Сплог который я сделал не так давно, помог не только в отработке технологий (про них позднее), но еще и помог мне понять, что я просто неправильно «готовлю» сплоги.
Автоматизация, которую предоставляет сплог от Lasto весьма удобна, но какая-то тупорылая. Новости без картинок, ссылки на оригинал закрываются от гугла, но самый главный минус в том, что под него нужен довольно специфический хостинг. Кроме того, по различным источникам получается, что сейчас самая эффективная метода делать сплоги на известном хостинги для блогов :)
Предлагаю вашему вниманию скрипт, помогающий наполнять сплог через емейл из Yahoo Pipes. Я прекрасно понимаю, что большинство уже про это знают, но у меня только сейчас дошли руки написать про это. Конечно, многое еще предстоит сделать, чтобы полностью автоматизировать процесс - это лишь первый шаг. Правда, когда дойдет дело до следующего шага мне неведомо, основная работа занимает много времени.
понедельник, 25 февраля 2008 г.
среда, 6 февраля 2008 г.
Защита своего форума от взлома
Не так давно мне поломали один форум, не сказать, чтобы сильно, просто поменяли пароль у администратора и подпись форума типа, что делать если хочу вернуть контроль над форумом, хорошо хоть не грохнули. Форум этот был скорее для души и чисто для своих, коммерческой ценности не имел, тем не менее, я решил написать здесь некие базовые принципы, так сказать узелок на память.
Супер-пользователь должен иметь id отличный от 1, поможет только от лоха.
В подписях, мета информации и комментариях форума не должно быть правдивой информации о версии программного обеспечения используемого движка. Поможет не всегда, некоторые эксплоиты подходят к нескольким версиям движка форума, а какой конкретно движок видно и так.
Желательно следить за баг-треками движка и вовремя исправлять найденные ошибки
Если администратор у форума один, желательно написать некую оболочку для админки в которую бы пускало только с ip админа - здесь есть ряд ограничений.
Идеальное решение собственный движок форума, но это слишком накладное решение.
Периодический бекап базы и файлов форума – ну это общее решение для любого сайта, про нормальные пароли и т.п. даже писать не буду.
Добавлено: 23 мая 08
Для любых сайтов в форме логина в админку нужно делать защиту от перебора паролей, чтобы злоумышленник не мог сделать, например, более 5 попыток логина, если кол-во попыток исчерпано запрещать вход с ip адреса злоумышленника на час. И в админку или на емейл слать предупреждающее письмо. При этом не стоит забывать про существование прокси серверов, часть из которых отдают что-нибудь вроде HTTP_X_FORWARDED_FOR. Дабы оградить администраторов заходящих из домовых сетей за прокси или NATом после 3-ей попытки нужно выводить CAPTHA. При неправильно введенной или пустой CAPTHA анализ логина и пароля не производить и счетчик ошибок не увеличивать.
p.s. По мере появления идей буду дополнять список, если у кого есть какие идеи велком в комменты.
p.p.s. Думаю очевидно, что после восстановления работы форума, нужно выяснить как его сломали, закрыть дырку и поменять пароли.
Супер-пользователь должен иметь id отличный от 1, поможет только от лоха.
В подписях, мета информации и комментариях форума не должно быть правдивой информации о версии программного обеспечения используемого движка. Поможет не всегда, некоторые эксплоиты подходят к нескольким версиям движка форума, а какой конкретно движок видно и так.
Желательно следить за баг-треками движка и вовремя исправлять найденные ошибки
Если администратор у форума один, желательно написать некую оболочку для админки в которую бы пускало только с ip админа - здесь есть ряд ограничений.
Идеальное решение собственный движок форума, но это слишком накладное решение.
Периодический бекап базы и файлов форума – ну это общее решение для любого сайта, про нормальные пароли и т.п. даже писать не буду.
Добавлено: 23 мая 08
Для любых сайтов в форме логина в админку нужно делать защиту от перебора паролей, чтобы злоумышленник не мог сделать, например, более 5 попыток логина, если кол-во попыток исчерпано запрещать вход с ip адреса злоумышленника на час. И в админку или на емейл слать предупреждающее письмо. При этом не стоит забывать про существование прокси серверов, часть из которых отдают что-нибудь вроде HTTP_X_FORWARDED_FOR. Дабы оградить администраторов заходящих из домовых сетей за прокси или NATом после 3-ей попытки нужно выводить CAPTHA. При неправильно введенной или пустой CAPTHA анализ логина и пароля не производить и счетчик ошибок не увеличивать.
p.s. По мере появления идей буду дополнять список, если у кого есть какие идеи велком в комменты.
p.p.s. Думаю очевидно, что после восстановления работы форума, нужно выяснить как его сломали, закрыть дырку и поменять пароли.
Где покупать компьютерные комплектующие в Москве?
Такой вопрос возникает перед каждым разработчиком, да и любым любителем компьютеров. В начале для меня принцип выбора фирмы производился по принципу дешевизны товара. С течением времени этот принцип перетек в принцип ближайшего расположения. В настоящий момент он трансформировался в принцип широкого ассортимента. Кроме того у меня повысились требования к качеству комплектующих. На пересечении всего вышесказанного, я нет так давно, года два назад, узнал о фирме Санрайз-Про. Всем хороша фирма но за последние два года о ней узнал не только я, и с каждым месяцем очереди в Санрайзе растут как на дрожжах.
В эту субботу я, решил заскочить в Санрайз по дороге домой, с целью приобрести оригинальную Sony Memory Stick для прошивки моей PSP на последнюю версию прошивки от Dark Alex`а. Скажу честно, такого столпотворения народа я не видел в метров час пик, реально у табло, где указывается с какой выдачи забирать товар – невозможно было пройти, очереди к кассам напоминали мое детство в Советском Союзе за дефицитом. К счастью карточки продаются в Cash&Carry.
Ситуация меня насторожила но не напугала. Мне предстоит закупка апгрейда компьютера и UPS. Предполагая, что после окончания работы в Санрайзе будут ужасные очереди, я туда поехал в три часа ночи в понедельник. Какого же было мое удивление, когда повторюсь, в три часа ночи, я увидел на выдачи очередь размером как два года назад днем в субботу! При этом ориентировочное время ожидания составляло 86 мин. Я в шоке, что делать, где покупать комплектующие? В известных фирмах типа УСН, Никс, Ультре – просто нет того ассортимента, а монитора который я хочу нет и в помине – продается только ширпотреб… А тратить на очереди по 4 часа я уже как-то отвык…
Итак, ребром встает вопрос «Где в Москве можно купить компьютерные комплектующие премиум класса, в широком ассортименте по разумной цене?».
В эту субботу я, решил заскочить в Санрайз по дороге домой, с целью приобрести оригинальную Sony Memory Stick для прошивки моей PSP на последнюю версию прошивки от Dark Alex`а. Скажу честно, такого столпотворения народа я не видел в метров час пик, реально у табло, где указывается с какой выдачи забирать товар – невозможно было пройти, очереди к кассам напоминали мое детство в Советском Союзе за дефицитом. К счастью карточки продаются в Cash&Carry.
Ситуация меня насторожила но не напугала. Мне предстоит закупка апгрейда компьютера и UPS. Предполагая, что после окончания работы в Санрайзе будут ужасные очереди, я туда поехал в три часа ночи в понедельник. Какого же было мое удивление, когда повторюсь, в три часа ночи, я увидел на выдачи очередь размером как два года назад днем в субботу! При этом ориентировочное время ожидания составляло 86 мин. Я в шоке, что делать, где покупать комплектующие? В известных фирмах типа УСН, Никс, Ультре – просто нет того ассортимента, а монитора который я хочу нет и в помине – продается только ширпотреб… А тратить на очереди по 4 часа я уже как-то отвык…
Итак, ребром встает вопрос «Где в Москве можно купить компьютерные комплектующие премиум класса, в широком ассортименте по разумной цене?».
Подписаться на:
Сообщения (Atom)