Можно ли где-то посмотреть детальную статистику по CMS, где указаны конкретные проблемы в безопасности? Например сколько вредоносного кода (как проверяли?) обнаружили на сайтах? Какова процентная доля используемых критериев? Скажем, «Версия CMS и веб-сервера» как учитывается в исследовании?
Пароль был украден, но ftp был закрыт сразу, пароли все менялись. Шел мы нашли оперативно, а вот вредоносный скрипт для вставки — не сразу. Думаю, что злоумышленик ставил цель быть как можно менее заметным и его скрипт был единственным вариантом самостоятельно менять базу. Подобное может случиться с любым, дырку на сервере прикроют, а данные в базе останутся «зараженными». Так что фильтрация получаемых данных из БД на уровне CMS не будет лишней.
>> большинство разработчиков уже давно в курсе, что данным, которые получает сервер от клиента доверять нельзя, практически никто не задумывается над тем, что обратное также верно
Верное замечание. Однажды столкнулся с подобной проблемой. Постоянно ломали сайт клиентки: каким-то образом злоумышленник добавлял в тексты свой script со скрытым iframe. Перелопатили массу кода, пытаясь понять, каким образом он вообще смог получить доступ в админку (сайт на MaxSite CMS). Не нашли. На первом шаге я написал небольшой плагин, который ищет вхождения вредоносного кода и сам его удаляет. Это сработало, но не надолго. Зловредный код вдруг стал появляться в самых необычных местах, вроде названий рубрик или меток. Если бы такое добавление происходило через админ-панель, то автоматом бы сработала фильтрация данных…
В итоге выяснилась, что злоумышленник каким-то образом украл ftp-пароль (админы кивают на троян), залил шел в каталог uploads (только там есть разрешение на запись) и загрузил php-скрипт, который делал дамп одной из таблиц базы, вносил свой script-код, и загружал обратно в базу. Админы, естественно, прикрыли все эти лазейки на сервере, а мне же пришлось реализовать в CMS фильтрацияю не только на приём данных от пользователя, но и из базы данных.
Это будет означать, что вы не пройдете шкалу лжи: хотите показаться лучше, сознательно выбирая «правильные» ответы. Следовательно и на остальные вопросы теста скорее всего будут даны «правильные» ответы, не имеющие отношение к реальности. Весь тест будет признан невалидным.
Кстати, соционические вопросы, как правило, составляются так, что исключают «правильность/неправильность». В этом плане пройти социотест проще и после обработки можно получить количественное выражение «яркости» ТИМа и каждого его признака.
Ну психологи разные тесты используют. Часто встречается т.н. шкала лжи. Если испытуемый слишком часто выбирает «правильный» ответ, то весь тест считается невалидным. Например «Я всегда внимательно слушаю собеседника, кто бы он ни был».
Необходимо учитывать, что на сегодняшний день соционические тесты имеют большую погрешность. Поэтому помимо ТИМа, часто учитывается его т.н. выраженность. Несколько лет назад с другом собрали примерно 2 тысячи анкет, где участники указывали дату и время рождения, а также походили два теста Кирси и Гуленко.
После многочисленных анализов было определено, что многие вопросы тестов составлены некорректно. Например вопрос на экстраверсию/интроверсию «Новые и нестандартные отношения с людьми: а) стимулируют, придают Вам энергии; б) утомляют Вас», все выбрали первый вариант, причем даже якровыраженные интроверты (их «правильный» выбор — второй). «Перекос» по этому вопросу примерно 80% в сторону экстраверсии.
С Гуленко похожая история. Наример пара: «Трачу энергию не задумываясь — Легко экономлю энергию» с почти все выбирают первый вариант с 80% «перекосом». А вот пара Завязываю контакты легче, чем расстаюсь — Ожидаю контакты от других людей» довольно точно определяет вертность с точностью 75%.
Для рисования/прототипирования можно использовать бесплатный Pencil — pencil.evolus.vn/en-US/Home.aspx Последние версии имеют неплохие наборы элементов.
<p class="header error">Безличное - вочеловечить,</p><p class="header">Безличное - вочеловечить,</p>Куда делся второй css-класс?
Верное замечание. Однажды столкнулся с подобной проблемой. Постоянно ломали сайт клиентки: каким-то образом злоумышленник добавлял в тексты свой script со скрытым iframe. Перелопатили массу кода, пытаясь понять, каким образом он вообще смог получить доступ в админку (сайт на MaxSite CMS). Не нашли. На первом шаге я написал небольшой плагин, который ищет вхождения вредоносного кода и сам его удаляет. Это сработало, но не надолго. Зловредный код вдруг стал появляться в самых необычных местах, вроде названий рубрик или меток. Если бы такое добавление происходило через админ-панель, то автоматом бы сработала фильтрация данных…
В итоге выяснилась, что злоумышленник каким-то образом украл ftp-пароль (админы кивают на троян), залил шел в каталог uploads (только там есть разрешение на запись) и загрузил php-скрипт, который делал дамп одной из таблиц базы, вносил свой script-код, и загружал обратно в базу. Админы, естественно, прикрыли все эти лазейки на сервере, а мне же пришлось реализовать в CMS фильтрацияю не только на приём данных от пользователя, но и из базы данных.
Кстати, соционические вопросы, как правило, составляются так, что исключают «правильность/неправильность». В этом плане пройти социотест проще и после обработки можно получить количественное выражение «яркости» ТИМа и каждого его признака.
После многочисленных анализов было определено, что многие вопросы тестов составлены некорректно. Например вопрос на экстраверсию/интроверсию «Новые и нестандартные отношения с людьми: а) стимулируют, придают Вам энергии; б) утомляют Вас», все выбрали первый вариант, причем даже якровыраженные интроверты (их «правильный» выбор — второй). «Перекос» по этому вопросу примерно 80% в сторону экстраверсии.
С Гуленко похожая история. Наример пара: «Трачу энергию не задумываясь — Легко экономлю энергию» с почти все выбирают первый вариант с 80% «перекосом». А вот пара Завязываю контакты легче, чем расстаюсь — Ожидаю контакты от других людей» довольно точно определяет вертность с точностью 75%.
По ссылочкам «More 512×512» (а также GIF и т.п.) можно посмотреть динамику Солнца по времени.