Открыть список
Как стать автором
Обновить
12.7
Карма
0
Рейтинг
Дмитрий @betal

Пользователь

Творческая попытка взлома сайта: пишут от имени Роскомнадзора

Самое правильное на мой взгляд всем хабром отправить письмо с абузой на адрес abuse@sendgrid.com и abuse@ripe.net
С текстом из серии (Переводил в гугл транслейт)
Good evening,
with your IP address (167.89.17.173, 169.57.0.216) is sent an e-mail to owners of sites on behalf of the «Roskomnadzor» (the state organization responsible for blocking illegal information in Russian). In this letter, the attackers need to download a dangerous site php code.
Please lock the server.

Log:
169.57.0.216 — - [27/Aug/2015:02:36:23 +0300] «GET /reestr/reestr-id122031.php?roskomnadzor=phpinfo(); HTTP/1.0» 404 564 "-" «Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.1 (build 00975); .NET CLR 1.1.4322)» "-"
169.57.0.216 — - [27/Aug/2015:02:36:25 +0300] «GET /reestr/reestr-id122032.php?roskomnadzor=phpinfo(); HTTP/1.0» 404 162 "-" «Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.7.12) Gecko/20050919 Firefox/1.0.7» "-"
Mail:
Received: from o1678917x173.outbound-mail.sendgrid.net (o1678917x173.outbound-mail.sendgrid.net [167.89.17.173])



Когда-то таким образом заставили ТТК отправлять трафик из многих городов России в Санкт-Петербург не через германию с пингом в 100мс, а через москву с пингом 20мс.

Билайн автоматически добавляет тулбар и изменяет дизайн сайтов

А по ФЗ 272-274 УК Нельзя пропустить их?
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -


Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, -


Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, -


Предлагаю всем и каждому отправлять заявление в прокуратуру, по данному вопросу, они должны проверять законность данных действий. Не хотелось бы создавать прецедент, разрешающий операторам всовывать рекламу в трафик, тем более данные действия нарушают логику работы программ для ЭВМ.

Оптимизируем VPS за 5$ (512MB RAM / 1 CPU) так, что сайт на wordpress выдерживает нагрузку в 42,735,587 хитов в день

А в чем сложность дерева комментариев на 300 запросов? 1 запрос к БД с выборкой по индексу.
PS. например алгоритм nested sets

Задай вопрос эксперту и выиграй билет на Highload!

Извечный вопрос о мелкой статике,
Представим диск на много терабайт, с большим количеством мелких файлов, 1-50 КБ, со средним размером 4 КБ.
Как правильно организовать собственно раздачу этой статики.
Под словом «правильно» понимается наибольшее значение отношения (эффективность / затраты).
В свою очередь применял следующие техники.
1) Поскольку как правило все упирается как правило в IOPS, придумывал методы хранение популярных файлов на SSD (таким образом получаем трехуровневое кэширование, память, ссд, хдд). Тут возникают вопросы о том как эффективно определять популярные файлы, и обновлять кэш.
2) Разработка такой структуры, при которой файлы равномерно расположены по папкам (не более 255 файлов в папке), при этом возникали проблемы что если делать глубокие папки, то это занимает достаточно большое число inode, тут возникает вопрос, о том как рассчитывать количество файлов в папке, и глубину папок.
3) Форматирование диска таким образом, чтобы весь файл попадал в один блок (при среднем размере файла 5 кб)
4) Естественно по максимуму отключение различных использующих IO сервисов.
5) Возникают вопросы отказоустойчивости, в т.ч… горизонтального масштабирования и дублирования информации, как организовать дублирование многих миллиардов файлов, ибо копирование и синхронизация может занимать недели и месяцы (как правило из за низкого IOPS hdd). Мной использовался метод, похожий на работу кэширующего CDN.
6) Разбивка на большее количество независимых RAID массивов с зеркалированием. (Собственно зеркалирование для отказоустойчивости, независимых для повышения IOPS)

На этот вопрос, сотрудник яндекса мне ответил, что все решается просто, покупкой новых серверов. Это конечно верно, но оптимизация может помочь хорошо сэкономить.
Понравилась идея файсбук, где на блочном уровне используется кэширование в SSD.

Шумоподавление путем объединения изображений на Java

Ну в солнечный день шумов обычно не много, как мне кажется, основной источник шумов, это повышенная светочувствительность, уменьшить которую можно различными способами, в том числе увеличением выдержки. Если бы у меня стояла задача сфотографировать в темноте стол на штативе, я бы поставил самый светлый объектив, длинную выдержку, и уменьшил светочувствительность.
Двигающийся банан скорее всего бы конечно оставил след.

