Отлично. А вот теперь вопрос: ОТ ЧЕГО мы защитимся при этом? Исходное решение позволяло — если забыть про все drawbacks — опознать вредоносный скрипт ДО того, как он найдет нашу реальную — и пока неизвестную нам — уязвимость. В варианте с очисткой это достоинство исчезает.
Коллега, я надеюсь, что Вы осознаете, что заделав довольно спорной опасности дыру Вы одновременно создали новую, причем более опасную. Фактически, Вы сделали свой сайт уязвимым к DOS. Механика атаки проста: злоумышленник заходит на насколько десятков/сотен/тысяч — в соответствии со своей зловредностью — форумов, посетители которых являются и вашими потенциальными посетителями, и на каждом размещает нейтральное, не нарушающее правил сообщение в которое вставляет картинку с адресом из вашего волшебного списка. Результат: все посетители этих сайтов, которые прочтут сообщение, автоматически попадут в Ваш отказный список. Зачастую — целыми сетями.
DOS в чистом виде. Просто. Красиво.
P.S. Сразу уточню, что бороться с этим анализом HTTP_REFERER — бесполезно.
Я всегда думал, что размер одного sms ограничен до 160 символов, потому-что такими были некоторые технические ограничения до 1970-х годов. Но на самом деле, это потому, что какой-то немецкий исследователь подумал, что 160 символов является «абсолютно достаточным».
Коллега, Вы все перепутали. В статье как раз говорится о том, что техническое ограничение на размер составляло 128 символов ASCII8 или, соответственно, 160 символов ASCII7 (никаких сложных технических ухищрений здесь не потребовалось). И уже для того, чтобы обосновать приемлемость этого ограничения, Хилебранд и провел свой эксперимент.
Цитата номер раз:
Before his typewriter experiment, Hillebrand had an argument with a friend about whether 160 characters provided enough space to communicate most thoughts. «My friend said this was impossible for the mass market,» Hillebrand said. «I was more optimistic.»
Номер два:
Initially, Hillebrand's team could fit only 128 characters into that space, but that didn't seem like nearly enough. With a little tweaking and a decision to cut down the set of possible letters, numbers and symbols that the system could represent, they squeezed out room for another 32 characters.
Still, his committee wondered, would the 160-character maximum be enough space to prove a useful form of communication?
P.S. Кстати, я при первом прочтении неделю назад совершил ту же ошибку.
В Javascript нет многострочных переменных. В приведенном примере показан многострочный строковый литерал (разница описана в учебниках).
Да, с большой вероятностью это сработает в разных браузерах. Вот только есть нюанс: наличие в реальном исходнике длинных строковых констант — первый признак задуматься «а все ли я правильно спроектировал».
У этого анекдота есть реальная основа. Когда был создан первый виндовый нюк, появился сайт, который предлагал «нюкнуть лоха». Там была форма для ввода IP и кнопка «нюкнуть».
Соль шутки в том, что вводимый адрес игнорировался и нюк шел на IP посетителя… :)
Насколько я понимаю, каких-либо изменений в функциональности при этом не произошло. Возможно, создание новой формы таким способом является более логичным.
P.S. Но 14 августа было 2 недели назад. Не очень новая фича… :)
Неволько вспоминается фраза: «создайте систему, которой может пользоваться каждый дурак — и только дурак захочет ею пользоваться». Похоже, с надежностью та же ситуация, что и с юзабилити. :)
основные усилия ну прилагаем для достижения высокой надежности и самоисцелении (вот этого я вообще не понял…Это как? прим. переводчика).
Достаточно просто открыть статью википедии про Minix:
Another feature of this version, which will be improved in future ones, is the ability of the system to withstand device driver crashes, and in many cases having them automatically replaced without affecting running processes. In this way, MINIX is self-healing and can be used in applications demanding high reliability.
На русский язык в данном контексте переводится как «самовосстановление».
… в оригинале нет ничего про лозунги. Более близкий к оригиналу перевод: «Им стоило бы приплачивать тем, кто учит этому на курсах. Похоже, они считали, что 'чем меньше народу знает UNIX — тем лучше'»
Сам факт перевода, как и оригинальную статью, я бы оценил положительно. Но, увы, переводчик не счел нужным вчитаться в смысл того, что у него получилось. Я не настаиваю на правке очевидных очепяток оригинала, но хотя бы свое вносить не нужно.
Оригинал:
They should have paid bounties to people teaching it in courses. I guess their attitude was «The fewer people who know about UNIX, the better.»
Перевод:
Согласно их логунгу; <Чем меньше людей знает Unix, тем лучше>, они должны были платить большие деньги людям, изучающим их курс.
С советом включить SSL я согласен.
Совет менять префикс имени таблицы — классический пример STO. Самообман, ведущий к ощущению безопасности.
Что же до генерации уникальных ключей, то это должно защитить от чего конкретно? Вопрос без подвоха: я незнаком с исходниками последних версий wp.
К использованию можно рекомендовать только пункты 6, 9 и 10, которые трудно назвать оригинальными, не правда ли?
Ok. А что у нас тогда остается?
Признаться, я уже лет десять не видел роботов спорной этичности, которые бы использовали фиксированный USERAGENT. Такие еще остались в природе?
А при переменном USERAGENT хэш теряет практический смысл.
DOS в чистом виде. Просто. Красиво.
P.S. Сразу уточню, что бороться с этим анализом HTTP_REFERER — бесполезно.
Коллега, Вы все перепутали. В статье как раз говорится о том, что техническое ограничение на размер составляло 128 символов ASCII8 или, соответственно, 160 символов ASCII7 (никаких сложных технических ухищрений здесь не потребовалось). И уже для того, чтобы обосновать приемлемость этого ограничения, Хилебранд и провел свой эксперимент.
Цитата номер раз:
Номер два:
P.S. Кстати, я при первом прочтении неделю назад совершил ту же ошибку.
В Javascript нет многострочных переменных. В приведенном примере показан многострочный строковый литерал (разница описана в учебниках).
Да, с большой вероятностью это сработает в разных браузерах. Вот только есть нюанс: наличие в реальном исходнике длинных строковых констант — первый признак задуматься «а все ли я правильно спроектировал».
Это, полагаю, ваша… мнэ… фантазия. Внутри есть картридж со сжатым газом. И это ЕГО хватает на приготовление 8 чашек кофе.
А кофе нужно КАЖДЫЙ раз засыпать заново.
Соль шутки в том, что вводимый адрес игнорировался и нюк шел на IP посетителя… :)
P.S. Но 14 августа было 2 недели назад. Не очень новая фича… :)
Достаточно просто открыть статью википедии про Minix:
На русский язык в данном контексте переводится как «самовосстановление».
Оригинал:
Перевод: