Взлом сайтов

44 комментария

Взлом сайтовЗная мои былые «шалости», люди иногда предлагают мне повторить некоторые трюки за деньги. Вчера я в очередной раз услышал конкретный вопрос: «Сколько будет стоить взлом сайта … ?»

Вот что я хочу сказать по этму поводу: а сможете ли вы ответить на простой вопрос «Зачем?»

Зачем вам атаковать сайты конкурентов? Подумайте об этом прежде чем платить за это деньги!

Устроить DDoS и удерживать сайт в перегруженном состоянии несколько дней — пока не отфильтруют. Да, сайт прекратит работу на несколько часов. Но очень может получиться, что этим вы устроите ему рекламу — сколько раз уже такое было. Более того, себя вы прославите не как хакеров, а как DDoS-еров, лишённых всякой сообразительности — это, пожалуй, самый тупой метод атаки.

Поискать XSS-уязвимости, возможности SQL-инъекций, другие методы скриптовых атак — да, красиво. Можно взять сайт под контроль (если повезёт) и стереть его или изменить — пока не придёт владелец и не зальёт бэкап. Это несколько часов в лучшем случае, потом ошибки исправят, сайт получит свою бесплатную рекламу, а вы — головную боль (вдруг найдут).

Использовать известные дырки в распространённых CMS — это пошло, да и смысла не имеет никакого — даже с учётом ленивых админов, большинство хостеров сейчас делают ежедневный бэкап информации и баз данных.

Всё это в сущности детский сад. Одно только: некоторые компании на сайтах делают скрытые разделы для партнёров, иногда указывая там реальные цены на продукцию. За получение этих цен конкуренты иногда готовы платить. Но в данном случае проще втереться в доверие, используя социальные методы. Да и сайтов таких — 1 на миллион. Статьи 28-й главы УК всё-таки работают, можно навредить себе больше, чем конкурентам.

Конечно, это просто поверхностные рассуждения, которые разнесёт в клочья любой современный PR-специалист. Да и сам я интернет-войны считаю очень забавными, но всё-таки лучше играть честно.

Заметки по теме:

Жилинский Владимир.



Яндекс: дальше наощупь.

16 комментариев

Яндекс: отмена операторов link и anchorХоть это и не совсем по моей теме, но всё же процитирую Константина Каширина:

Через несколько часов Яндекс прекратит работу некоторых операторов языка запросов: link (кто ссылается) и anchor (каким словами). Это существенно сократит возможности аналитики, например не позволит видеть бэклинки — ни свои, ни конкурентов, а также не позволит проверять ссылки на работоспособность. Со слов руководства Яндекса, причина нововведения — стремление сделать Яндекс более закрытым.

Руководство Яндекса, в лице Ильи Сегаловича, Елены Колмановской и Александра Садовского, сообщило об этом на встрече с несколькими оптимизаторами, которая прошла в неформальной обстановке в одном из московских ресторанов.

Впрочем, на данный момент операторы всё ещё работают и официального заявления пока не было. Реакция SEO-сообщества — неоднозначная. Кто-то радуется, кто-то в шоке, некоторые надеются, что Яндекс ещё может передумать.



Google. Прорыв в духе времени.

13 комментариев

Google - история, прорыв в духе времениЭто довольно необычная историческая книга. Это история компании, которой едва исполнилось восемь лет, а на момент написания книги на языке оригинала и того меньше.

Это история Google. История, которая происходила на наших глазах – о чем мы даже не подозревали! История о том, как два молодых аспиранта Стэнфорда совершили переворот в жизни нашего поколения.

В общем, это новейшая история мира. Того мира, в котором колыбелью цивилизации является Стэнфорд.

Дэвид А. Вайз, Марк Малсид: «Google. Прорыв в духе времени.» (zip, 0.7 Mb).

За наводку спасибо Tlanvar.

Жилинский Владимир.



Chaos Constructions: HackAround

1 Комментарий

Chaos Constructions 2007Chaos Constructions Antique 2007 закончился. Потраченных дней, денег и сил не жалко — оно того действительно стоило. Не буду писать про то, кто был на фестивале — слишком огромные списки получаются, и про то, что там происходило — почти обо всём можно прочитать на тщательно поддерживаемом нами в течение всего фестиваля сайте.

Chaos Constructions 2007Там же можно найти и некоторую часть отснятого нами материала (пока малую часть — нужно отоспаться). Вообще, я считаю, что рассказывать что-то о #CC — неблагодарное дело, потому что каждый видит его по-своему и огромную роль играет общение людей друг с другом, даже сама суть фестиваля иногда отходит перед ним на второй план.