Шумоподавление путем объединения изображений на Java

Я имел ввиду, что с увеличением выдержки, появляется возможность уменьшить светочувствительность. Про тепловой шум правда не знал.
А съемка в длинных выдержкам подразумевает использование штатива, когда снимал луну на штативе с гиперзумом, вроде бы смазанности не наблюдал при относительно длинной выдержке (меньшей чем заметно движение луны)

Шумоподавление путем объединения изображений на Java

Увеличение выдержки позволяет уменьшить ISO. Как собственно и увеличение диафрагмы, съемки в светлое время суток и т.д.

Шумоподавление путем объединения изображений на Java

Глянул примеры в первом топике, мне кажется качество будет даже лучше при длинной выдержке.

Шумоподавление путем объединения изображений на Java

При чем тут гиперзум?

Увеличение выдержки на штативе убирает проблему низкой освещенности, неважно какая диафрагма открыта.
А при ветреной погоде, когда меняется и сама картинка, сабж тоже не поможет.
PS. Я конечно не эксперт, но формула на мой взгляд простая, количество света = количество приходящего света в секунду умножить на время выдержки.

Шумоподавление путем объединения изображений на Java

Если используется устойчивый штатив, не проще увеличить выдержку?

Типичные ошибки при защите сайтов от CSRF-атак

Похоже смысла спорить с Вами нет вообще, выше приведены примеры когда это не так. Csrf это не атака, это класс уязвимостей, как и xss. Использоваться они могут как совместно так и раздельное.

Типичные ошибки при защите сайтов от CSRF-атак

То, что это и есть ничто иное как csrf

Типичные ошибки при защите сайтов от CSRF-атак

CSRF это отсутствие проверок при добавлении нового пользователя в данном примере через POST запрос.
Не важно в данном контексте активная или пассивная XSS.

Типичные ошибки при защите сайтов от CSRF-атак

Специально для Вас сделал тестовую площадку, в хидерах браузерную защиту от xss отключил.
link
Получите, пожалуйста, через XSS секретную cookie с именем admin и приведите пример запроса.
Код страницы:

<?php header("X-XSS-Protection: 0"); ?>
<html><head></head><body>
<?php
setcookie ( 'admin' , 'secretToken' , 0 , '/', null,false , true );
setcookie ( 'notSecret' , 'ThisIsCookieNotSecretWithHttpOnly0' , 0 , '/', null,false , false );
echo $_GET['c'];
?></body></html>

Типичные ошибки при защите сайтов от CSRF-атак

Для этого нужно, как минимум, физическое присутствие к компьютеру админа.

Типичные ошибки при защите сайтов от CSRF-атак

Пример сплойта для JavaScript, при ограничении по IP и Basic авторизация к папке admin и выставленном флаге HTTPOnly, при всех действиях в админке через POST
<script>
$.post(
  "/admin/do.php?act=add_user",
  {
    name: "admin",
    pass: 12345
  }
);
</script>

Данный пример именно связка XSS + CSRF, при необходимости добавляется допустим воровство токенов.

Приведите пример «можно сделать XSS от админа», без CSRF в таких же условиях, который может привести к компроментации приложения?
Единственный вариант на ум приходит, это фейковая страница.

Типичные ошибки при защите сайтов от CSRF-атак

Что такое XSS от админа?
Что вы им сделаете?

Типичные ошибки при защите сайтов от CSRF-атак

Я в том смысле, что если есть Basic авторизация или проверка по IP в админку с куками мы не зайдем, нужно делать CSRF от админа с POST запросом со страницы на которой есть XSS.
А недоступность cookies из JS не отменяет остальные действия JS. Сейчас я говорю о флаге HTTPonly (https://www.owasp.org/index.php/HttpOnly)

Типичные ошибки при защите сайтов от CSRF-атак

Навскидку
1) Привязка по IP
2) Куки недоступные из JS
Скорее всего есть и другие варианты

Типичные ошибки при защите сайтов от CSRF-атак

Навскидку
1) Форма на другом сайте, подсунутая допустим админу.
2) Если есть допустим XSS, а она бывает часто, в связке дает возможность слать через Ajax запросы POST
Скорее всего есть и другие варианты

Информация

В рейтинге
5,648-й
Дата рождения
Зарегистрирован
Активность