Да сайт я давно перевел в статус хобби и это действительно так, после мелких проблем и смерти остальных проектов остался только один, как говорится для души, но хотелось бы что бы он выглядел и был похож на такие проекты как 3DNews, 4PDA не форум, конференция iXBT, Overclockers и т.п. по компьютерной тематике, ну понятно, что с моими финансами, которые поют романсы — это нереально, но как говориться мечтать не вредно :-)
Наверное за эти 10 лет существования ТСа на сёрча многие уже поняли что он современный Сизиф на з/п у нового сёрча(?).
Поэтому лично я не комментирую труды его копирастерского таланта. Но мимо данного опуса не могу пройти, тк нубы могут уверовать в волшебную таблетку. А это уже опасно.
Итак, начнём понемногу..
1.
и отбил.
Поскольку тесты с 99,9% вероятность производились с одного IP адреса, то сам сервер мог принять множественные запросы за http-флуд и отбить их (после 160 запросов :) ) не подпустив и близко к сайту. Для тех кто ещё не понял: до ВП и тем более плагина дело могло вообще не дойти.
2.
Никаких тестов же без плагина не производилось. Про условия проведения "теста" и настройки сервера (окружения) тоже ничего не известно.
Отдельный вопрос насколько "тестировщик" может оценить [без]успешность каждой из атак, но про это уже не будем..
Хотя возможно, такие тесты не будут лишними, но где метода, где скрипты, которые используют тот список? Их нет. Посему старпост - очередное сотрясение воздуха.
Ида. что я хотел сказать.. Безопасность это долгая и кропотливая работа с яркой систематической составляющей (с) RiDDi.
Так я и не профессионал, а затестил я так ради прикола, для меня сайт — это просто хобби.
Возможно, я спорить не буду, лишь скажу, что эту страницу, блокирующую стремные запросы, формирует сам плагин WAF от Wordfence.
Это, не факт, что без плагина было бы все нормально, но да тестов без плагина не производилось. Настройки сервера окружения все по дефолту.
Метод и скрипт довольно прост, ручками каждую строчку, скопировать / вставить. Да, да я бухал пивас, слушал музон и мне было интересно запуститься хоть что-нибудь из этого списка, ну и в общем ничего не запустилось, большая часть заблокировалась WAF, другое что осталось вроде бы не сработало.
Не пробовали. Ибо strip_tags(), и нефиг грузить систему лишними приблудами. Это если своя форма. А в сторонних тоже что-то аналогичное должно быть (обычно htmlspecialchars(), что правильнее при более сложных пользовательских данных, чем простая форма).
Не хочу быть занудой, но из документации по этой функции - Внимание
Эта функция не должна использоваться для предотвращения XSS-атак. Понятно, что там есть другие рекомендуемые функции и т.п. для проверки вводимых данных в форму, да и думаю да, ребята из Automattic, и в целом разработчики WordPress’а защищают форму поиска от стремного ввода и всяких странных запросов. А вот чужие формы, это да страшное дело, что там, как там, и вот тут бы WAF как раз бы помог, хотя бы на какой-то процент.
Внезапно.
А ставки зачем, есть марафон, фон бет, бет сити, ставь не хочу. Все легально - официально.
Ставки на подпольные бои насмерть, ладно я шучу конечно :-), но что, если я хочу поиграть скажем в ставки на спорт букмекерской компании bwin европейского австрийского бренда, по-моему, у геймеров такие же проблемы с покупками игр в steam’е, хотя эти еще более странные ребята, когда можно все купить в магазинчике репаки от хаттаба. Я шучу.
На самом деле мне только рутрекер нужен, кстати интересный факт – говорят в Белоруссии этот сайта открывается без всяких вэпэнов, но насколько это правда я не знаю. Забавно что заблокированный рутрекер имеет по пол миллиона посетителей в сутки и по 4,433,051 просмотров в день, эх мне бы хоть кусочек этих цифр, и я бы был бы самым счастливым человеком на земле.
Про заблокированный на земле и луне телеграм это уже мем.
Что ты имеешь в виду под выражением "есть доступ"? Доступ есть у любого, кто получил соответствующий архив. Однако это вовсе не означает, что он сможет его расшифровать.
Есть доступ, ну как это объяснить, ну помните эту историю с FBI и iPhone, они там от Apple требовали какие-то толи ключи, толи что-то, для того чтобы по клику открывать и читать на этих телефонах сообщения.
Да никто не пренебрегает, просто интересно что могут сделать, расшифруют данные пользователей, единственные данные там левые адреса электронной почты посетителей, оставивших свои комментарии.
