Здравствуйте, Calc, Вы писали:
C> на обычном железе арифметические операции, операции поиска в тексте, конкатенция и т.д. занимает 0.00x секунд на всю страницу при работе с mysql 0.0x если есть сортировка и временные таблицы, так же нужно учесть количество записей и бредовость запросов C> Пример с одного сайта. Там косяк с индексами, но не хватает квалификации для их перепеси.
Здравствуйте, kochetkov.vladimir, Вы писали:
k> AB>У... вижу. Мне бы такого security officer на opensvn... k> Для Avalon'а? Так я его и так тестировать буду (security@rsdn чуть подзабросил из-за нехватки времени, каюсь. Но планирую вернутся к нему в апреле, если что). Или ты про другие проекты?
Я про тот проект, на котором хостится avalon. Хотя, если исходить из того, что там должны хоститься только opensource проекты, то его взлом не должен быть страшен — там брать будет нечего.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Sheridan, Вы писали:
S>>Приветствую, anton_t, вы писали:
a>>> Язык, который позволяет делать такие глупые (и главное неизбежные) ошибки — плохой язык. Хотя ты, конечно, можешь сказать, что любишь гулять по граблям S>>Да, плохой язык. Об этом все знают.
KV>А о каком языке все знают, что он хороший? (это чтобы тема не загнулась)
Ruby, Ruby!!!
Здравствуйте, Anton Batenev, Вы писали:
AB>Здравствуйте, Calc, Вы писали:
C>> php_flag register_globals off
AB>Дык она же начиная с php 4.2 по умолчанию Off, и deprecated начиная с 5.3...
Код иногда достается по наследству, так же как и сервера
Здравствуйте, Calc, Вы писали:
C> AB>Дык она же начиная с php 4.2 по умолчанию Off, и deprecated начиная с 5.3... C> Код иногда достается по наследству, так же как и сервера
Ну так обсуждаемая задача не наследовалась, а писалась заново.
Здравствуйте, Calc, Вы писали:
C>Профессионалы, **** вашу мать...
Спасибо.
C>И читайте доки. PHP устойчив к "идиотским ошибкам", идиотские ошибки в нем не рушат работу всей системы
Спасибо еще раз.
C>и не забудьте xdebug поставить на сервер.
Да незачем уже. В скором времени, LAMP на этом сервере прекратит свое существование.
C>Не будете делать таких глупых ошибок.
Глупую ошибку я совершил ровно одну: поленился настраивать рерайтинг урлов, чтобы завернуть /banners на IIS и собирать банеры на нормальном языке. Уже исправился и, как только решится вопрос с графикой, банеры будет собирать код на Nemerle. Ибо, возможно это будет откровением, но есть языки, в которых "правильность и чистота написания кода" ложится на компилятор/интерпретатор настолько, что забываешь о том, что нужно что-то помнить, знать, держать в голове и т.п. Да бог с ним с Nemerle'ом, в том же Python'e такие грабли невозможны в принципе, безо всяких конфигураций, уровней ошибок, отладчиков и т.п.
А поводу "профессионалов"... Мне можно, т.к. я ни разу не программист, у меня несколько иная предметная область
. И в этой области как раз-таки программисты зачастую совершают такие ошибки, что становится страшно за будущее всей отрасли. Но при этом, я не вспоминаю их матерей, не называю идиотами, а стараюсь как можно более корректно сообщать им об их ошибках. Советую подумать над этим.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>А поводу "профессионалов"... Мне можно, т.к. я ни разу не программист, у меня несколько иная предметная область
. И в этой области как раз-таки программисты зачастую совершают такие ошибки, что становится страшно за будущее всей отрасли. Но при этом, я не вспоминаю их матерей, не называю идиотами, а стараюсь как можно более корректно сообщать им об их ошибках. Советую подумать над этим.
Советую задуматься над вашими *** в названии темы, после этого сделать выводы о стилистике поста
Здравствуйте, Sheridan, Вы писали:
k>> Еще обратил внимание (но не проверял) на недостаточный контроль данных из кук (style). Скорее всего, там тот же самый набор уязвимостей. S>Жду
$_COOKIE['style'] попадает в HTML без какой-либо предварительной обработки. По сути, это — перечисление, поэтому стоит проверять его значение на допустимые варианты, и, в случае, если оно содержит недопустимое, использовать default-стиль. В принципе, само по себе, оно не является серьезной уязвимостью, т.к. эксплуатировать его нереально. Однако, если (используя другую XSS на твоем сайте, например) атакующему удасться установить эту куку в что-то типа '>"><script>alert(0);</script> , то мы получим уже не отраженную XSS, а вполне себе активную, т.к. злонамеренный javascript будет исполняться каждый раз, когда жертва будет заходить на твой сайт, даже по нормальным ссылкам. Поэтому лучше это закрыть.
Начал прогонять сканером, но он, также как и я ничего больше не нашел. Пока
Здравствуйте, Sheridan, Вы писали:
S>Приветствую, kochetkov.vladimir, вы писали:
k>> Да незачем уже. В скором времени, LAMP на этом сервере прекратит свое существование.
S>Неужели LAPP поднимешь?
Приветствую, kochetkov.vladimir, вы писали:
k> $_COOKIE['style'] попадает в HTML без.....м. Поэтому лучше это закрыть.
fixed
k> Начал прогонять сканером, но он, также как и я ничего больше не нашел. Пока
Вот и славно Cgfcb,j ,jkmijt ^)
Впрочем если что заметишь — свисти.
k> P.S: Зачем тебе 53-ий порт снаружи?
dns. Обслуживает зону sheridan-home.ru
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Calc, Вы писали:
C>>Советую задуматься над вашими *** в названии темы, после этого сделать выводы о стилистике поста
KV>Это был пин-код моей кредитки. А вы что подумали?
А у меня номер паспорта родителей
Здравствуйте, kochetkov.vladimir, Вы писали:
k> Ух ты. Я, до сегодняшнего момента, как-то не догадывался, кто его владелец
Ну я как-то анонсировал его на RSDN, но особенного энтузиазма он не вызвал, а я и не настаивал — тогда сервер еще был в России и достаточно слабенький.
k> Глянул, по-диагонали. На первый взгляд — ок, явных дыр нету. На следующей неделе смогу глянуть не по-диагонали, если хочешь.
Да, был бы благодарен. Исходники, если потребуются, могу предоставить (надо будет зарегистрироваться на ресурсе и сообщить OpenID).