Буду благодарен, при надобности — публично, если найдете в сделанном только что решении конкретные недостатки или же как-то еще поможете нашему сайту быть более устойчивым к менее доброжелательным атакам. Пойду делать другие дела, удачи всем!
Я действительно невнимательно прочитал видимо сообщение, думал речь о более серьезных уязвимостях, когда пользователю не требуется переходить по странного вида ссылке.
Сделал, чтобы у всех важных форм была проверка реферера, если нет реферера — проверяется по токену. Это быстрое решение буквально в три строчки. Конечно надо защитить еще и GET запросы, конечно токены должны быть более одноразовые, чем я сделал сейчас. Но это лучше делать хорошо обдумав и не с помощью костылей.
Приношу публичные извинения, если мой комментарий выглядел для Вас агрессивным, он и правда резок.
Действительно, если заставить пользователя перейти по странной ссылке — то можно сделать с ним нехорошие вещи. И действительно с этим надо срочно что-то делать.
Здравствуйте, я Валентин Любимов из LiveInternet.ru
Критическая масса людей, которые прочитали это и волнуются за наш сайт, набралась, и я таки отвечу.
1) Да, у нас нет токенов на каждое действие
2) Но у нас также нет возможности вставить ифрейм, а все перечисленные автором действия, которые он конечно смог сделать, спора нет, делаются через POST-запрос.
Я поздравляю господина соврамши, и прошу никого не беспокоиться. Поверьте, скрипткиддис у нас на сайте предостаточно, и они круглосуточно мониторят все наши уязвимости, особенно такого рода.
Быть умным и быть начитанным - это две разные вещи. Автор сетует, что вуз не учит быть начитанным. Да, не учит. Умным - учит быть. Отвественным - учит. Планировать свои силы - учит. А начитанным должны учить первые классы школы, дальше уж сам как-то и книжки выбирай и читай...
Ну, если у вас есть хоть минимальный опыт разработки подобного софта, то ясно видно, что:
1) страницы создаются десятками различных запросов к различным таблицам базы данных, думаю, что на различных серверах, то есть запросов там вообще миллиарды
2) страницы абсолютно разные для каждого пользователя в каждый момент времени, то есть кеширование страниц невозможно в смысле, что один и тот же кеш показывается разным пользователям. если же кеши для каждого пользователя свои, то... прибавьте еще и разработку гениального архиватора, что ли, который на 20 многострадальных серверах хранит кеши для миллионов пользователей. Если даже для одного это 100 кб, то для миллиона это 100 Гб, а там несколько миллионов.
Не, не получается 20 серверов. 200 серверов тоже не складывается,открою секрет, если никакого суперсофта не написано и это просто PHP+Mysql
верите в сказки?)
Тогда их актив - нереальной крутизны софт, видимо на ассемблере, который позволяет отдавать 158,335,951 очень тяжелых страниц за сутки. Это по... 8 млн на сервер, если считать, что каждый из серверов только и делает, что ответы генерит))
Ошибка состоит в простой вещи - социальные сети, у которых 20 средненьких разработчиков, занимают не десятки, а сотни, если не тысячи серверов. И Гугл он вовсе не тот, что десять лет назад, комната наполненная десктопами, это сотни датацентров по всему миру с десятками тысяч серверов в каждом, каждый из которых - максимально навороченный из возможных, хотя и стандартный.
Нет тут виртуальности. Это бизнес, это активы, это бухгалтерия и аудит.
э, кому это "вам" не показываю, как мне Вам их лично показать. интересно - зайдите на сайт и посмотрите. вот новички http://www.liveinternet.ru/rpg.php, правда тут не все, а только те, кто ни разу не регистрировал блог на этот же емейл и не создал сообщество.
ленту новых записей увидеть еще проще.
а насчет "считаются ли" - Яндекс строил, простите, рейтинги, не по моим словам, ага? Они ведут самостоятельные подсчеты и записей и дневников и, поверьте, они о сервисе РСС трансляции узнали не как Вы, сегодня, а уже много лет знают. Он есть и на Яндексе и на ЖЖ по адресу http://www.livejournal.com/syn, вот например трансляция моего блога http://www.liveinternet.ru/users/li_vale…
так что давайте без некомпетентных необдуманных, но экспрессивных выступлений, хорошо?
спорим, что можно подобрать критерий "активности", особенно без возможности перепроверки, который покажет любую заданную картину?
например критерий "существует не менее 3 месяцев" отбракует большую часть дневников более активно развивающегося сервиса. на LiveInternet, например, сейчас регистрируется около 3.5 дневников в день (около 300 тысяч за три месяца). это совершенно честные регистрации с обязательным подтверждением почтового ящика по всем канонам.
совсем непонятно почему то, что мы получим - является оптимальным решением. как из "предположим, что есть более оптимальное решение" вывести противоречие ?
следует понимать, что в задаче 1 такое разбиение не единственно. пример города в точках 0, 10, 1000, 1500 и две станции. одну станцию, очевидно, ставим в точке 1250, вторая - в любой точке отрезка 0-250.
