Pull to refresh

Comments 41

Ботнеты намного дешевле, срежте нолик а то и два за стандартный 100mbps ботнет
Действительно что-то я сумой переборщил. Сейчас появилось много дешевых предложений, но есть ощущение, что где-то кроется подвох.
Честно говоря, с практикой покупки подобных услуг я как-то не сталкивался.
да? таким ботнетом вы врятли какой-нибудь сервер или сайт положите тем же http/icmp флудом. Цена 100$ в день нормальная, и то для слабых проектов. На крупные по 200-300$ за сутки DDoS'a, и ботнет состоит из 6000-7000 ботов, в среднем постоянно онлайн около 3000 ботов, вот и можно прикинуть ежеминутную мощность атаки.
Особое спасибо за примеры из личного опыта. Было интересно читать!
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
интересная статья, спасибо! Не совсем понял как работает поднятие ТИЦ и pr за счет ссылки на профиль…
За счет размещения ссылок на свой ресурс на популярных, но дырявый сайтах. Например, если ник недостаточно обрабатывается, а затем генерируется ссылка типа %username%.livejournal.com, то будет возможно вписать вместо ника адрес своего сайта. В результате получиться ссылка вида myseosite.com/?blahblah=.livejournal.com. Ну и как следствие — увеличение количества ссылающихся страниц.
UFO just landed and posted this here
Поищите в поисковиках «Спамдексинг» и как на это реагируют поисковики, думаете ваши ссылки в подписи топика имеют больше значение?
UFO just landed and posted this here
> дело в том что с виду маленький архив, совершенно случайно,
> может содержать несколько терабайт ноликов
> (возможно это байка, однако повод для раздумий есть).
en.wikipedia.org/wiki/Zip_bomb

> кампания mail.ru
Поправьте, кОмпания mail.ru
а что такое сайты с лирическими отступлениями, и чем их безопасность отличается от безопасности других сайтов? :))))
Спасибо.
Почти то же самое писал в свой курсовой в обзор угроз (разработка модуля для CMS, проверка на соответствие гостам в плане защищённости).
У вас написано больше и лучше. Приберегу для диплома.
«Межсайтовые запросы»
Если имеется в виду CSRF-атака, укажите пожалуйста её название в статье.
Да, спасибо, исправил. Все время название из головы выскакивает.
Я думал, что проблема SQL injection раз и навсегда решена с помощью prepared statements.

$stmt = $mysqli->prepare(«SELECT User FROM Accounts WHERE Name=?»);
$stmt->bind_param(«s», $user);
$stmt->execute();

Поправьте пожалуйста, если я ошибаюсь.
Ну не то, чтобы раз и навсегда.
В приведенном Вами примере девелопер (скажем, по невнимательности) может написать что-то вроде

$stmt = $mysqli->prepare(«SELECT User FROM Accounts WHERE Name='$user'»);
$stmt->execute();

Вот автор и пишет, что хорошо бы эту возможность искоренить совсем.
Ну это уже вопрос культуры программирования.
Мне вообще кажется, что с нынешними фреймворками и ORM данная проблема становится все менее актуальной.
Полностью согласен. Хорошо, когда фреймворк поддерживает эту культуру и не дает лишний раз ошибаться. ORM в этом отношении как раз защищает от ошибок.

Хотя ORMы имеют свои проблемы, про это была интересная статья Теда Ньюварда, The Vietnam of Computer Science (последовало несколько обширных обсуждений, например http://www.theserverside.com/news/thread.tss?thread_id=41114#212536, http://stackoverflow.com/questions/404083/is-orm-still-the-vietnam-of-computer-science)
(пардон за оффтопик)
О, спасибо большое, а то начал переводить и на середине отвлекли
Ну я собственно и написал, что лучшим решением является использование ORM. Я лично за последние года 2 не написал руками ни единого запроса (кроме как в правках чужого кода)
Проблема в основном в том, что их используют далеко не все.
Кроме того если у вас запрос собирается в нескольких местах очень велик соблазн вставить куда-нибудь кусок запроса as is, так оно часто и выходит.
За вас уже все давно придумали и описали. Например — OWASP.
Спасибо за «ссылку». Вот бы ещё Guide на русский для народа перевести.
А я знаю очень хороший способ борьбы с DDOS! И подозреваю им сам вконтакте пользовался!
Логика подсказывает, что хорошим способом будет фильтрация/ограничение/бан по географическому признаку, все не русские IP.
Я не предлагал сразу банить, а например, ограничить скорость/число коннектов в секунду, если техника позволяет. Куча ботов сразу отвалится. По моему, так эффективно.
Недавний случай с Yota-цензурой подсказывает, что банить адреса пачками чревато
Ну можно скорость ограничить. Или число соединений из азиатских подсетей. Большинство посетителей русских сайтов — все же граждане РФ/СНГ.
«число соединений из азиатских подсетей» — тоже пришел к таком выводу
для одноразовых паролей есть более удобные способы, например rfc2289
Sign up to leave a comment.

Articles