HackAround 2007В следующий раз эта же команда организаторов и активных участников соберётся 29 ноября (и по 2 декабря)
в ЦВЗ «Манеж» (Санкт-Петербург) на Chaos Constructions HackAround’2007. По календарю это будет удобно: с четверга по воскресенье.

Будут раскрываться темы сетевой безопасности и hacking’а (не только в сетевом аспекте, но и в целом как lifehack). Предполагаются конкурсы, семинары и демонстрация различных материалов, а также классические моменты — компьютерная история и демосцена.



PHP: головоломка

28 комментариев

PHPХотите поломать голову над задачкой по веб-программированию ? Пожалуйста. Есть код:

<table><tr><td background=#fff7eb id=message>
<?php mysql_query("INSERT INTO `res_action` (`type`, `date`, `id`, `from`, `to`, `text`, `viewed`, `hidden`)
VALUES ('hate', '08/08/07 12:15', 1070808121557, 'foo', 'bar', '', '0', '0')"); ?>
</td></tr></table>

При обработке такого кода происходит ошибка — запись добавляется в базу два раза. Стоит убрать из таблицы цвет фона — ошибка исчезает. В продолжении — ответ на задачу. Кто сообразит без подсказки ?

Читать далее »



Google Sitemap

19 комментариев

Google sitemapGoogle Sitemap — это один из довольно интересных инструментов от Google для веб-разработчиков, позволяющих в какой-то степени влиять на индексацию своих сайтов. Про то, что это такое и зачем это надо подробно написано самими разработчиками. «Скормить» sitemap консоли Google можно в четырёх форматах:

  • Sitemap. Это созданный Google открытый XML-протокол.
  • OAI-PMH — это инфраструктура взаимодействия на основе сбора метаданных. Не стоит это курить, я думаю.
  • RSS-поток — каналы в формате RSS 2.0 и Atom 0.3.
  • TXT — простой текстовый файл, содержащий один URL в каждой строке.

Сам Google рекомендует использовать первый вариант, так как он наиболее информативен для его пауков. Текстовый файл несет слишком мало информации, а OAI-PMH это что-то сугубо спецефическое. Интерес представляет возможность обработки RSS, особенно в свете покупки Google сервиса FeedBurner, обрабатывающего RSS-потоки.

Об этом сейчас ведутся очень активные обсуждения, ставятся эксперименты, но делать выводы пока рано. Хотя быстрая индексация страниц сайта, отправленных RSS-потоком в FeedBurner, была замечена многими. Но тут есть один момент: для больших сайтов не получится транслировать в RSS все страницы, обычно это делается только для новых. Поэтому оптимальным мне кажется использование RSS одновременно с традиционным Sitemap.

Простейший файл с одним элементом и без необязательных параметров в формате Google Sitemap выглядит так:

<?xml version="1.0" encoding="UTF-8"?>
<urlset xmlns="http://www.google.com/schemas/sitemap/0.84">
<url>
<loc>http://zhilinsky.ru/</loc>
</url>
</urlset>

Для его автоматического создания есть большое количество онлайн-сервисов. Например, довольно простые пауки:

Комплексный онлайн-сервис с максимальной функциональностью:

А вообще есть официальный Sitemap-генератор от Google почему-то на языке Python и его неофициальный порт на язык PHP — PhpSiteMapNG. Для многих CMS существуют соответствующие плагины, Google Sitemaps для WordPress, например.

Жилинский Владимир.



Настройка .htaccess онлайн

16 комментариев

htaccess онлайнНашёл весьма полезный онлайн-сервис для работы с файлами .htaccess. Защита сайта или его части на этом уровне очень эффективна, так как создаётся на уровне веб-сервера Apache. Но ручное составление инструкций настройки .htaccess довольно скучное занятие, которое действительно лучше доверить скриптам.

Возможности:

  • Защита паролем (http-авторизация) сайта, части сайта, или файлов по маске (Password Generator)
  • Полная блокировка доступа с IP-адреса, списком или по маске (Visitor IP Banning)
  • Полная блокировка доступа по ссылке с определённых ресурсов (Site Referrer Ban)
  • Запрет использования файлов сайта на других ресурсах (Disable Hotlinking)

А ещё там есть скрипты для оптимизации изображений, маскировки e-mail адресов от ботов, генераторы favicon, градиентов и кнопок формата 80×15.



