Комментарии 50
На правах оффтопа: Недописанные топики на хабре автосохраняются. Появляется зеленая плашка вверху «У вас есть автосохранение от… Восстановить? „
Что такое HxD?
— (извиняюсь, голова уже не соображает)
На моей памяти последнего кто так выложил дыры забанили
Живет пост, вроде нормально ) habrahabr.ru/post/176481/
Да я и спросил, прежде чем опубликовать. Хоть они и не особо были «за», но явного противоречия не было. Да и я считаю, что статью опубликовать надо, так как Хабр показал правильный пример, который может пригодиться многим.
Да я и спросил, прежде чем опубликовать. Хоть они и не особо были «за», но явного противоречия не было. Да и я считаю, что статью опубликовать надо, так как Хабр показал правильный пример, который может пригодиться многим.
Если пользователь у нас спрашивает о публикации, то никто его не забанит.
Опасный ты человек
Интересный метод восстановления утерянной статьи. Хотя хромоводам все равно придется непросто :)
У меня в Хроме для этой цели стоит расширение Lazarus: Form Recovery
Я скептически отношусь к расширениям — habrahabr.ru/company/dsec/blog/192294/
Лучше дампну, редкая ситуация)
Лучше дампну, редкая ситуация)
Почему? Я хром дампил. Сделал все за пару минут :)
Ничего Дампить не надо было. В хроме есть Дев. Тулс, а Хабр сохраняет весь текст в локал-сторадж.
Ваш кэп )
Ваш кэп )
Хинт зачетный
Но вообще меня такие люди пугают
Кругом хакеры
Но вообще меня такие люди пугают
Кругом хакеры
а что если реферер пустой? ;)
При сабмите формы?
Я пробовал обойти через habrahabr.ru.evil.com (думал, мб регуляркой ошиблись?) — не прошло. Пустой / не задавать вообще — получим тот же результат.
Я пробовал обойти через habrahabr.ru.evil.com (думал, мб регуляркой ошиблись?) — не прошло. Пустой / не задавать вообще — получим тот же результат.
Так стоит ли (безопасно ли) на сайте при проверке реферера пропускать все запросы где реферер пустой? Т.е. считать такие запросы легитимными.
Просто многие программы которые пользователи себе устанавливают и некоторые корпоративные прокси рубят рефереры в запросах пользователей и если проверять реферер на чёткое соответствие, то такие пользователи не смогут пользоваться сайтом вообще.
Просто многие программы которые пользователи себе устанавливают и некоторые корпоративные прокси рубят рефереры в запросах пользователей и если проверять реферер на чёткое соответствие, то такие пользователи не смогут пользоваться сайтом вообще.
Стоит реализовывать нормальную защиту токенами.
Ну, на примере Хабра видим — что все ок, блокируют все не хаброрефереры, включая пустые. Значит жалоб не было.
P.S. Как-то я пытался найти хоть 1 проксю в компаниях, которая режет рефереры — не нашел.
Ну, на примере Хабра видим — что все ок, блокируют все не хаброрефереры, включая пустые. Значит жалоб не было.
P.S. Как-то я пытался найти хоть 1 проксю в компаниях, которая режет рефереры — не нашел.
Про защиту токенами я тоже знаю, но не уверен что самый лучший вариант.
В моём случае — просто генерирую на сессию токен и подставляю его во все формы в скрытое поле.
При посте формы сверяю токен в сессии и из формы, не совпало — в сад. Суть защиты что посторонний человек не знает чужого токена. Так?
В моём случае — просто генерирую на сессию токен и подставляю его во все формы в скрытое поле.
При посте формы сверяю токен в сессии и из формы, не совпало — в сад. Суть защиты что посторонний человек не знает чужого токена. Так?
Да, все верно. Гугл тоже в некоторых местах генерит один токен на всю сессию.
>Про защиту токенами я тоже знаю, но не уверен что самый лучший вариант.
как раз самый лучший. Реферер не показывает что запрос легитимен, он лишь показывает автора. Знание токена выражает подлинность запроса куда лучше.
во флеше и прочих плагинах всегда находили баги. совершенно не защита
как раз самый лучший. Реферер не показывает что запрос легитимен, он лишь показывает автора. Знание токена выражает подлинность запроса куда лучше.
