Не вижу ничего плохого в подходе с проверкой на существование файлов и директорий. Сам пользую этот метод.
Да, стандартную 404 или 403 я не показываю, да мне это и не надо. Если человек зашел на мой сайт по битой ссылке, уж лучше я ему покажу нормальный дизайн, нормаьлное меню сайта (еще и рекламу), чем просто голую страницу и кусок текста.
Из личного опыта — зашел на сайт по ссылке, увидел белую 404-ю, закрыл вкладку и полез искать дальше. Увидел бы перед собой поиск — воспользовался бы!
Для мелких частов (аля визитки) — да, можно без движка обойтись, но, даже если обработку нужных страниц вы сделаете не в .htaccess, а в index.php — уверяю. на скорости работы это не сильно скажется.
И еще, простите уж, зацепился. Не обязательно даже БД дергать для обработки ЧПУ, имея хорошо продуманную структуру урла. /{module}/{task}/{param}/
Разделили на куски и пользуем.
Ну и ничего страшного. Вам дали ТЗ, по нему вы написали код. Заказчик под принял, протестил, денег отдал — проект закрыли. Через месяц поменялись условия — открываем новый таск на доработку с новой таксой.
Это, конечно, на словах и в идеале, и я понимаю, что на практике заказчик будет говорить: «ну как же так, это ж ежу понятно, что могут быть спецсимволы в ключах»
Со словами «как вариант, если надо быстро» — чень даже. А если еще добавить «в данном подходе eval будет злом только в том случае, если программист в конфиг ресь напишет»…
Надо писать тексты на иностранном языке, потом перевод + корректировка «глупостей».
К тому же, если я, допустим, пишу сообщение о выкупе, ну не буду я в нем использовать смайлики, выравнивания и, я надеюсь, ошибки ;)
Человек по сути своей — жадное животное.
Кто-то спалил «кормушку», самому захотелось поживиться. Вариантов было 2 — либо пойти к «шпийону» и потребовать кусок за молчание (автоматически влипая в эту уголовщину), либо сдать его руководству и надеяться на бонусы в свой счет.
Так что не удивлюсь, если вы окажитесь правы на счет «кто-то из своих».
Состав преступления есть. Была модификация данных на компьютере жертвы, которая, в конечном итоге, поломала всю систему. Уже за это можно привлекать.
А то, что денег не перевели, это, как вы говорите, повезло просто. Попытка перевода была? Была.
Красиво раздели контору, «которая специализируется на информационной безопасности».
Хотел бы все-таки послушать отчет о том, как Аарон Бар вычислял анонимов.
Это баловство я еще напервом курсе универа практиковал. Прога позволяла на 1-н акк отправить 5 шаровых смс (с подменой номера). Никаких хитрых умыслов, лишь шутки над знакомыми. Но было весело =)
Я тоже заходил по ссылке с хабра посмотреть на что пушка похожа.
У меня, видимо, даже кука осталась с этого сайта, может я и в закладки его добавил, чтоб потом друзьям показать какую штуку придумали. Но пушку я не запускал. За что садить?
Или комбинировать, REMOTE_ADDR + User-Agent.
В реальных условиях надо же смотреть на проект. Если это мелкий сайт, который не содержит важной информации — достаточно простой проверки куки. Если же речь идет о банковских сервисах (или ресурсах с важной информацией) — то лучше килять сессию как только поменялся браузер и\или REMOTE_ADDR.
Я, как пользователь, лучше еще раз введу логин\пароль, чем в один момент увижу, что у меня на счету 0 у.е. или даже минус…
Более того, яркий пример — папка Files (ну или любая другая) в корне сайта, которая очень долго может оставаться пустой, но в один прекрасный момент туда потребуется записать что-то. И, опять же, прав на создание папки с правами на запись может не быть.
ИМХО самый простой и верный способ — в каждую папку запихнуть index.html с текстом. Это будет полезно, если сайт переехал на другой хостинг и апач настроен отдавать список файлов, если нет индексного файла (т.е. открывает порой важную инфу)
Заподозрил в измене, загрузил gmail на своем ноуте (может там пасс сохранен был и акк залогинен), увидел, что жену приглашают «на выходные поблядовать», устроил скандал, получил несколько лет тюрьмы.
Самое «забавное», что жена пароль сказала сама, он же не брутфорсил ничего, не ломал…
+1 за унификацию урлов. Плохо, если по 500 разным урлам у вас будет одна страница, еще и с ответом 200 и без canonical.
led-watch.org.ua/binarnye-led-chasy-2/
Осталось найти магазин в Киеве, где можно купить.
Намекну девушке, что мне тоже такие нужны!
Да, стандартную 404 или 403 я не показываю, да мне это и не надо. Если человек зашел на мой сайт по битой ссылке, уж лучше я ему покажу нормальный дизайн, нормаьлное меню сайта (еще и рекламу), чем просто голую страницу и кусок текста.
Из личного опыта — зашел на сайт по ссылке, увидел белую 404-ю, закрыл вкладку и полез искать дальше. Увидел бы перед собой поиск — воспользовался бы!
Для мелких частов (аля визитки) — да, можно без движка обойтись, но, даже если обработку нужных страниц вы сделаете не в .htaccess, а в index.php — уверяю. на скорости работы это не сильно скажется.
И еще, простите уж, зацепился. Не обязательно даже БД дергать для обработки ЧПУ, имея хорошо продуманную структуру урла. /{module}/{task}/{param}/
Разделили на куски и пользуем.
Очень жаль, с удовольствием бы почитал соответствующую статейку.
Я хоть и «ничем таким» не занимаюсь, но уже хочу.
Это, конечно, на словах и в идеале, и я понимаю, что на практике заказчик будет говорить: «ну как же так, это ж ежу понятно, что могут быть спецсимволы в ключах»
К тому же, если я, допустим, пишу сообщение о выкупе, ну не буду я в нем использовать смайлики, выравнивания и, я надеюсь, ошибки ;)
Кто-то спалил «кормушку», самому захотелось поживиться. Вариантов было 2 — либо пойти к «шпийону» и потребовать кусок за молчание (автоматически влипая в эту уголовщину), либо сдать его руководству и надеяться на бонусы в свой счет.
Так что не удивлюсь, если вы окажитесь правы на счет «кто-то из своих».
А то, что денег не перевели, это, как вы говорите, повезло просто. Попытка перевода была? Была.
Хотел бы все-таки послушать отчет о том, как Аарон Бар вычислял анонимов.
У меня, видимо, даже кука осталась с этого сайта, может я и в закладки его добавил, чтоб потом друзьям показать какую штуку придумали. Но пушку я не запускал. За что садить?
В реальных условиях надо же смотреть на проект. Если это мелкий сайт, который не содержит важной информации — достаточно простой проверки куки. Если же речь идет о банковских сервисах (или ресурсах с важной информацией) — то лучше килять сессию как только поменялся браузер и\или REMOTE_ADDR.
Я, как пользователь, лучше еще раз введу логин\пароль, чем в один момент увижу, что у меня на счету 0 у.е. или даже минус…
ИМХО самый простой и верный способ — в каждую папку запихнуть index.html с текстом. Это будет полезно, если сайт переехал на другой хостинг и апач настроен отдавать список файлов, если нет индексного файла (т.е. открывает порой важную инфу)
Самое «забавное», что жена пароль сказала сама, он же не брутфорсил ничего, не ломал…
www.torproject.org/