью по классификации и защите от сетевых атак.

А пока можете посмотреть на мой PHP-эксперимент — магазин цифровых фотоаппаратов (уже работает). Добавил к своей CMS модуль магазина («корзину») в XML-формате Яндекс-Маркета. Так увлёкся кодингом, что совсем забыл про тексты на сайте…

Задача этой книги — познакомить читателя со всеми возможностями, предоставляемыми службой Яндекс. Прочитав эту книгу, вы сможете эффективно пользоваться и настраивать для своих нужд разнообразные инструменты, которые предлагает «многоликий Яндекс».

Автор этой книги уже написал более десяти книг, среди которых не только техническая литература, но также художественные произведения. Работает в области журналистики с 1995 года. Имеет звание Ph.D. в области информациологии.

В. Холмогоров | Поиск в интернете и сервисы Яндекс. | 2006 | 122 стр | 14 Mb | Pdf.

Жилинский Владимир.

Сегодня немного уйду от темы блога, хотя и не далеко. Часто приходится заказывать услуги у западных и европейских компаний (в России ведь нет нормального хостинга, я правильно понимаю?), а для этого им нужно платить. Поэтому сегодня я тщательно эту тему изучил, пошёл в СБРФ и получил себе Visa Classic. Попробую поработать с ней, если каких-то возможностей не хватит, то воспользуюсь услугами СardMoney.

Банковская карта (и дебетовая и кредитная) — это всего лишь кусочек пластика, привязанный к банковскому счету. По счету в банке может быть разрешен овердрафт (к таким счетам привязываются кредитные карты) или запрещен (дебетовые).

Есть две самые распространенные международные платежные системы — MasterCard и Visa. И в Европе, что в Америке не составит труда найти банкомат (POS), где принимается карта любой из этих

У обеих систем есть аналогичные карты разных классов:

• MasterCard Virtual и Visa Virtual предназначены исключительно дла расчетов в интернет.Обычно выпускаются как дополнение к основной карте.
• Electron — низший и самый дешевый класс карт. Ими можно расплачиваться на POSах и можно снимать деньги в банкоматах. Использовать их для расчетов в интернете нельзя — на них нет спец. кода.
• Mass и Classic — самый распространенный класс карт. POSы, банкоматы, расчеты в интернете.
• Gold — подчеркивание статуса чуть выше среднего, плюс спец. программы от некоторых магазинов.
• Platinum — подчеркивание своего высокого статуса и свои собственные спец. программы.
• World Signia и Infinite — всё включено. Вы желанный гость везде.

Некоторые банки выпускают т. н. Local Card. Хоть они и являются картами одной из вышеуказанных платежных систем — использовать их можно только внутри сети своего банка. Чаще всего это Visa Electron. Оплачивать ими в интернет ничего не получится.

В остальном, если у вас не Visa Electron и не Local Card вашего банка, то единственным препятствием к оплате в интернете может служить страна, откуда приходит запрос на блокирование («предсписание») средств. Независимо — кредитная или дебетовая.

Например, в PayPal карты от Альфа-Банка и СБ не всегда сразу проходят. Происходит это из-за того, что запросы на блокирование средств идут из неблагонадежных стран (например, Сингапур). В СБ надо идти и писать заявление, с просьбой разрешить транзакции с нужной странной.

Кстати, в СБРФ есть мобильный банк-клиент, с помощью которого можно даже осуществлять переводы между счетами. Наверное, есть подобное и в других банках. А для перевода денег на карту нужны реквизиты банка и номер счёта, который выдают вместе с картой. Вот так — век живи, век учись ))

Жилинский Владимир.

Книга известного профессионала в области разработки Web-приложений посвящена пятой версии популярного языка веб-программирования РНР. Этот язык позволяет разрабатывать Web-сайты любого масштаба и любой категории сложности. В книге рассматриваются такие вопросы, как базовые синтаксические конструкции языка, ООП на РНР, работа с базами данных и графикой и WAP-содержимым. Большое внимание уделяется эффективным решениям типовых практических задач, среди которых аутентификация посетителей, шифрование данных, использование сеансов, обработка ошибок, работа с электронной почтой.

Джон Коггзолл | PHP 5. Полное руководство. | 2006 | 752 стр | 19 Mb | Pdf

Жилинский Владимир.

На рынке доменов за последнее время произошла пара довольно интересных новостей.

Во-первых, зарегистрирован миллионный домен в зоне RU, в честь чего RU-CENTER празднует юбилей и выпускает памятную монету, которую раздаёт своим клиентам и посетителям выставок. Кстати, чисто математически, миллионным доменом стал HANTI.RU, содержащий только одну мысль, хотя и правильную: «Respect всем вебмастерам России!»

