статистический анализатор, ограничения L4 уровня никто не отменял — всё это необходимо, модуль выполняет другую задачу — не дает лечь бэкэндам, пока анализаторы собирают статистику и отсеивают подозрительных.
всё можно варьировать, и капчу можно показывать только тем кто слишком активен и прочее и прочее, но согласитесь, это должно быть в инфраструктуре, коммерческом решении, здесь же предлагается инструмент, который поможет не по всех, но во многих тривиальных случаях.
если он заставит авторов ботнетов потратить время и силы на разработку — profit! ;)
когда доля DoS ботов с full browser stack перевалит за 30%, можно будет озаботиться капчей, но я выше описал свои мысли на тему — «мы выполним JavaScript».
сейчас нет времени и возможностей провести нагрузочное тестирование, но было бы интересно, насколько % изменяется производительность nginx с данным модулем и без него.
для встроенного perl даже есть аналогичный модуль, но он не спасет от парсинга контента regexp'ом + нужно вкомпиливать поддержку perl.
public ключи, очевидно, извлекались из ssl/https сертификатов, информации о ПО, которым сгенерированы ключи, они не содержат, разве что можно было сохранять баннеры сервисов и затем попытаться проанализировать.
добиться отсутствия жучков в данном случае помогут открытые исходные коды. мы живем в неидеальном мире — везде могут быть ошибки, между «шифровать с помощью openssl, который возможно содержит закладки» и «не шифровать» для меня выбор очевиден :)
рекомендация к использованию эллиптической криптографии в данном случае неуместна, т.к. если в случае с RSA нам нужен хороший random лишь один раз(схемы padding'а мы здесь не обсуждаем), при генерации ключей, и его можно проверить, то для эллиптики всё гораздо сложнее и мест для закладок там еще больше.
очень просто — использовать для генерации ключей проверенные средства, которые дадут достаточную энтропию и правильно осуществят проверку простоты чисел. далеко ходить не нужно — openssl с этим отлично справляется.
выставление ~/tmp в php.ini в данном случае ничего не даст.
правильно вам ответили — «Для абсолютной безопасности Вы можете заказать выделенное решение, где сможете изменять все необходимые настройки самостоятельно». для того, у кого сайт состоит из трех страниц(а на вирт. хостинге ничего серьезнее не должно быть) гипотетическая кража сессии не такая уж большая проблема.
всё можно варьировать, и капчу можно показывать только тем кто слишком активен и прочее и прочее, но согласитесь, это должно быть в инфраструктуре, коммерческом решении, здесь же предлагается инструмент, который поможет не по всех, но во многих тривиальных случаях.
если он заставит авторов ботнетов потратить время и силы на разработку — profit! ;)
для встроенного perl даже есть аналогичный модуль, но он не спасет от парсинга контента regexp'ом + нужно вкомпиливать поддержку perl.
рекомендация к использованию эллиптической криптографии в данном случае неуместна, т.к. если в случае с RSA нам нужен хороший random лишь один раз(схемы padding'а мы здесь не обсуждаем), при генерации ключей, и его можно проверить, то для эллиптики всё гораздо сложнее и мест для закладок там еще больше.
RSA не взломан, ему по-прежнему можно доверять, проблема с ключами — это как слабые пароли.
P.S. автору: сначала проверьте у себя что даст выставление ~/tmp в php.ini.
и учтите, что пользователь работает под nobody/nogroup итп, без homedir.
правильно вам ответили — «Для абсолютной безопасности Вы можете заказать выделенное решение, где сможете изменять все необходимые настройки самостоятельно». для того, у кого сайт состоит из трех страниц(а на вирт. хостинге ничего серьезнее не должно быть) гипотетическая кража сессии не такая уж большая проблема.
ru.wikipedia.org/wiki/FQDN
«доступ к общедоступным спискам квалифицированных доменных имен»
и всё остальное…
уже если репостите, неужели лень потратить 5 минут на нормальный перевод?