Атака на отказ в обслуживании методом slow HTTP POST

Решение навскидку для nginx+threaded backend:
sysoev.ru/nginx/docs/http/ngx_http_limit_zone_module.html
sysoev.ru/nginx/docs/http/ngx_http_limit_req_module.html

Директива client_body_timeout работать не будет, т.к. таймаут в этом случае не на весь запрос, а на две операции чтения. Можно также попробовать уменьшить client_max_body_size

Атака на отказ в обслуживании методом slow HTTP POST

У nginx буферы тоже не бесконечные, их размер конфигурируется. Можно модифицировать атаку так, чтобы сначала приезжало такое количество данных, размер которых был бы достаточен для инициирования отправки запроса на бекенд, и дальше слать по байту в секунду.

Атака на отказ в обслуживании методом slow HTTP POST

В большинстве случаев подвержено то, что за nginx'ом (если это не асинхронный сервер, как nginx)

Вебсокеты против Антивирусов. Первый раунд

А чем вас long polling не устраивал?

Microsoft поборол ботнет Rustock

Operation b107 — чтоб никто не догадался!

Взяточник.info — против взяток в вузах

У вас слово «казахстанских» жирным не выделено.

«Цена жизни» — первое литературное произведение, создаваемое с помощью GitHub

scp-wiki.wikidot.com
scp-ru.wikidot.com

Думаю, самая известная wiki-книга, если её можно так назвать

Американец 2,5 года оплачивал счета несуществующей интернет-подруги

Не знаю, я хотел намекнуть на эту цитату и стереотипный желтый заголовок статьи :)

Американец 2,5 года оплачивал счета несуществующей интернет-подруги

Заголовок напомнил…

Смотрите на экранах: Яндекс.Деньги + Сбербанк

И всего за 1,5%!

Много.

Как воруют данные с банкомата

Все же добился, чтобы приехали спецы, не смотря на то, что мне пригрозили судом, если это будет не так.

Здорово, вы заботитесь о их безопасности и безопасности клиентов, а они судом угрожают.

iPhone игрушка нашего производства (Viking Tales)

Точно

iPhone игрушка нашего производства (Viking Tales)

_{Наш продукт? Прототип?}
А по теме — скриншоты довольно симпатичные. Очень смутно напоминает какую-то игрушку, которую видел на PS1 на демо-диске.

Конец копирайта

Все это замечательно, но развивтие событий почти наверняка будет таким:

1. Пользователи платят 2$ за качественный контент, все счастливы
2. Нелегальный файлообмен умирает
3. Пользователей заставляют платить по 40$, и деваться им некуда

«Атака на банк-клиент...». Взгляд со стороны работника банка

В WM — да, в альфа-клик и сбербанк-онлайн — нет, телефон указывается в офисе при подключении соответствующих услуг

«Атака на банк-клиент...». Взгляд со стороны работника банка

Таки скажите свое мнение по поводу систем с подтверждением транзакций по смс (альфа-клик, сбербанк-онлайн, webmoney). Имхо, это самая продвинутая защита сейчас. Даже если троянец будет подменять то, что видит пользователь при совершении транзакции, в смс он увидит настоящую сумму и получателя денег. И троянец это никак проконтроллировать не сможет, т.к. телефон это отдельное устройство.

«Атака на банк-клиент...». Взгляд со стороны работника банка

сим-карта была корпоративной

ССЗБ :) А вообще, это давно было? Альфа-банк вроде научился с этим бороться: habrahabr.ru/blogs/infosecurity/97925/

Наконец-то!

Нету <blockquote>, печально

So we put a factory into your algorithm или как не надо считать факториалы

А, да, хвостового вызова в этом коде нету

So we put a factory into your algorithm или как не надо считать факториалы

А почему бы и нет? Или Java cannot into TCO?