Во-вторых, на домены в зоне SU стоимость регистрации с 1 ноября снизится в 5 раз и составит 20$. Её решили не уничтожать, так как это сложно и законодательно (государства уже нет, а зона есть) и технически. Поэтому решили на ней заработать — после такого понижения цен спрос на домены в этой зоне возрастёт шквально… Да и я думаю, что владельцам хороших доменных имен в зоне RU, особенно с раскрученными проектами, стоит купить аналогичное имя в зоне SU — на всякий случай, благо теперь не дорого.

Жилинский Владимир.

Итак, голосование по «Конкурсу Конкурентов» закончилось.

Победителем совершенно заслуженно стал блог Design For Masters. Просьба сообщить мне номер Z-кошелька для перевода приза.

Сайт Design For Masters посвящен всему, что касается разработки сайтов, дизайну, кодингу, созданию контента и аудитории читателей. Мы стараемся найти и перевести как можно больше хороших и интересных статей.

Второе и третье место поделили RMCreative и Ajax Russia. Эти блоги уже заняли своё место в блогролле (справа).

Напоминаю, что участники конкурса собраны в едином OPML-файле, который можно импортировать в RSS-ридер.

Кнопки для желающих отблагодарить конкурс:

Жилинский Владимир.

Благодаря моему взаимному ЖЖ-френду crazyhamster`у, наш «Конкурс конкурентов» попал в газету «Компьютерные Вести«.

На этот блог каждый день появляется несколько новых ссылок, но написать я решил именно об этой. Почему ? Очень просто. Много лет назад я заканчивал школу и поступал в университет в далёком сейчас от меня городе, в котором из компьютерной прессы были доступны всего два издания — эти самые «Компьютерные Вести» и «Компьютерная газета«. Именно из них я и узнал всё, с чем я пришёл устраиваться на свою первую работу 6 лет назад. Поэтому если кто-то достанет мне этот 39-й номер в бумажном варианте — буду очень признателен.

Кстати, о конкурсе. На данный момент продолжается голосование, и уже видны три явных лидера: Design For Masters (26%), RMCreative (20%) и Аякс по-русски (17%). Голосовать осталось ровно сутки. Желаю всем удачи!

Жилинский Владимир.

Чем более мирной становится моя жизнь и работа, тем больше под руку попадаются «интересные» статьи, блоги и книги. Ну что же, умная защита иногда интереснее взлома. Читаем.

Марсель Низамутдинов — «Тактика защиты и нападения на Web-приложения»
БХВ-Петербург — 2005 | 432 страницы | Djvu | Zip | 7 Мб

В книге рассмотрены вопросы обнаружения, исследования, эксплуатации и устранения уязвимостей в программном коде Web-приложений.

Описаны наиболее часто встречаемые уязвимости и основные принципы написания защищенного кода. Большое внимание уделено методам защиты баз данных от SQL-инъекций. Приведены различные способы построения безопасной системы авторизации и аутификации. Рассмотрен межсайтовый скриптинг (ХSS) с точки зрения построения безопасного кода при создании чатов, форумов, систем доступа к электронной почте через Web-интерфейс и др.

Уделено внимание вопросам безопасности и защиты систем при размещении сайта на сервере хостинговой компании. Приведено описание вируса, размножающегося исключительно через уязвимости в Web-приложениях.

Заметка Дениса Болтикова «Топ 30 наиболее часто используемых паролей» натолкнула меня на некоторые размышления.

Итак, есть сервис, требующий авторизацию. Имена пользователей в большинстве случаев известны. Так же известно, что 4-5% пользователей в качестве пароля используют имя пользователя (там, где это разрешено). Ещё 10-15% используют один из паролей вроде этих:

Составить список таких паролей — не проблема, тем более, что 20-30 штук, как видно, вполне хватит. Таким образом можно довести до 20% вероятность взлома пароля пользователя быстрым тупым брутфорсом по сверхмаленькому словарю.С учётом того, что полно сервисов, вешающих на единую систему авторизации все свои сервисы (в том числе и финансовые), эта дыра является критической. Более того, 75% пользователей используют единый пароль доступа на все ресурсы.Так что, люди, совет один: используйте хорошие пароли.

Хороший пароль:

1. длинный (8-12-15 символов).
2. содержит как заглавные так и прописные латинские буКвЫ.
3. содержит цифры.
4. не найдется в словаре, это не имя и не слово (ckjdj) в латинской раскладке.
5. никак не связан с владельцем.
6. меняется периодически и по мере надобности.
7. не является любимым — разные пароли для разных входов.
8. его возможно запомнить.

Жилинский Владимир.