Ой! Я с этим завязал еще в конце 90-х начале нулевых.
Друг мой скинул одному провайдеру информацию по найденной им уязвимости, и предложил им на символическую плату провести им аудит всего. Т.е. всё что нашел скинул бесплатно.
В ответ начали приходить сообщения что кто-то выносит его прокси (в смысле запросы приходят и т.п.). К одному из провов в цепочке прилетела абуза от того "взломанного" провайдера. Админ провайдера по некоторым признакам опознал моего друга, и запутал следы, а другу моему надавал щелбанов, за то что тот чуть не спалился... У провайдера вышел анонс мол "мы вычислили хакера который нас взломал, сейчас ловим"....
Полноценный аудит он провел.
Крупный провайдер с большим пулом диалапа по стране...
На всех радио-базарах, форумах и т.п. можно было купить дискетку с эксплоитом.
Продано было на суммы на несколько нулей больше чем просилось за аудит.
Ущерб? А кто же его посчитает? Тем более там решето было. Не один он ломал...---------- Добавлено 11.12.2016 в 19:23 ----------Вру. Завязал я не после этого.
Завязал я в 2003-м. Когда сообщил работодателю что в системе учета дыра.
Разработчик сказал большое спасибо, доработал баги и т.п.
Шеф меня вздрючил и запретил заходить в помещение где комп стоял.
Ага.
Только 50% времени контролировать это было некому.
Ну т.е. напарник спит, в клубе только мы вдвоем. И дело даже не в том что напарника я знал уже пять лет как)))
Вы знаете... я встречал НЕСКОЛЬКО персонажей которые считали что то что их сливают и т.п. это нормальная ситуация. Ну скопировали клиентскую базу со всеми продажами, телефонами и т.п. с магазина. Это что повод дергаться? сайт то работает дальше. Так что проблемы и нет :)
Считаю что надо прямым текстом говорить наиболее веселый сценарий. Тем более что инъекции дело стандартное, ломают не люди а обычно роботы, а они больше по тому чтобы тебе что-то подсунуть, а не скачать.
Раз уж вы развенчали мою "интригу" (я надеялся ТС сам по подчеркнутым вещам нагуглит), то надо говорить прямо)
Почему только читать? Намного интереснее писать в базу.
Скромненько в список городов добавить iframe на эксплоиты, лить троянов посетителям.
Ну и фильтрация ввода это не совсем панацея. Тем более со своим велосипедом.
Нужно сразу уходить от устаревших библиотек к PDO и параметрам. А вообще не велосипедить, и использовать какой-то ORM и соответственно какой-то фреймворк.
Рано еще велосипедить. Опыта мало.
Я не настоящий сварщик, но слышал рекомендации по таблице транслитерации под яндекс - ту что в яндекс.мани. Когда домен с ключом делаю, то забиваю слово в поисковик и смотрю какие сайты с таким ключом в домене или урл он подсвечивает (жирным в адресе сайта).
Немного грубо, но присоединяюсь. Даже не потому, что мухи с котлетами, а потому что:
Вот всё. Приехали. Распрягайте коней.
Ну и далее всё в таком же ключе.
veleg, я даже не буду спрашивать есть ли у вас на этом же сервере что-то ценное. Не буду объяснять что я тут процитировал. Не буду это делать на практике. Думайте. Может вынесете урок.
Та же тема из недавнего.
По сути - Гугловский пейджспид это "быстрый взгляд" на общую картинку.
Вылизывать баллы под него не стоит. Но если у тебя 22 балла, то да, у тебя жопа со скоростью. Т.е. ты ей явно не занимался.
Баллы отражают колво правил которые ты выполнил/нарушил но не их "тяжесть".
А гугл к гугломепс у меня придирается) Мол увеличь ТТЛ или что-то вроде)
Зависит от конкретной страницы и что именно вы меряете. Если 800кб и 3с это время страницы, то капец как много, если со всей статикой, которая в идеале в кеше сидит, то умеренно. Хороший показатель - "вся страница ДО 1с", но не всегда это возможно.
Вот тут рядом была тема про файлаплоадер и про то как добавлять картинку в текстовый редактор. Раз все равно будете допиливать, то нормальный редактор на ббкоды замените)
Мотвация?1234567890
Я конечно не настоящий сварщик. Но с точки зрения именно юзабилити ИМХО ссылки на многабукв уместны сплошь и рядом - например в категории куча товаров, и юзер ожидает что куда бы он не клинкнул (кроме осмысленных мест типа лого бренда, или название категории или еще что-то), то он перейдет к товару. Заголовок товара, текст-описания... в идеале всё кликабельно.
Не буду утверждать что это хорошо для сео. Но для юзабилити - да.
Можно конечно сделать через ЖС, но надо ли?
Люблю я этих существ.(
Кстати есть такой известный метод троллинга этих существ - пишешь заявление на правохоронителя и вручаешь его ему-же. Конечно правохоронитель не может рассматривать жалобу/заявление на себя. Но любой правохоронитель обязан принять любое заявление о преступлении, и если оно "не его", то передать его туда куда будет правильно.
Не помню нормативку по этому поводу. Тем более вашу. Но знавал пару человек которые любили такие чисто мусорские методы давления на самих же мусоров. Поставить в позу из которой нет хорошего выхода, и показать человеку что это далеко не он управляет игрой, а им управляют.
Но не советую. У тебя правильная тактика, не стоит перегибать.---------- Добавлено 07.12.2016 в 00:39 ----------Да. Еще. Может пригодится.
Не совсем понял что она там намутила с заменой листиков и т.п.
Но помню как-то у нас была одна спец.группа. Собирались следаки из Генпрокуратуры, наши местные и т.п. Разбирали по "вновь открывшимся" десятилетнее дело по терроризму (да, у нас до войны тоже бывали дела по этой статье - "пацаны" взорвали вождя конкурирующей группировки и не считаясь с тем, что вокруг было много народу, которых зацепило с ним).
В общем в группе был один полковник, который должен был меня пивом угостить. И я ждал его у них в кабинете. Всплыл момент, что десять лет назад обвиняемым (которые уже сидели десять лет) какую-то бумажку на подпись не дали. Ну и следаки "для порядка" подсунули им эту бумажку уже в наше время, только без даты. Когда рассказывал этот случай ребятам из других органов, то узнал что существуют СТАНДАРТНЫЕ экспертизы на все эти манипуляции. Расшивали/сшивали? Вынимали скрепки? Заменили листик на более свежий? Подписали не той ручкой? Протыкали дыроколом отдельно от остальных страниц? Все ходы записаны, и всё восстановимо.