во флеше и прочих плагинах всегда находили баги. совершенно не защита
Мэн, ты крут! Вырвал таки креатиф из цепких лап дампа памяти!
Но вот этот последний пассаж как-то испортил впечатление =(
Много лучше было бы не припиской самоутвердиться, а статьёй оформить — много полезнее для читателей хабра, сообщества, кармы здесь и вообще =)
Но вот этот последний пассаж как-то испортил впечатление =(
Много лучше было бы не припиской самоутвердиться, а статьёй оформить — много полезнее для читателей хабра, сообщества, кармы здесь и вообще =)
Воспользовался поиском, оказывается, уже писали :)
habrahabr.ru/sandbox/68544/ — в песочнице похожий способ
habrahabr.ru/post/169193/ — линуксоидам
habrahabr.ru/sandbox/68544/ — в песочнице похожий способ
habrahabr.ru/post/169193/ — линуксоидам
Хабр на PHP что ли написан? О_о
А почему бы и нет?
Хотя бы поэтому: habrahabr.ru/post/142140/
Прежде чем минусовать, пожалуйста, пройдите по ссылке и хотя бы просто пролистайте статью до конца, чтобы оценить количество пунктов.
Прежде чем минусовать, пожалуйста, пройдите по ссылке и хотя бы просто пролистайте статью до конца, чтобы оценить количество пунктов.
PHP как демократия — очень плох, но лучше пока не придумали. Какой-нибудь питончик может и лучше, по тем правилам которые вы сами для себя придумали, но реальная жизнь круче тем, что оценивает все факторы сразу, а не только те которые подходят под вашу точку зрения.
Смысла холиварить в каждом посте нет, если ПХП действительно так плох, как вам кажется, он умрет сам, без лишних потуг со стороны хейтеров.
Смысла холиварить в каждом посте нет, если ПХП действительно так плох, как вам кажется, он умрет сам, без лишних потуг со стороны хейтеров.
Я считаю, что PHP — это как дешевое пиво. Паршивое, зато в каждом ларьке продается задешево.
Разделяю мнение, что Python и Ruby проигрывают PHP в популярности только в более высоком пороге вхождения: для работы с ними требуются какие-никакие навыки POSIX, в то время как с PHP достаточно уметь отредактировать файл в Блокноте и залить его на говнохостинг по FTP или даже через вэб-интерфейс.
К слову, популярность Python и Ruby на Западе гораздо выше, чем в России — думаю, именно благодаря более высокому уровню компьютерной грамотности. На Западе вэб-разработчик, не умеющий работать в консоли — нонсенс, а у нас — часто встречаемое явление
Ну а насчет «лучше PHP ничего не придумали», это вы, конечно, сгоряча. Да и логика про «демократию» — странная. Если в стране большинство ездят на Жигулях, это по-вашему значит, что лучше Жигулей ничего не придумали? :/
Разделяю мнение, что Python и Ruby проигрывают PHP в популярности только в более высоком пороге вхождения: для работы с ними требуются какие-никакие навыки POSIX, в то время как с PHP достаточно уметь отредактировать файл в Блокноте и залить его на говнохостинг по FTP или даже через вэб-интерфейс.
К слову, популярность Python и Ruby на Западе гораздо выше, чем в России — думаю, именно благодаря более высокому уровню компьютерной грамотности. На Западе вэб-разработчик, не умеющий работать в консоли — нонсенс, а у нас — часто встречаемое явление
Ну а насчет «лучше PHP ничего не придумали», это вы, конечно, сгоряча. Да и логика про «демократию» — странная. Если в стране большинство ездят на Жигулях, это по-вашему значит, что лучше Жигулей ничего не придумали? :/
Вы не поняли, я совершенно не люблю пхп, можно даже сказать что меня начинает тошнить, когда мне приходится что-то на нем писать. Но тем не менее, в умелых руках даже на нем можно делать достойные вещи. А с учетом того, что он, по сути, является стандартом в области веб-разработок, я не вижу ничего удивительного в том, что хабр на нем написан. И да, я вас не минусовал.
все вектора ломает
на каждый вектор найдется…
на каждый вектор найдется…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
6 XSS на Хабрахабр и методы защиты с их последствиями