Зависимость может быть не от размера сайта а от говнистости кода.
Если кривая тема, да еще и частично зашифрованная (как делают для защиты копирайтов и вирусников), или когда в базе много внешних ссылок на ресурсы (картинки обычно хотлинкают) или даже на себя же ссылки в статьях делают (например с хештегом каким) абсолютными. Тут бывают пляски, а так то разницы между десятью страницами и миллионом - нет.
Забудьте. Всё забудьте. Возьмите бутстрап.
Не потому что он идеальный. Просто меньше шансов отстрелить себе ногу при вашем уровне понимания.
Зачем? Инвалидация по TTL?
Может не надо самокат строить? Судя по вопросам - рано вам еще.
А эти заходы имеют конверсию?
Ну нет же.
Нет.
Вас развели.
Заходов с яндекса нет, вас развели.
Расходимся.
Предположу очевидное - статистика фейковая включая переходы с яндекса на ваш сайт. Наслали ботнет с поддельным реферером, и втюхивают вам платное размещение у них. Если бегло то смотрите на позиции - у вас позиции улучшились? Нет? Но трафик с поиска возрос.... Странно да?
SeVlad, каждому. Каждому. Был бы я помоложе - в каждом кафе пачку зомби бы себе заводил. А когда (иногда случается) попадал бы на площадку в ДЦ или к провайдеру, да с доступом поближе к ядру, так и приличные зомбосетки бы получал.
Я то с чернухой завязал когда понял что это репутацию портит). Но...
Еще раз повторю - незашифрованный сайт позволяет MiTM.
Любой кто может оказаться посередине - может вставить всё что захочет от имени этого сайта. В частности в совокупности с другими проблемами безопасности это может позволить получить полный контроль над компом любого пользователя зашедшего на любой незашифрованный сайт.
Кто может оказаться "в середине"?
Теоретически ограниченный круг лиц.
На практике - сосед по кафе, админ в офисе, работник провайдера. Не только твоего провайдера, но и "соседа". Работник хостера. Не только того где целевой сайт. Любого.
Я согласен с вашей позицией что корпорация Добра старается запретить хулиганить всем кроме себя любимых. Но сам факт того что другие хулиганы существуют - никуда не девается.---------- Добавлено 06.02.2017 в 14:08 ----------
Ну вот то что гугл с яшей не сделали нормальных условий по переклейке это да, возмущает. Всё остальное - норм)
А где вы были когда SMTP было без паролей везде и совсем, и всех костылей для _частичного_ уменьшения дырявости не было? А где вы были когда BGP придумывали?)
Не Вы спрашивали, но в отличии от спрашивавшего Вы хоть более адекватны).
В девяностые я был молодой, так что воровал интернет у юзеров банальным спамом троянами. Иногда взламывали провайдеров, но не часто удавалось. Молодые были.
Был такой провайдер, вроде УкрНет. Помню у них были желтые корп.цвета. Не ГолденТелеком, с голденом отдельные истории были. Но вроде как не тот который ukr.net. Хотя может и он, не суть. Ребята к безопасности относились примерно как вот тут вот рассуждают. Ну а чё? Можно ведь проверки и в браузере делать да? Просто в JS запретить человеку что-то делать, он и не сможет. У Голдена точно помню фишка была что они через JS ограничивали повторные акционные подключения и с неподходящей географией. УН интереснее было. Один мой знакомый хотел им помочь с безопасностью. Вообще почти даром. Чисто на кофе которое будет пить пока будет помогать. Но они нахамили, вели себя плохо. В общем продавал он их уязвимости. Дорого. Думаю на пару квартир хватило бы. Давно.
Вы тут достаточно давно. Историю по продаже кота в мешке помните? дамп базы Сапе продавался. Не всей конечно. Только список всех сайтов рунета торгующих ссылками. Не https, но момент там похожий был). Именно из области "да кому оно надо, безопасностью заниматься, кто тут ломать будет". 5килобаксов база стоила. Боялись все, что их забанят в ПС.
XAP кстати тоже взломали тогда. Но там чувак добрее был. Я наученный нашими провайдерами сразу базу продавал, правда выбирал людей которые не сольют в паблик, чтобы пипл не пострадал (не слили). А з*** добрый был. Бесплатно отдал уязвимость. Если я правильно помню. Уязвимость кстати похожая была.