«RSS Submit» в рунете

26 комментариев

Rss submitВ комментариях к заметке, объясняющей принципы и пользу RSS был задан вопрос — куда можно сабмитить RSS-поток русскоязычного блога ? Кажется, пришло время ответить развернуто. Вот список русских сервисов (каталоги, аггрегаторы), принимающих на рассмотрение RSS-ленты блогов:

А вот тут — список аналогичных сервисов, рассчитанных на англоязычную аудиторию — чуть больше сотни. Впрочем, в гугле по словам «submit rss feed» их можно найти огромное количество.

Жилинский Владимир.



Безопасные CMS

18 комментариев

CMSНебольшой опрос показал, что наиболее безопасными и защищёнными от взлома люди считают следующие системы управления контентом (CMS):

  • CMS Made Simple — рекомендации от людей, занимающихся аудитом безопасности, успешная эксплуатация в «боевых» условиях.
  • SmallNuke CMS.
  • MODx CMS — довольно новая система, и довольно сложная, поэтому считается довольно безопасной.
  • Joomla CMS — постоянно выходящие обновления безопасности делают её очень защищённой.
  • e107.
  • ExpressionEngine Core.

Многие так же обратили внимание, что очень редко встречаются сообщения о взломе дорогих CMS. Скорее всего, дело в том, что при возникновении такой ситуации, владелец сайта просто обращается в техподдержку CMS и сам факт взлома из интересов создателей CMS не разглашается. Впрочем, многие считают Битрикс и Юми тоже очень «крепкими» системами. Исходя из того, кто их делает и почём продаёт, в этом нет причин сомневаться.

Жилинский Владимир.



Табличная верстка не хуже блочной

17 комментариев

Блочная верстка против табличной версткиПереписка о методах блочной и табличной верстки с Константином Красносельским, начатая в комментариях в статье про блочную верстку, вылилась в довольно интересную переписку, которую я с его разрешения и публикую.

Общий вывод довольно прост: глупо спорить о методах — суть не в них. Делать надо всё с умом.


Жилинский В.: Для меня блочная верстка удобнее — позволяет при программировании выкинуть из кода много мусора в tr и td и окончательно отделить контент от дизайна.

Красносельский К.: Да я и таблицами обхожусь без лишних тд и др. Когда смотрю на чужую верстку, не могу понять, зачем людям все эти тд и тр. Несколько лет назад я специально переделал одну страницу, чтобы показать человеку, что можно обходится без матрешек из таблиц. Но до него не дошло.

Так чем всё-таки таблицы от дивов при верстке принципиально отличаются ?

Так в том-то и дело, что я не вижу принципиальных различий и не понимаю, зачем о них спорить. Я верстаю наугад: какая клавиша попадет первая, такая верстка и будет.

Но ведь всё равно есть различия, например, их видно на мобильной технике типа смартфонов или КПК — там сайты с разными методами верстки и смотрятся совсем по-разному.

Да, отличия есть на несовершенных устройствах. Но это явление временное и устройства поймут, как отобразить сложные таблицы.

И ещё такой момент — редизайн намного легче сделать с дивами — передвигать блоки можно вообще в автоматическом режиме. С таблицами — пыли наглотаешься от таких задач.

Да нет, элементарно блоки превращаются в таблицы, а таблицы в блоки. Если таблицы выполнены без фанатизма
(без многократного вкладывания), а дизайн хранится отдельно от данных и скриптов. Все хочу написать статью об организации сайта — как хранить дизайн, данные и т. д., но руки не доходят. Так что, редизайн не зависит от способа верстки. Вообще, заглядывая во внутрь других сайтов, я вижу что у 99% верстальщиков в голове каша. Другого объяснения их приемам верстки не нахожу. А раз так, то не удивляет и спор вокруг таблиц и блоков.

То есть основная мысль такая: верстать сайт нужно так, как сказал заказчик, потому что разницы нет, правильно ?

Мне пока еще не разу никто не говорил, как нужно верстать. Говорят, каков должен быть внешний вид, часто дают готовые эскизы. А верстаю наугад. Раз так, в другой раз эдак. Если заказчик скажет как-то определенно, сверстаю точно по желанию заказчика.

Ясно. Ну я, к примеру, если заказываю верстку, то пишу конкретно — вот тут блоками будет лучше, тут таблицу оставить.

Ты то разбираешься в верстке, а обычный заказчик часто даже не знает, что бывает верстка блоками, верстка таблицами.




© 2007-2010 Блог интернет-разработчика, автор — Zhilinsky.ru.
При использовании информации ссылка на источник обязательна.