Иногда выходят новые версии с новым функционалом, а ответ дан для старой версии, да ещё и костыль. Продолжаешь искать дальше, когда нашел — вернулся, запостил что в новой версии оно вот так теперь, и твой ответ вполне может стать лучшим. Мой стал однажды :)
Но убрать капчу со страницы регистрации – очень глупое решение, поскольку регистрация станет не только абсолютно бесплатной для спамера, но и невероятно быстрой (решение капчи индусом в среднем занимает 30 секунд).
Капчу можно убрать, и поставить проверку по времени между запросом формы (генерации токена) и приходом данных. Токен всё равно будет, т.к. от CSRF (и фреймов) защиту ставить тоже надо.
Это не выход, если брутят разные логины, по одному паролю на логин. Если логин один и тот же, то легко посчитать число неверных попыток и выставить нужный таймаут.
Вот вам ссылочка для иследования hh.ru/employer/675956
Уверен что 50 одинаковых вакансий (но с разными городами) создавались вручную. Причём это не единственная фирма которая так поступает. Когда подобное видишь в поиске на 2-3 страницах выдачи результатов… это печаль.
А как с производительностью? :)
Реализовывал подобную систему раздачи прав — сразу сделал загрузку всех правил в синглтон, и периодическое обновление кэша (что бы базу пореже дёргать).
По названиям, рекомендую в коде использовать английские имена наподобие «ServiceDesk.canSetConsider», «ServiceDesk.canTakeProblem» а в админке отображать имя и русский description — так удобнее искать, делая разные сортировки, группировки и фильтры.
имейте профиль в Linked In, свой технический блог и несколько OSS-проектов. Если я не могу найти сетевого присутствия кандидата, то это жирный минус
По сути это требование электронного досье. Это аналогично требованию всем проходить детектор лжи. Общего здесь то, что это вторжение в личную жизнь. Для ведения блога и опенсорса нужно время, личное время, и вы начинаете контролировать а как человек тратит своё личное время, а потом ещё и называете его банальной обезьянкой.
В госсекторе большая бюрократия, надо делать кучу отчётов. Наверно имеется ввиду предоставить служащим «халяху» — часть их работы выполняется внешним сервисом на основе данных от их департамента.
А при чём здесь 1000 рабочих мест и более 20 серверов? Вы к ним всем протянули InfiniBand?
Из статьи выходит что только между несколькими серверами, а остальное осталось по старому.
Примеры конфигов
Думаю TLSv1 TLSv1.1 тоже надо выключать.
яваскрипт эмулируете? полную загрузку страницы со всеми картинками, скриптами и прочего? по ssl ходить умеете?
Капчу можно убрать, и поставить проверку по времени между запросом формы (генерации токена) и приходом данных. Токен всё равно будет, т.к. от CSRF (и фреймов) защиту ставить тоже надо.
Уверен что 50 одинаковых вакансий (но с разными городами) создавались вручную. Причём это не единственная фирма которая так поступает. Когда подобное видишь в поиске на 2-3 страницах выдачи результатов… это печаль.
hh.ru/vacancy/8905153 — ищу по Тюмени, мне зачем-то показывают Москву! Реально спам.
Реализовывал подобную систему раздачи прав — сразу сделал загрузку всех правил в синглтон, и периодическое обновление кэша (что бы базу пореже дёргать).
По названиям, рекомендую в коде использовать английские имена наподобие «ServiceDesk.canSetConsider», «ServiceDesk.canTakeProblem» а в админке отображать имя и русский description — так удобнее искать, делая разные сортировки, группировки и фильтры.
По сути это требование электронного досье. Это аналогично требованию всем проходить детектор лжи. Общего здесь то, что это вторжение в личную жизнь. Для ведения блога и опенсорса нужно время, личное время, и вы начинаете контролировать а как человек тратит своё личное время, а потом ещё и называете его банальной обезьянкой.
Из статьи выходит что только между несколькими серверами, а остальное осталось по старому.