Григорий Земсков mnemonic

Не банальный create_function(). Смотрите habrahabr.ru/post/215139/, я перечислил как минимум
1. eval
2. create_function
3. косвенный вызов функций вида $a($b)
4. assert
5. preg_replace с модификатором «e»
6. вызов через функции, принимающие callable (хэндлеры, работа с массивами и т.п.)

Причем для тех, кто занимается поиском вредоносного кода на сайте очевидно, что конструкции №3 и №6 наиболее сложно найти, так как они характерны для нормальных скриптов. А вот eval, assert, preg_replace(/.*/e) ищутся очень быстро. Если хакер не школьник и не лентяй, он все-таки код свой банальным eval'ом не будет «палить».

Да и потом, какой смысл наворачивать сложную логику подготовки кода для выполнения, если в конце концов обычная замена eval на echo распечатывает результирующий исходный код, который легко проанализировать.

Все бы ничего, но код легко «палится» любым сканером и ищется «ручками» из-за банального eval(). А анализ того, что будет выполнено, делается простой заменой eval на echo.

Сейчас функции запрещают в настройках suhosin (настройки suhosin.executor.func.blacklist, suhosin.executor.eval.blacklist), можно даже мофификатор /e запретить (http://www.hardened-php.net/suhosin/configuration.html#suhosin.executor.disable_emodifier). Ну либо отключать функции через disable_functions в php.ini, лишь бы доступ к нему был на хостинге.

Нет, перечислить все варианты, как можно неявно вызвать код. Половина примеров не имеет отношения к callable.

При сканировании нужно использовать whitelist — файл для конкретной CMS, он убирает большинство ложных срабатываний.

Можно их в купе с AI-BOLIT'ом использовать (http://revisium.com/ai/).

Мощь!

О, больше 2 000 000 скачек? Поздравляю, Андрей!

(кстати, я музыку к этой игре написал :-)

Попробуйте скрипт айболит revisium.com/ai/, он ищет шеллы, дорвеи и вирусы. В том числе и в javascript.

Я раньше тоже руками искал вредоносное ПО, потом мне надоело и я написал php скрипт. Вот тут можно качнуть revisium.com/ai/

А чтобы найти заразу, можно воспользоваться вот этим бесплатным скриптом: revisium.com/ai/

Я уже больше месяца активно пользуюсь enum авторизацией. Да, она неудобна, да, она требует внимания (особенно, когда заполняется форма для получения кода оплаты), но она надежнее просто блокировки по IP или хранения ключей на сменном носителе (потому что в случае кипер классика достаточно украть файл <ваш WMID>.init + пароль от кипера, который кеширует весь environment и ключи не понадобятся). Так что я как в анекдоте «мыши кололись, плакали, но продолжали жрать кактус»

Абсолютно разумное замечание — много не хранить на счету. Но это совет для тех, кто просто оплачивает покупки на ozon.ru или получает $100 за написание статей. А если вы занимаетесь серьезным бизнесом в сети (например, продаете программное обеспечение, в моем случае это sale.qpl.ru/, получаете доход от рекламы и т.п.), где оборот большой, то на счет приходят значительные суммы, которые сразу снимать ни к чему, поскольку часть из них используется для расчета с субподрядчиками, оплаты различных сервисов и пр. Суммы в этом случае намного превышают 150 WMZ. Так что здесь единственный вариант — «укреплять линию защиты» ))

Да, теперь я работаю с отдельного ноута. Поставил туда Dr. Web, ключи загрузил в Enum Storage, поставил на все операции Enum авторизацию. Хотя, уверен, и это на 100% не гарантирует неуязвимость кипера. Увы, исторически сложилось так, что я работаю с Кипер Классиком, есть лайт, но большинство кошельков «забито» в различных системах именно со старого «классика».

У меня в апреле увели несколько тысяч баксов. В связи с этим написал статью, чтобы на мои грабли не наступали www.greg.su/2010/05/ulybaemsya-i-mashemili-kak-u-menya-ukrali-dengi-s-webmoney/

Месяц назад увели большую сумму с Webmoney, написал статью о том, как снизить риск взлома и кражи электронных денег www.greg.su/2010/05/ulybaemsya-i-mashemili-kak-u-menya-ukrali-dengi-s-webmoney/.

Поспешил… простите за косноязычие. Жаль, в хабре нет возможности редактировать свой ответ.

Поделюсь своим опытом ведения семейным бюджетом в Excel за 2009 год www.greg.su/2010/01/opyt-ucheta-semejjnogo-byudzheta-za-2009-god/. Мне кажется, лучшего продукта для домашней бухгалтерии сложно найти. И всегда с собой.

Мои пять копеек:

www.greg.su/2010/02/kak-tratit-na-rabotu-menshe-vremeni/
www.greg.su/2010/01/parallelnaya-zhizn/

Ну тогда все отлично. Архитекторам — респект.

