• Продвинутые методы неявного вызова php кода, использующиеся во вредоносных скриптах
    –1
    Не банальный create_function(). Смотрите habrahabr.ru/post/215139/, я перечислил как минимум
    1. eval
    2. create_function
    3. косвенный вызов функций вида $a($b)
    4. assert
    5. preg_replace с модификатором «e»
    6. вызов через функции, принимающие callable (хэндлеры, работа с массивами и т.п.)

    Причем для тех, кто занимается поиском вредоносного кода на сайте очевидно, что конструкции №3 и №6 наиболее сложно найти, так как они характерны для нормальных скриптов. А вот eval, assert, preg_replace(/.*/e) ищутся очень быстро. Если хакер не школьник и не лентяй, он все-таки код свой банальным eval'ом не будет «палить».

    Да и потом, какой смысл наворачивать сложную логику подготовки кода для выполнения, если в конце концов обычная замена eval на echo распечатывает результирующий исходный код, который легко проанализировать.
  • Продвинутые методы неявного вызова php кода, использующиеся во вредоносных скриптах
    +1
    Все бы ничего, но код легко «палится» любым сканером и ищется «ручками» из-за банального eval(). А анализ того, что будет выполнено, делается простой заменой eval на echo.
  • Приемы неявного вызова php кода, применяемые во вредоносных скриптах
    +3
    Сейчас функции запрещают в настройках suhosin (настройки suhosin.executor.func.blacklist, suhosin.executor.eval.blacklist), можно даже мофификатор /e запретить (http://www.hardened-php.net/suhosin/configuration.html#suhosin.executor.disable_emodifier). Ну либо отключать функции через disable_functions в php.ini, лишь бы доступ к нему был на хостинге.
  • Приемы неявного вызова php кода, применяемые во вредоносных скриптах
    +1
    Нет, перечислить все варианты, как можно неявно вызвать код. Половина примеров не имеет отношения к callable.
  • Linux Malware Detect — антивирус для веб-серверов
    0
    При сканировании нужно использовать whitelist — файл для конкретной CMS, он убирает большинство ложных срабатываний.
  • Linux Malware Detect — антивирус для веб-серверов
    +1
    Можно их в купе с AI-BOLIT'ом использовать (http://revisium.com/ai/).
  • Миллион загрузок в месяц или как сделать хороший старт на Google Play
    0
    Мощь!
  • Миллион загрузок в месяц или как сделать хороший старт на Google Play
    0
    О, больше 2 000 000 скачек? Поздравляю, Андрей!

