- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
"Порядок использования ПО" != "функционал ПО" ;)
Лицуха - это таки юр. документ, а не технический.
Т.е. в лицу прописывается как юзер может использовать ПО (на каком домене, и тп), как его передавать третьим лицам, копирайты и тп.
Ну вот и вписать в лицуху, что производителем собирается статистика. Вопрос-то изначально был про то, что "стучалка" - это такой скрытый функционал.
А потом твой сервак взламывают (если ты не сам со временем решишь побаловаться), в этот 1пкс вкатывают шелл/вирь и..? :)
А даже если и не так - массовом запросе твой сервак ложиться от ДДОСа...
С удовольствием выслушаю подробности взлома сайта покупателя через <img src="//seller.ru/1px.gif"/>
Понятно, что вы тут крайние случаи рассматриваете, и как хороший программист, хотите от них защититься, но я вот сомневаюсь, что темы ТС будут ставиться в таком объеме, что будет реальный дос его сервака.
Ну и для счетчика можно эту гифку через тот js вставлять раз на 100 загрузок, чтобы отследить домен этого хватит.
С удовольствием выслушаю подробности взлома сайта покупателя через <img src="//seller.ru/1px.gif"/>
К примеру, через "пикчу" пропарсят куки.
Вообще - когда что-то чужое интегрируется в сайт - это уже потенциально не безопасно. Та же пикча может на самом деле оказаться пхп-скриптом.
Можно увидеть пример кода, как через вставку картинки тегом <img/> можно пропарсить куки чужого домена?
Можно увидеть пример кода, как через вставку картинки тегом <img/> можно пропарсить куки чужого домена?
За этим на хакерские сайты :) (XSS и тп )
Присоединяюсь. У меня вот с моего сайта какой то нехороший дядька тырит картинки, как раз просто вставляя их на своем сайте прям с моего сервера. Как через картинку на моем сервере у него куки то вытащить? :)
За этим на хакерские сайты :)
Мне кажется, или вы пытаетесь несколько съехать с темы?
Если бы это можно было так просто сделать - на том же серче вставку картинок бы давно отключили.
Через картинку можно взять ip-адрес, например, а вот куки - уже нет, ибо домены разные и просто так браузер куки в запросе на картинку не пошлет.
Ну xss - то понятно, в случае, когда у автора есть исполняемый код на стороне сервера (а тема - если она на php - это оно и есть), то можно даже с xss не запорачиваться, а просто куки считывать, да отправять куда хочешь.
---------- Добавлено 13.04.2015 в 20:37 ----------
Присоединяюсь. У меня вот с моего сайта какой то нехороший дядька тырит картинки, как раз просто вставляя их на своем сайте прям с моего сервера. Как через картинку на моем сервере у него куки то вытащить? :)
В порядке офтопика, я бы или по рефереру голых жоп навставлял или плашку добавлял на картинку как у 9gag.com или joyreactor ну или отдавал картинку с большой надписью об оригинальном сайте.
Если бы это можно было так просто сделать
Я не говорил, что просто. Но это реально. Гуглится гораздо проще, чем реализуется.
на том же серче вставку картинок бы давно отключили.
А этот вопрос, между прочим, не раз уже поднимался - были прецеденты, когда в пикчу был вставлен вирь.
А этот вопрос, между прочим, не раз уже поднимался - были прецеденты, когда в пикчу был вставлен вирь.
Вы теплое с мягким не путайте. В картинку встраивается скрипт, затем он заливается на сайт и если там все криво, а именно картинки не проверяются на наличие левого кода и плюс к тому настройки сервера позволяют исполнять код везде где он есть, в том числе и в картинках, то да. Взлом возможен. А через вставку картинки с другого сервера ну никак не поломать. Если только через уязвимость браузера, что тоже не реально почти.
я бы или по рефереру голых жоп навставлял или плашку добавлял на картинку как у 9gag.com или joyreactor ну или отдавал картинку с большой надписью об оригинальном сайте.
Ну вот как бэ один из ответов на вопрос о безопасности сайта покупателя ;)
Зачем мне, как покупателю, всякая срань с чужого сервака? Дыра это.
---------- Добавлено 13.04.2015 в 20:48 ----------
Вы теплое с мягким не путайте.
В данном случае это ты путаешь. Я говорил о том, что юзеры сёрча поймали вирь, который был вставлен другим юзером под видом пикчи с другого сайта. О том, что так были угнаны акки юзеров мне ничего не известно.
Если только через уязвимость браузера, что тоже не реально почти.
Направление верное, но выводы не совсем. Достаточно вспомнить недавние истории с весьма популярными аддонами к браузерам.
Год-Два назад был крупный "взлом"
На рутрекере через пикчу, через оперу редириктили и подсовывали хлам.
Так что сие непотребство имеет место быть.