Очень вероятно, что БД тоже слили, так как в конфигах есть пароли к ней
Если взломщик конечно не почистил конфиги перед тем, как выкладывать в публичный доступ
И БД на том же хосте, что и скрипты, что тоже эпичненько, если опять же, исходники не были модифицированы
Автологин по ссылке без ограничения по времени — это конечно сомнительное решение, так как любой, кто будет иметь доступ к вашей Яндекс Метрике (например удалённый SEO фрилансер) будет иметь доступ к аккаунтам пользователей по той причине, что эти урлы отобразятся в статистике метрики после того, как по ним перейдёт юзер
Интересно, а каким образом они анализируют подозрительную активность на компьютере? При помощи javascript? Или эту активность анализирует какое-то другое ПО, установленное на компьютере, типа Мэйл.ру агента?
Например, возьмем случай интернет-эквайринга, когда подключенный к банку интернет-магазин имеет в нем один счет, на который поступает довольно большое количество платежей, для которых задержка 10-60 сек критична? Например счёт какого нибудь мобильного оператора или популярной онлайн-игры.
Здесь на помощь может придти занятная особенность условия работы процессинга. Транзакции, на списание средств производятся в нем, в 95-99% случаев живыми людьми, которым моментальная готовность системы к следующей транзакции не особо нужна (10-60с).
А как насчет транзакций на зачисление средств, по ним отдельную систему делать?
На сколько я понял, вы создаете один приватный ключ на все диалоги пользователя.
Предположим, вы общались зашифрованными сообщениями с Васей и Петей, и Петя внезапно оказался сотрудником ФСБ.
И вот Петя появляется у вас на пороге с группой поддержки. а так как он не лыком шит, он заранее выписал приватный ключ на листик.
И даже если вам удастся каким-то чудом добежать до своего компьютера и удалить свой приватный ключ у себя и у Васи, и даже у Пети, это всё равно не помешает Пете расшифровать всю вашу переписку.
Если я не прав, поправьте.
dou.ua/forums/topic/14407
Если взломщик конечно не почистил конфиги перед тем, как выкладывать в публичный доступ
И БД на том же хосте, что и скрипты, что тоже эпичненько, если опять же, исходники не были модифицированы
А как насчет транзакций на зачисление средств, по ним отдельную систему делать?
Предположим, вы общались зашифрованными сообщениями с Васей и Петей, и Петя внезапно оказался сотрудником ФСБ.
И вот Петя появляется у вас на пороге с группой поддержки. а так как он не лыком шит, он заранее выписал приватный ключ на листик.
И даже если вам удастся каким-то чудом добежать до своего компьютера и удалить свой приватный ключ у себя и у Васи, и даже у Пети, это всё равно не помешает Пете расшифровать всю вашу переписку.
Если я не прав, поправьте.
Brian Goetz в книге «Java Concurrency in Practice» в главе 2.2.1. Race Conditions как раз объясняет проблему «race conditions» на примере двух заведений Starbucks
books.google.com.ua/books?id=EK43StEVfJIC&pg=PT43&lpg=PT43&source=bl&ots=uoWzy2rTjz&sig=ip9dsA3gjzd7KoyBebrVfSkEMyc&hl=ru&sa=X&ei=4tFdVbuqGMSssgHx1YG4Dg&ved=0CB0Q6AEwAA#v=onepage&q&f=false