    (кстати, я музыку к этой игре написал :-)
  • Очистка заражённых файлов сайта от вредоносного кода. Продолжение
    0
    Попробуйте скрипт айболит revisium.com/ai/, он ищет шеллы, дорвеи и вирусы. В том числе и в javascript.
  • Очистка заражённых файлов сайта от вредоносного кода
    0
    Я раньше тоже руками искал вредоносное ПО, потом мне надоело и я написал php скрипт. Вот тут можно качнуть revisium.com/ai/
  • Советы по защите форума vBulletin
    0
    А чтобы найти заразу, можно воспользоваться вот этим бесплатным скриптом: revisium.com/ai/
  • Фишинговые письма от WebMoney
    0
    Я уже больше месяца активно пользуюсь enum авторизацией. Да, она неудобна, да, она требует внимания (особенно, когда заполняется форма для получения кода оплаты), но она надежнее просто блокировки по IP или хранения ключей на сменном носителе (потому что в случае кипер классика достаточно украть файл <ваш WMID>.init + пароль от кипера, который кеширует весь environment и ключи не понадобятся). Так что я как в анекдоте «мыши кололись, плакали, но продолжали жрать кактус»
  • Фишинговые письма от WebMoney
    0
    Абсолютно разумное замечание — много не хранить на счету. Но это совет для тех, кто просто оплачивает покупки на ozon.ru или получает $100 за написание статей. А если вы занимаетесь серьезным бизнесом в сети (например, продаете программное обеспечение, в моем случае это sale.qpl.ru/, получаете доход от рекламы и т.п.), где оборот большой, то на счет приходят значительные суммы, которые сразу снимать ни к чему, поскольку часть из них используется для расчета с субподрядчиками, оплаты различных сервисов и пр. Суммы в этом случае намного превышают 150 WMZ. Так что здесь единственный вариант — «укреплять линию защиты» ))
  • Фишинговые письма от WebMoney
    0
    Да, теперь я работаю с отдельного ноута. Поставил туда Dr. Web, ключи загрузил в Enum Storage, поставил на все операции Enum авторизацию. Хотя, уверен, и это на 100% не гарантирует неуязвимость кипера. Увы, исторически сложилось так, что я работаю с Кипер Классиком, есть лайт, но большинство кошельков «забито» в различных системах именно со старого «классика».
  • Фишинговые письма от WebMoney
    +1
    У меня в апреле увели несколько тысяч баксов. В связи с этим написал статью, чтобы на мои грабли не наступали www.greg.su/2010/05/ulybaemsya-i-mashemili-kak-u-menya-ukrali-dengi-s-webmoney/
  • Как у меня украли Webmoney
    0
    Месяц назад увели большую сумму с Webmoney, написал статью о том, как снизить риск взлома и кражи электронных денег www.greg.su/2010/05/ulybaemsya-i-mashemili-kak-u-menya-ukrali-dengi-s-webmoney/.
  • Личные финансы — семейный бюджет в GoogleDocs. V2
    0
    Поспешил… простите за косноязычие. Жаль, в хабре нет возможности редактировать свой ответ.
  • Личные финансы — семейный бюджет в GoogleDocs. V2
    0
    Поделюсь своим опытом ведения семейным бюджетом в Excel за 2009 год www.greg.su/2010/01/opyt-ucheta-semejjnogo-byudzheta-za-2009-god/. Мне кажется, лучшего продукта для домашней бухгалтерии сложно найти. И всегда с собой.
  • Про время, рабство и помидоры
  • Comment from a drafted post.
  • Мое дело — Онлайн-бухгалтерия для индивидуальных предпринимателей
    0
    Ну тогда все отлично. Архитекторам — респект.
  • Comment from a drafted post.
  • Мое дело — Онлайн-бухгалтерия для индивидуальных предпринимателей
    0
    Задумка — супер! Очень ценный сервис, но вопрос безопасности — это то, что меня останавливает от его использования. Аргумент «ключ знаем только мы» очень опасный. Действительно, как уже отмечали многие пользователи — ключ должен знать только пользователь. А вы должны предоставить механизм шифрования по этому ключу. Уровень безопасности вашей системы должен быть на том же уровне, что и уровень безопасности системы клиент-банк, платежной системы вебмани и т.п. Во всех этих системах есть персональный ключ, который не известен Системе, а известен только пользователю.
    Размышляя рационально я понимаю, что архитектуру системы, которая перешла в стадию бета-тестирования уже слишком поздно переделывать. Поэтому у меня остается вариант либо надеяться на выход какой-нибудь версии 2.0 с усиленной безопасностью, либо продолжать пользоваться чем-нибудь типа БизнесПака.

    Удачи вам, ребята и респект за то, что вы делаете жизнь ИП проще, позволяя сосредоточиться на бизнес-процессах, а не рутинных операциях.
  • Проблема увода клиентов сотрудниками компании
    +2
    Давайте зададим вопрос — почему клиент просит работника частным образом выполнить заказ?
    Потому что по каким-то причинам считает, что результат работы студии и результат работы частного исполнителя (работающего в этой студии) будет равноценен, или по ROI пропорция разрешается в пользу частного исполнителя. С такими клиентами ничего не поделаешь. Это их выбор.

    Есть клиенты, которым важны гарантии качественного и своевременного исполнения, поддержка проекта после его сдачи или, например, безналичная оплата. В этих случаях клиент не попросит частным образом выполнить заказ.