Единственность решения возможна, но это тоже надо бы доказать, если требовать минимизацию суммы расстояний от каждого города до ближейшей станции. И, конечно, никто не говорит, что решение этой задачи является решением исходной.
Решение я бы искал с конца - как мы докажем, что найденное нами решение - и есть наилучшее.
а не иллюстрация ли это легендарного свойства поисковиков "бонус новичка" и не растеряет ли новый домен очень быстро свои первые места?
и второй интересный вопрос - помогает ли очень высокий ИЦ и PageRank домена liveinternet.ru блогам на домене в плане индексации или, наоборот, мешает (так как очень много страниц проиндексировано) ? Другими словами - действительно ли отдельный домен лучше для индексации
Совершенно не реализуемая схема, потому как непонятно кому ее реализовывать, кто ей будет пользоваться и как она будет реально, организационно, финансово и юридически работать.
Реальная рабочая схема есть вот тут, например
http://www.valez.ru/post42315964/
Я действительно невнимательно прочитал видимо сообщение, думал речь о более серьезных уязвимостях, когда пользователю не требуется переходить по странного вида ссылке.
Сделал, чтобы у всех важных форм была проверка реферера, если нет реферера — проверяется по токену. Это быстрое решение буквально в три строчки. Конечно надо защитить еще и GET запросы, конечно токены должны быть более одноразовые, чем я сделал сейчас. Но это лучше делать хорошо обдумав и не с помощью костылей.
Действительно, если заставить пользователя перейти по странной ссылке — то можно сделать с ним нехорошие вещи. И действительно с этим надо срочно что-то делать.
Критическая масса людей, которые прочитали это и волнуются за наш сайт, набралась, и я таки отвечу.
1) Да, у нас нет токенов на каждое действие
2) Но у нас также нет возможности вставить ифрейм, а все перечисленные автором действия, которые он конечно смог сделать, спора нет, делаются через POST-запрос.
Я поздравляю господина соврамши, и прошу никого не беспокоиться. Поверьте, скрипткиддис у нас на сайте предостаточно, и они круглосуточно мониторят все наши уязвимости, особенно такого рода.
1) страницы создаются десятками различных запросов к различным таблицам базы данных, думаю, что на различных серверах, то есть запросов там вообще миллиарды
2) страницы абсолютно разные для каждого пользователя в каждый момент времени, то есть кеширование страниц невозможно в смысле, что один и тот же кеш показывается разным пользователям. если же кеши для каждого пользователя свои, то... прибавьте еще и разработку гениального архиватора, что ли, который на 20 многострадальных серверах хранит кеши для миллионов пользователей. Если даже для одного это 100 кб, то для миллиона это 100 Гб, а там несколько миллионов.
Не, не получается 20 серверов. 200 серверов тоже не складывается,открою секрет, если никакого суперсофта не написано и это просто PHP+Mysql
Тогда их актив - нереальной крутизны софт, видимо на ассемблере, который позволяет отдавать 158,335,951 очень тяжелых страниц за сутки. Это по... 8 млн на сервер, если считать, что каждый из серверов только и делает, что ответы генерит))
Нет тут виртуальности. Это бизнес, это активы, это бухгалтерия и аудит.
ленту новых записей увидеть еще проще.
а насчет "считаются ли" - Яндекс строил, простите, рейтинги, не по моим словам, ага? Они ведут самостоятельные подсчеты и записей и дневников и, поверьте, они о сервисе РСС трансляции узнали не как Вы, сегодня, а уже много лет знают. Он есть и на Яндексе и на ЖЖ по адресу http://www.livejournal.com/syn, вот например трансляция моего блога http://www.liveinternet.ru/users/li_vale…
так что давайте без некомпетентных необдуманных, но экспрессивных выступлений, хорошо?
например критерий "существует не менее 3 месяцев" отбракует большую часть дневников более активно развивающегося сервиса. на LiveInternet, например, сейчас регистрируется около 3.5 дневников в день (около 300 тысяч за три месяца). это совершенно честные регистрации с обязательным подтверждением почтового ящика по всем канонам.
Единственность решения возможна, но это тоже надо бы доказать, если требовать минимизацию суммы расстояний от каждого города до ближейшей станции. И, конечно, никто не говорит, что решение этой задачи является решением исходной.
Решение я бы искал с конца - как мы докажем, что найденное нами решение - и есть наилучшее.
и второй интересный вопрос - помогает ли очень высокий ИЦ и PageRank домена liveinternet.ru блогам на домене в плане индексации или, наоборот, мешает (так как очень много страниц проиндексировано) ? Другими словами - действительно ли отдельный домен лучше для индексации
Реальная рабочая схема есть вот тут, например
http://www.valez.ru/post42315964/
Около 2х миллионов общающихся на блогах мейл.ру пользователей генерируют 5 тысяч сообщений в день.
Средний пользователь, таким образом, обновляет свой дневник раз в полтора года.