Вам SMS с подменой отправителя не приходили никогда? Не. Это не я. Сам баловался конечно, но это была известная (в узких кругах) тема, что smsc без фильтрации отправителя были. Последние годы только ужесточилось, научились разработчики софта для операторов фильтровать. А так обычно все через арабов гнали. Приходит тебе смс от твоего друга. Номер его. Цифрами. Всё красиво. Но он ее не отправлял. На МТС (тогда еще UMC) приходит смс с номера МТС. Но пришла она из арабских стран. (не помню где они были). Помню забавно было. Друзьям своим слал сообщения, встречу им забил от имени друг-друга или что-то вроде. Забавно было что когда они поняли что смс поддельные, то оператор им сказал, что не может такого быть, что номер отправителя подменить нельзя.
Просто в гугле найти можно было. Через АПИ или просто с сайта.
До сих пор этот вопрос не протоколом решается, а административными мерами.
Отдельные надстройки и т.п.
Да. Пока писал вспомнил еще прикол.
Во времена аналоговых АТС межгород не взламывали?
Мы когда хулиганили то всегда старались только крупные компании подставлять, интернет почасовку ворованную никогда не использовали, в звонках никого не подставляли. Так что схема была вкратце такая: отключаем у Укртелекома "восьмерку" на телефоне. При этом оператор ставит нам категорию 3 (если не ошибаюсь, давно было). Идея там вот в чем. Когда идет звонок, то оборудование с моей стороны пилиликает особый безинтервальный звуковой код, в котором первая цифра это категория, а дальше номер телефона. Ну и междугородняя АТС определяла эту пиликалку и уже по ней выставляла счета. Оборудование старое. Поэтому мы в нужный момент лупили очень громко в линию свой звуковой код, в котором был записан номер телефона таксофона (с восьмеркой который). Если вдруг заглушить не удавалось, то мой номер сбрасывался, ведь у меня третья категория, запрет восьмерки. Если прокатывало, то звонок проходил, но счет выставляли таксофону.
Подделка email до сих пор иногда прокатывает, хоть уже куча костылей существует. Но основные протоколы дырявы довольно, и ни фишинг ни спам не режут, а только отдельные надстройки.
Незадолго до начала войны участвовал в разработке одного сервиса для РФ. Чисто для банков и т.п.
Через Казахстан влазили во внутреннюю сеть мобильных операторов (мы ничего не ломали, сразу говорю, и кривостью протокола не злоупотребляли, нам давали партнеры оттуда уже готовый АПИ, но они злоупотребляли да). В общем местоположение любого владельца мобилки в РФ определялось без его информирования и согласия. Теоретически мы не нарушали ничего, с банками были договора (не у меня, у партнеров моих и т.п., да и срок давности уже всё), а у банков в договоре мелким шрифтом согласие на слежку завуалированно есть. Но на практике.. Ну вот я пока тестировал - своих друзей пеленговал. Технических ограничений не было.... Хотели сделать максимально ограниченно, чтобы сканы разрешений прикладывали и т.п., но... лавочку прикрыли довольно быстро.
Впрочем прикрыли организационно. Технически слежка за клиентами другого оператора вполне возможна, при наличии партнерских договоров между операторами. Причем договор совсем не связан с LBS. Грубо говоря договор о роуминге смс часто бывает достаточен)).
Разоткровенничелся я не для того чтобы щеки надувать, а чтобы акцент сделать на том, что куча протоколов вокруг нас кажутся надежными на момент их разработки, но требуют переработки по факту.
Телефонию мы почему ломали? Просто во времена глубокого СССР когда всё это разрабатывалось - и близко не было мысли, что у каждого десятого школьника будет дома стоять комп, да еще и с модемом, чтобы можно было безинтервалку подделывать. ТОГДА это было ок.
А сейчас чуть ли не каждый месяц скандалы о том что связность Интернета нарушена или атака какая-то на низкоуровневых протоколах, или глюки.
Любое. Подчеркиваю. Любое отклонение от безопасности может стать основой для атаки.
Я вот буквально этот коммент писал, и носкрипт сказал чтобы включил все скрипты на сёрче. Неудобно мне было. Лень разбираться (уже разобрался, нужный скрипт на форумимг лежит) где скрипты за кнопочки редактора лежат. В браузере у меня один из плагинов уязвим. Знаю какой и где. Так что серч может вот прямо сейчас вылезти из песочницы и поставить трояна мне на комп. И провайдер мой может, ведь у серча нет https. И магистральник может. И внезапно еще пару сотен крупных компаний могут. Просто левые правила роутинга послав. Да, тут нужна целая цепочка факторов, но кого это волнует. Я доверяю серчу, у серча нет https, а значит его код можно подменить и внедрить мне уязвимость. На другом сайте нельзя, там у меня фильтры включены.