    Если студия грамотно строит свою ценовую политику, имеет налаженный процесс разработки и поддержки проекта, а также качественное портфолио, всегда будет существовать поток клиентов.
    А «увод» клиентов я бы рассматривал скорее как положительный момент, поскольку это процесс фильтрации «плохих» клиентов, которым важно сделать дешево и сердито. С ними в любом случае было бы тяжело работать студии.
  • ПК для бабушек и дедушек
    +1
    Идея отличная. Единственное, что бы я порекомендовал добавить, это то, что и программный комплекс должен быть тоже grandmother friendly. Ведь можно значительно упростить работу в Windows/в интернете для пожилых людей. Побольше предустановленных фич, типа предопределенных кнопок для запуска и проверки электронной почты. Вообще нужны кнопки вида «запустить Яндекс» (чтобы сразу IE запускался и открывал yandex) или «Написать письмо внуку» (запускал аутлук и заполнял To). Именно в такой трактовке. И весь интерфейс должен быть в режиме визарда (диалога с человеком). Тогда ЦА в виде бабушек и дедушек, далеких от IT, будет просто счастлива и перестанет бояться компьютеров.
  • Советы по защите диплома. Часть 2
    +1
    Относительно раздаточного материала: он важен на презентациях, когда аудитория хотела бы оставить конспект (по сути слайды) презентации себе после выступления докладчика. В случае защиты студента — это, как мне кажется, лишнее, поскольку комиссии вряд ли нужны дипломные работы студентов (кому нужны, их уже «завербовали» до защиты)

    Хороший текст.
  • Только автору решать, что будет с правами на его продукт
    0
    Вот только правообладателям нельзя «авторские» выплатить трафиком от торрента :)
  • Только автору решать, что будет с правами на его продукт
    +2
    Золотые слова! Это же из серии «Берем чужие, а отдаем свои».
    Человек будет хотеть халяву до тех пор, пока не создаст что-то свое. Только после этого человек перейдет на сторону защитников авторского права, поскольку поймет, что другие будут хотеть его придумку также «на халяву».
  • Музыкальная библиотека
    0
    в каком качестве композиции сохраняются у вас на сервере? В исходном? Если да, то сколько у вас на хостинге места. Под этот проект нужен нехилый сервер ИМХо.
  • Ранги разработчиков
    +4
    Классификация девелоперов никоим образом не относится к языкам программирования. Это категория разработчика. И сила старших (ведущих) инженеров-программистов в том, что им по большому счету пох на чем писать. Хоть на калькулятор MK60. Это не уровень владения API, а уровень владения головой, самоорганизация и менеджерские (а также наставнические) способности. И опыт. Главное опыт разработчика.
  • Партнеры РСЯ получат только третью часть от денег рекламодателя
    0
    Рано или поздно налоговая доберется до всех. И, кстати, $500 уже повод.
  • Вселенский Аннигилятор Ландшафтный Лёгкий — Интеллектуальный и продукция Apple
    +1
    Я бы рекомендовал оставить название именно WALL-E. Зачем переводить собственные
    имена? Этому, кстате в рпятом классе общеобразовательной школы учат.
    Перевести можно все и как угодно, но не все можно перевести, сохранив оригинальный смысл.
    Мне никогда не нравилось смотреть хорошие западные фильмы в русском переводе.
    Поэтому рекомендую все-таки смотреть их в оригинале. Например, с субтитрами,
    кому тяжело. Откроете для себя фильм/мультфильм заново, поверьте. И шутки становятся
    понятные и задумка автора яснее.
  • Вселенский Аннигилятор Ландшафтный Лёгкий — Интеллектуальный и продукция Apple
    0
    "Сборщик и погрузчик мусора. Земной."
  • CSS-константы: первые тесты уже на ваших экранах
    0
    Придумают namespace'ы :)
  • Don't click
    0
    Извините, Artima, я не хотел вас обидеть :)
  • Don't click
    0
    а он местами уже применяется, например, в выпадающих меню. Там не нужно кликать.
  • У Microsoft Project появится Open Source-конкурент — OpenProj
    0
    Очень хорошая новость. Пора бы уже.