Не вижу ничего плохого в подходе с проверкой на существование файлов и директорий. Сам пользую этот метод.
Да, стандартную 404 или 403 я не показываю, да мне это и не надо. Если человек зашел на мой сайт по битой ссылке, уж лучше я ему покажу нормальный дизайн, нормаьлное меню сайта (еще и рекламу), чем просто голую страницу и кусок текста.
Из личного опыта — зашел на сайт по ссылке, увидел белую 404-ю, закрыл вкладку и полез искать дальше. Увидел бы перед собой поиск — воспользовался бы!
Для мелких частов (аля визитки) — да, можно без движка обойтись, но, даже если обработку нужных страниц вы сделаете не в .htaccess, а в index.php — уверяю. на скорости работы это не сильно скажется.
И еще, простите уж, зацепился. Не обязательно даже БД дергать для обработки ЧПУ, имея хорошо продуманную структуру урла. /{module}/{task}/{param}/
Разделили на куски и пользуем.
Ну и ничего страшного. Вам дали ТЗ, по нему вы написали код. Заказчик под принял, протестил, денег отдал — проект закрыли. Через месяц поменялись условия — открываем новый таск на доработку с новой таксой.
Это, конечно, на словах и в идеале, и я понимаю, что на практике заказчик будет говорить: «ну как же так, это ж ежу понятно, что могут быть спецсимволы в ключах»
Со словами «как вариант, если надо быстро» — чень даже. А если еще добавить «в данном подходе eval будет злом только в том случае, если программист в конфиг ресь напишет»…
Надо писать тексты на иностранном языке, потом перевод + корректировка «глупостей».
К тому же, если я, допустим, пишу сообщение о выкупе, ну не буду я в нем использовать смайлики, выравнивания и, я надеюсь, ошибки ;)
Человек по сути своей — жадное животное.
Кто-то спалил «кормушку», самому захотелось поживиться. Вариантов было 2 — либо пойти к «шпийону» и потребовать кусок за молчание (автоматически влипая в эту уголовщину), либо сдать его руководству и надеяться на бонусы в свой счет.
Так что не удивлюсь, если вы окажитесь правы на счет «кто-то из своих».
Состав преступления есть. Была модификация данных на компьютере жертвы, которая, в конечном итоге, поломала всю систему. Уже за это можно привлекать.
А то, что денег не перевели, это, как вы говорите, повезло просто. Попытка перевода была? Была.
Красиво раздели контору, «которая специализируется на информационной безопасности».
Хотел бы все-таки послушать отчет о том, как Аарон Бар вычислял анонимов.
Это баловство я еще напервом курсе универа практиковал. Прога позволяла на 1-н акк отправить 5 шаровых смс (с подменой номера). Никаких хитрых умыслов, лишь шутки над знакомыми. Но было весело =)
Я тоже заходил по ссылке с хабра посмотреть на что пушка похожа.
У меня, видимо, даже кука осталась с этого сайта, может я и в закладки его добавил, чтоб потом друзьям показать какую штуку придумали. Но пушку я не запускал. За что садить?
Или комбинировать, REMOTE_ADDR + User-Agent.
В реальных условиях надо же смотреть на проект. Если это мелкий сайт, который не содержит важной информации — достаточно простой проверки куки. Если же речь идет о банковских сервисах (или ресурсах с важной информацией) — то лучше килять сессию как только поменялся браузер и\или REMOTE_ADDR.
Я, как пользователь, лучше еще раз введу логин\пароль, чем в один момент увижу, что у меня на счету 0 у.е. или даже минус…
Более того, яркий пример — папка Files (ну или любая другая) в корне сайта, которая очень долго может оставаться пустой, но в один прекрасный момент туда потребуется записать что-то. И, опять же, прав на создание папки с правами на запись может не быть.
ИМХО самый простой и верный способ — в каждую папку запихнуть index.html с текстом. Это будет полезно, если сайт переехал на другой хостинг и апач настроен отдавать список файлов, если нет индексного файла (т.е. открывает порой важную инфу)
Заподозрил в измене, загрузил gmail на своем ноуте (может там пасс сохранен был и акк залогинен), увидел, что жену приглашают «на выходные поблядовать», устроил скандал, получил несколько лет тюрьмы.
Самое «забавное», что жена пароль сказала сама, он же не брутфорсил ничего, не ломал…
Труъ кодер не будет читать Войну и Мир. Проще новую написать, чем разбираться в 4 Мб чужого кода. © Баш
+1 за унификацию урлов. Плохо, если по 500 разным урлам у вас будет одна страница, еще и с ответом 200 и без canonical.
led-watch.org.ua/binarnye-led-chasy-2/
Осталось найти магазин в Киеве, где можно купить.
Намекну девушке, что мне тоже такие нужны!
Да, стандартную 404 или 403 я не показываю, да мне это и не надо. Если человек зашел на мой сайт по битой ссылке, уж лучше я ему покажу нормальный дизайн, нормаьлное меню сайта (еще и рекламу), чем просто голую страницу и кусок текста.
Из личного опыта — зашел на сайт по ссылке, увидел белую 404-ю, закрыл вкладку и полез искать дальше. Увидел бы перед собой поиск — воспользовался бы!
Для мелких частов (аля визитки) — да, можно без движка обойтись, но, даже если обработку нужных страниц вы сделаете не в .htaccess, а в index.php — уверяю. на скорости работы это не сильно скажется.
И еще, простите уж, зацепился. Не обязательно даже БД дергать для обработки ЧПУ, имея хорошо продуманную структуру урла. /{module}/{task}/{param}/
Разделили на куски и пользуем.
Очень жаль, с удовольствием бы почитал соответствующую статейку.
Я хоть и «ничем таким» не занимаюсь, но уже хочу.
Это, конечно, на словах и в идеале, и я понимаю, что на практике заказчик будет говорить: «ну как же так, это ж ежу понятно, что могут быть спецсимволы в ключах»
К тому же, если я, допустим, пишу сообщение о выкупе, ну не буду я в нем использовать смайлики, выравнивания и, я надеюсь, ошибки ;)
Кто-то спалил «кормушку», самому захотелось поживиться. Вариантов было 2 — либо пойти к «шпийону» и потребовать кусок за молчание (автоматически влипая в эту уголовщину), либо сдать его руководству и надеяться на бонусы в свой счет.
Так что не удивлюсь, если вы окажитесь правы на счет «кто-то из своих».
А то, что денег не перевели, это, как вы говорите, повезло просто. Попытка перевода была? Была.
Хотел бы все-таки послушать отчет о том, как Аарон Бар вычислял анонимов.
У меня, видимо, даже кука осталась с этого сайта, может я и в закладки его добавил, чтоб потом друзьям показать какую штуку придумали. Но пушку я не запускал. За что садить?
В реальных условиях надо же смотреть на проект. Если это мелкий сайт, который не содержит важной информации — достаточно простой проверки куки. Если же речь идет о банковских сервисах (или ресурсах с важной информацией) — то лучше килять сессию как только поменялся браузер и\или REMOTE_ADDR.
Я, как пользователь, лучше еще раз введу логин\пароль, чем в один момент увижу, что у меня на счету 0 у.е. или даже минус…
ИМХО самый простой и верный способ — в каждую папку запихнуть index.html с текстом. Это будет полезно, если сайт переехал на другой хостинг и апач настроен отдавать список файлов, если нет индексного файла (т.е. открывает порой важную инфу)
Самое «забавное», что жена пароль сказала сама, он же не брутфорсил ничего, не ломал…