Насколько я понимаю (поправьте, если не прав), Апач работает как один сервис и апач, как пользователь имеет доступ ко всем директориям с которыми работает. Следовательно, если я на какой-то виртуал заливаю шелл, который в свою очередь работает с правами апача, то я, через этот шелл, получаю полный доступ ко всем директориям, к которым имеет право доступа сам апач.
Следовательно, даже если у Вас супер-мега защищенный сайт, злоумышленник взломав соседа получает файловый доступ ко всей Вашей директории.
Т.е. практически происходит взлом одного из серверов хостера.:(
Могу привести один забавный пример про доработку задешево.
Делали мы как-то систему, где условием было полное закрытие документа от неавторизованного пользователя, при том, что по полнотекстовому поиску этот документ вместе с аннотацией выводился. Делали все на Domino поэтому на каждый документ ставили права, а поиск осуществлялся цепочкой из двух скриптов у одного из которых были права анонимуса и который проверяд валидность запроса к серверу, а второй, с правами сервера этот поиск и осуществлял. В результате получалась временная страница, которая и скармливалась пользователю. Сложно, но с защитой проблем не было.
Попросили доделать. Я назвал цену, с учетом сложности механизма. Через некоторое время переделал другой программер, по цене, раз в 10 дешевле.
В результате программист снес нах всю авторизацию и проверял пользователя на анонимного при отдаче страницы стандартными средствами Domino. Зато с точки зрения Web все работало безукоризненно и красиво. Но через URL можно было воспользоваться командой не просто открыть документ по ID, а открыть конкретное поле в этом документе.
Через год на 3-х специализированных форумах были инструкции по выемке информации с этого ресурса ( Информация специфическая и достаточно дорогая ). Узнав про это программист клиента дыру не закрыл, зато снес полнотекстовый поиск, оставив древовидный каталог с 200 000 документами. :)
Сейчас дыре уже пятый год пошел, клиенты, даже авторизованные не имеют полнотекстового поиска, зато халявщики как таскали материалы, так и таскают :)
Главное - что все довольны🚬
Егор, Я про эту зону уже лет как 10 знаю :)
И более того, денег на ней тоже неплохо наживаю. На лохах, которые платят по 450 у.е. в год за поддержку DNS для этой зоны :) Правда я сначала честно предупреждал о возможных проблемах, а потом просто влупил цену за поддержку NS.
Но, не все же тут лохи.
Да, и уже однажды ее морозили. А выпустили с очень неясным статусом.
Ну, это вааще - самостийность. Для особых эстетов. И как, и главное, с кем они будут разбираться - я не знаю и знать не хочу.
При таком количестве зарегеных доменов - да. 7K доменов, да по 40 в год ( надо же что-то реселлеру оставить ) - получается 280 000 в год. т.е. около 23 500 в месяц.
В зоне РУ только за сентябрь оборот составил около 25 000 ( это без продления ) да по 3 ( тут реселлерсая цепочка длиннее ) - 75 000 в месяц. если с продлениями то выдет поболее 100 000 в месяц.
Не вижу тут высокой себестоимости. Вижу только низкую эффективность бизнеса.
Я лично, высказал свое мнение - это пока не та зона, куда надо вкладываться.
Уж лучше в EU :)
Тады вперед, с песнями и плясками :)
Хотя аналогичные зоны .net и .info стоят существенно дешевле.
Но ведь нет этой зоны что в документах ICANN.
Хорошо, а кто, в случае прекращения делегтрования зоны будет покрывать убытки?
Получается, что это дорогое и высокорискованное вложение.
Поэтому то и динамика прироста доменов там такая низкая. Те, у кого есть деньги, и кто их умеет считать - предпочитают покупать домены зоны RU на вторичке намного дороже, чем свободный домен в SU. Те, у кого нет денег - покупают домины в info и подобных зонах. Остаются те, кто ни хрена ни понимает - т.е. лохи.
Я бы, на месте владельцев, снизил бы цену регистрации до 1 доллара за домен, и пустил бы туда всех. Ибо - ненадолго, но очень дешево. А у нас халяву до сих пор любят.
Для чего ломают сайты?
Навскидку есть следующий ряд причин:
Некоммерческие:
1.1. Показять себя и попрактиковаться
1.2. Отомстить
Коммерческие:
2.1. Получить информацию из закрытых разделов
2.2. Разместить XSS скрипты для последующего создания бот сетей.
2.3. Опустить конкурента в серпе видоизменив страницы ( к примру, поменяв все русские "o" и "е" на аналогичные с другой кодовой страницей, поменять немного тексты и заголовки)
2.4. Разместить дорвей
2.5. Поставить ссылки на собственные проекты.
2.6. Получить контроль над локальной сетью администратора сайта ( он, зачастую, является и админом компании )
При этом, коммерческие взломы характеризуются высокой латентностью. Т.е. владелец догое время не замечает, что он взломан.
Т.е. из Вашего поста следует, что домен в этой зоне могут в любой момент залочить?
Если это не так, то какие существуют проблемы?
Хороший PR ход - это серьезные вложения в информирование людей о зоне SU.
Например, сайт xxxxx.ru будет получать неплохой дополнительный траф с домена xxxxx.su за счет того, что люди, зная что фирма российская, постоянно набирают доменный суффикс .ru.
Несколько лет назад мы делали проект для одного банка. Сайт у них был в зоне .com. Руководство считало, что так круче :)
При этом домен в зоне .ru был свободен. Мы зарегили для них домен в зоне .ru и сделали там редирект на основной сайт. Так вот, 60-70% Type in запросов было именно к домену в зоне .ru. Сейчас основной сайт - в зоне .ru.
Цена в 100 уругвайских эскудо для хорошего домена - деньги небольшие. Только как к этому клиенты отнесуться. К примеру, если менеджеры банка ведут переписку не с корпоративной почты банка - то многими клиентами это расценивается как серьезный негатив. Типа бардак у них, почты своей нормальной нет, или манагер налево работает :)
Короче, мое мнение - зона su - для лохов, у которых нет денег, чтобы купить нормальный домен в зоне .ru. Это как человек, с замашками владельца ролс-ройлса, который ездит на Волге, мотивируя это тем, что он поддерживает отечественного производителя. :)
Воистину так 😂
Вас могут ломануть и через соседа кривеньким движком.
Тут очень хорошее видео о взломе cracklab.ru
http://video.antichat.ru/file211.html
есть такая штука - технические требования(ТТ). Это еще не ТЗ, но уже кое-что, где бюджет с 10% вероятностью просчитывается. ТТ тоже требует времени, но меньше.
Я обычно делаю ТТ бесплатно, на его основе определяю бюджет, причем детализованный. Заказчик, если мы выходим за рамки бюджета, урезает функциональность или еще какой компромис находим. У меня из 3-х ТТ стреляет, как правило одно. Но это обычные издержки производства.
Вы же не выключаете телефоны и интернет в офисе, когда нет заказов :)
Зону ссу - на рублевку, за колючку😡
ИМХО, в усыновлении очень неплохое бабло крутится.
Посмотрите на регулярные PR войны на TV - То куча передач про то, как американка убила приемного ребенка из России, то про то, как наша мать своего ребенка на цепи держала... только почему-то очень невнятно проходит тема о житие в детских домах, или про то, как пенсионеры на 3000р. существуют.