Задумка — супер! Очень ценный сервис, но вопрос безопасности — это то, что меня останавливает от его использования. Аргумент «ключ знаем только мы» очень опасный. Действительно, как уже отмечали многие пользователи — ключ должен знать только пользователь. А вы должны предоставить механизм шифрования по этому ключу. Уровень безопасности вашей системы должен быть на том же уровне, что и уровень безопасности системы клиент-банк, платежной системы вебмани и т.п. Во всех этих системах есть персональный ключ, который не известен Системе, а известен только пользователю.
Размышляя рационально я понимаю, что архитектуру системы, которая перешла в стадию бета-тестирования уже слишком поздно переделывать. Поэтому у меня остается вариант либо надеяться на выход какой-нибудь версии 2.0 с усиленной безопасностью, либо продолжать пользоваться чем-нибудь типа БизнесПака.

Удачи вам, ребята и респект за то, что вы делаете жизнь ИП проще, позволяя сосредоточиться на бизнес-процессах, а не рутинных операциях.

Давайте зададим вопрос — почему клиент просит работника частным образом выполнить заказ?
Потому что по каким-то причинам считает, что результат работы студии и результат работы частного исполнителя (работающего в этой студии) будет равноценен, или по ROI пропорция разрешается в пользу частного исполнителя. С такими клиентами ничего не поделаешь. Это их выбор.

Есть клиенты, которым важны гарантии качественного и своевременного исполнения, поддержка проекта после его сдачи или, например, безналичная оплата. В этих случаях клиент не попросит частным образом выполнить заказ.

Если студия грамотно строит свою ценовую политику, имеет налаженный процесс разработки и поддержки проекта, а также качественное портфолио, всегда будет существовать поток клиентов.
А «увод» клиентов я бы рассматривал скорее как положительный момент, поскольку это процесс фильтрации «плохих» клиентов, которым важно сделать дешево и сердито. С ними в любом случае было бы тяжело работать студии.

Идея отличная. Единственное, что бы я порекомендовал добавить, это то, что и программный комплекс должен быть тоже grandmother friendly. Ведь можно значительно упростить работу в Windows/в интернете для пожилых людей. Побольше предустановленных фич, типа предопределенных кнопок для запуска и проверки электронной почты. Вообще нужны кнопки вида «запустить Яндекс» (чтобы сразу IE запускался и открывал yandex) или «Написать письмо внуку» (запускал аутлук и заполнял To). Именно в такой трактовке. И весь интерфейс должен быть в режиме визарда (диалога с человеком). Тогда ЦА в виде бабушек и дедушек, далеких от IT, будет просто счастлива и перестанет бояться компьютеров.

Относительно раздаточного материала: он важен на презентациях, когда аудитория хотела бы оставить конспект (по сути слайды) презентации себе после выступления докладчика. В случае защиты студента — это, как мне кажется, лишнее, поскольку комиссии вряд ли нужны дипломные работы студентов (кому нужны, их уже «завербовали» до защиты)

Хороший текст.

Вот только правообладателям нельзя «авторские» выплатить трафиком от торрента :)

Золотые слова! Это же из серии «Берем чужие, а отдаем свои».
Человек будет хотеть халяву до тех пор, пока не создаст что-то свое. Только после этого человек перейдет на сторону защитников авторского права, поскольку поймет, что другие будут хотеть его придумку также «на халяву».

в каком качестве композиции сохраняются у вас на сервере? В исходном? Если да, то сколько у вас на хостинге места. Под этот проект нужен нехилый сервер ИМХо.

Классификация девелоперов никоим образом не относится к языкам программирования. Это категория разработчика. И сила старших (ведущих) инженеров-программистов в том, что им по большому счету пох на чем писать. Хоть на калькулятор MK60. Это не уровень владения API, а уровень владения головой, самоорганизация и менеджерские (а также наставнические) способности. И опыт. Главное опыт разработчика.

Рано или поздно налоговая доберется до всех. И, кстати, $500 уже повод.

Я бы рекомендовал оставить название именно WALL-E. Зачем переводить собственные
имена? Этому, кстате в рпятом классе общеобразовательной школы учат.
Перевести можно все и как угодно, но не все можно перевести, сохранив оригинальный смысл.
Мне никогда не нравилось смотреть хорошие западные фильмы в русском переводе.
Поэтому рекомендую все-таки смотреть их в оригинале. Например, с субтитрами,
кому тяжело. Откроете для себя фильм/мультфильм заново, поверьте. И шутки становятся
понятные и задумка автора яснее.

"Сборщик и погрузчик мусора. Земной."

Придумают namespace'ы :)

Извините, Artima, я не хотел вас обидеть :)

а он местами уже применяется, например, в выпадающих меню. Там не нужно кликать.

Очень хорошая новость. Пора бы уже.