да, возможно. Более того, для разных объектов (имена пользователей, группы, OU, etc) существуют различающиеся ограничения по символам юникода. Т.к. существует огромное количество невидимых символов, подобный подход врятли может быть эффективным…
>> Но правда, стойкие пароли к ftp, это же… вызывает улыбку… стойкий пароль который передается открытым текстом…
не соглашусь! пароль действительно передается открытым текстом, но для того, чтобы его перехватить злоумышленнику требуется прослушивать этот трафик, т.е. преодолеть некоторые защитные механизмы. Тут речь больше идет о том, что использовать пароль вида «123» на ftp не является безопасным) И разумеется стоит использовать защищенные протоколы везде, где это возможно.
>> Насчет загрязнения argv — это не баг, а особенность протокола CGI. Вы бы теорию почитали :) Query string передается как аргумент командной строки скрипту.
Я и не говорил, что это баг. Это особенность («фича»). Нужно сказать, что только PHP переполняют подобного рода особенности, как-то неявное приведение типов или получение консольных данных через HTTP ;)
>> А mod_security — не нужен, так как это тупой примитивный фильтр по словам/выражениям, который не способен распознавать и анализировать паттерны атак. Он даже учиться не умеет.
Не согласен. Да, тупой, да, примитивный, но откровенно говоря является промышленным решением и позволяет существенно снизить использование основных уязвимостей в веб-приложениях…
К теме серьезных организаций: «против лома нет приема, если нет другого лома» (с)
>> Но правда, стойкие пароли к ftp, это же… вызывает улыбку… стойкий пароль который передается открытым текстом…
не соглашусь! пароль действительно передается открытым текстом, но для того, чтобы его перехватить злоумышленнику требуется прослушивать этот трафик, т.е. преодолеть некоторые защитные механизмы. Тут речь больше идет о том, что использовать пароль вида «123» на ftp не является безопасным) И разумеется стоит использовать защищенные протоколы везде, где это возможно.
Я и не говорил, что это баг. Это особенность («фича»). Нужно сказать, что только PHP переполняют подобного рода особенности, как-то неявное приведение типов или получение консольных данных через HTTP ;)
>> А mod_security — не нужен, так как это тупой примитивный фильтр по словам/выражениям, который не способен распознавать и анализировать паттерны атак. Он даже учиться не умеет.
Не согласен. Да, тупой, да, примитивный, но откровенно говоря является промышленным решением и позволяет существенно снизить использование основных уязвимостей в веб-приложениях…