ПС: деньги у меня на другом физическом компе. ;)---------- Добавлено 06.02.2017 в 12:46 ----------АП: а впрямую на вопрос и не ответил)). В общем нигде я не был. Когда это не важно было, так и не обращал внимание. Лет пять назад как тема всплыла более серьезно - ну так киты нашего ИТ-мира свое слово высказали уже. Всё было понятно уже пять лет назад, что назад дороги нет. Вот говору себе и не морочил. Сейчас начали "внезапно" закручивать гайки. Начали темы появляться, вопросы возникать, вот мы "свидетели секты" и начали на них отвечать.---------- Добавлено 06.02.2017 в 12:52 ----------
Сторонний относительно кого?)
Вы знаете, у меня в пределах двух рукопожатий есть мейнтейнеры большинства демонов и систем серверов или прикладного. Многие и впрямую в контактах. Но весь этот софт для меня сторонний.
А как вы (собирательно) отличаете сторонний софт от нестороннего? Браузер с которого вы пишите сторонний? А линукс? А ОпенССЛ? А Курл? А пхп? А Мускул? Постгри? Бинд? А панель управления (испманагер, ЦЭпанель и т.п.)? Гитхаб... Ну ладно, ладно, ГитЛаб)))). Гит в конце концов сторонний или нет? А в чем блин разница то? Вот в чем? Единственная разница лишь в доверии бренду. Доверии в плане честности и в плане технологичности. Всё. А любые разговоры о стороннем софте это глубокая наркомания. Есть основания не доверять LE или нет?
Причем важно понимать, что "отжать" это не только прийти в гости и сказать что теперь это не твое. Тут кстати на удивление проще. Сколько знаю ребят из более-менее крупного бизнеса, так с приходом команды Януковича им делали предложение от которого нельзя отказаться, когда у владельца бизнеса остается половина бизнеса, и забирают только половину. Все-таки бизнес это такая штука где "владелец бизнеса" это тоже должность, и тоже работа. Решения принимать всякие и т.п. лучше получается именно у партнера, совладельца и т.п. чем у нанятого человека. А вот с мелким и средним, там беда. Хорошо помню как несколько близких друзей потеряли свои компании из сферы ВЭД (брокры, экспедиторы и т.п.) поскольку сверху спустили список контор клиенты которых проходят таможню и прочие органы быстро, а остальным должны были создавать режим максимальных задержек. Клиентам было дешевле платить в два раза дороже "правильным" фирмам и получать хуже сервис, чем попадать на простои и т.п.
Самое забавное - за пару лет до этого мы с моим близким другом запускали каждый свой проект, и был у нас разговор, в котором он мне говорил, что человек вкладывающий в бизнес который должен окупаться больше двух лет - самоубийца.
На выходе у него стало на одну квартиру больше, а у меня на одну квартиру меньше :). (Да, говоря про 12-летнюю рыбу, я говорю из своего опыта).
А я что ВП хаял? Или говорил что надо брать неофициальные? Читать умеете или нет?) Или вашу религию обидело что я назвал ВП устаревшим? Ну так это просто факт и всё. Всё когда-то устаревает. А ВП не может обновить архитектуру ибо это будет уже не вордпресс. Совместимость потеряется, а это его главное преимущество. Но для многих задач он всё еще пригоден. Если брать из репозитория, и не слишком доверять всем вокруг.
Вордпресс крайне устаревшая, но очень хорошо (для своего времени) сделанная архитектура. Из коробки у них всё хорошо, а все проблемы всегда вылазят от различных плагинов и тем сделанных задней левой. Так что да, всегда лучше брать что-то стандартное у них. Я вообще за то, чтобы по возможности темы не трогать, а только ЦСС править. Ну почти.
В моем движке есть пару десятков параметров вроде сайдбары, колво товаров одну строку и т.п., а остальное уже стараюсь делать ЦСС. К чему я это? Если умеете их готовить, то лучше всегда из стандартных тем пилите.
Готовые (особенно бесплатные, платные и на приличных площадках еще более-менее) - вечный источник проблем.
