безопасность
Создателей хрумера – на эшафот!
Перед тем как загрузить админку, имел желание написать хорошую, миленькую статейку про газетный интернет. Но когда увидел количество комментариев для модерации, то решено было посвятить эту, а может и еще парочку статей вебмастерам, работающим на спамерский фронт. Конечно существует приличное количество комментариев, которые идут от школьников благодаря различным сервисам, но они хоть удосуживаются прочитать статью, да и оставляют что-то более менее похожее на комментарий.
А вот на создателей таких программ, как хрумер и прочих спамилок, с удовольствием бы посмотрел через призму оптического прицела. И вот почему:
- Модерация сотен комментариев, отнимает драгоценное время, которое могло быть с пользой потрачено на написание статей. Таким образом мы с вами лишаемся многих хороших статей, которые могли бы написать блоггеры, но вынуждены тратить это время на модерацию комментов.
- Из-за огромного количества говно-комментариев вебмастера вынуждены ставить на комментарии теги nofollow и noindex, а это в свою очередь негативно действует на хороших комментаторов. Ведь хочется иногда и ссылочку получить на блог.
Вообще пункты конечно можно продолжать и продолжать, но да ладно, подостыну немного и напишу на свежую голову, а пока видно придется ставить дополнительные антиспамовские плагины. И главное, что толку вот от таких спамилок, я например все комментарии модерирую и левые комменты не пропускаю.
Хотя в последнее время придумывают все модней, но какой бы коммент не был, если он не относится к теме статьи – сразу на затирку. Да и еще, начал себе делать базу спамеров, и сразу баню все дальнейшие комменты, которые будут приходить с таких блогов. Вот сегодня глянул на выбор – хорошие блоги попадаются, но мне плевать – если вы ребята продвигаете свои ресурсы с помощью хрумеров и прочего, то раз уж ваш ресурс попал в базу, то я его оттуда не собираюсь вынимать.
Все время пить херши! 
) вспомнились слова одной рекламной компании, а для меня пока время ставить антиспам. То что осталось…
XSS-уязвим каждый второй сайт
Где-то недели с три назад мне на глаза попались данные очета компании Positive Technologies о сетевой безобасности российских веб-сайтов. Но потом как-то информация затерялась и подзабылась, а вот сегодня я таки ее вырыл, лучше бы этого не делал. Ибо опять расстроился. И хотя представители компании утверждают, что по сравнению с предыдущими годами наблюдается незначительное улучшение ситуации с уязвимостью web-приложений, но меня это как то совсем не греет.
Думаю если вы помните, то не так давно, может с пол-года назад, была довольно сильная волна информации среди блогеров сеошников о XSS-уязвимостях и о том, как можно прокачивать сайты благодаря этой фишке. Потом все чаще стали говорить, что нечего поднимать эту тему, что мол дырку залатали и на том конец. После этого инфа стихла. Так вот, какого же было мое удивление когда я прочитав ежегодный отчет этой фирмы узнал, что оказывается каждый второй сайт из тестируемых имел XSS- уязвимость. А то, что критические уязвимости были обнаружены у 83% сайтов, вообще как то слегка ввергает в шок.
Если есть желание, то отчетик можно скачать (формат pdf)
Ну а для тех, у кого желания нет читать уйму текста с графиками скажу, что в был проведен анализ 10459 сайтов, суммарно во всех приложениях обнаружилась 33931 ошибочка. Критически уйзвимости были, как уже написал, у 83% сайтов. У 78% в программном обеспечении веб-приложений также есть уязвимости средней степени риска. При этом до 20% приложений могут быть инфицированы автоматизировано.
Одним словом, подобная информация лишний раз говорит о том, как мало мы знаем о веб-безопасности, думаю что пробелы в этой сфере нужно потихоньку ликвидировать. По крайней мере я на это настроен. Ведь когда твой сайт не сильно продвинутый, то может и мало кто на тебя обращает внимание – но уверен, перевали посещаемость вашего сайта за 1000-2000 уников в сутки и хакеры обязательно к вам постучаться )
Взлом за 10 секунд – я в шоке.
В последнее время все чаще , да и все больше ведется разговоров, про информационную, сетевую, компьютерную… и прочую, прочую безопасность. Да и нужно конечно, ведь злоумышленники то далеко не двоешники, а придумывают все новые и новые способы кражи данных, а еще лучше деньжат ).
Когда я прочитал с пару недель назад в газете о том что на одной из конференций, где было соревнование хакеров, парочка из них справилась с заданием за считанные секунды. Мне как-то жудковато стало. Так вот организаторы поставили перед участниками задачу, состоящую в том, что необходимо было получить полный контроль над удаленным ПК, через уязвимость в браузере. IE8, Firefox и Chrome взламывались на ноутбуке SonyVaio с седьмой виндой, а для взлома MacBook хакерам предложили Safari и Firefox. Ну и что вы думаете случилось дальше?
Браузеры оказались полностью беспомощны. Специалист по информбезопасности из компании Independent Security Evaluators Чарли Миллер взломал макбук менее чем за 10 секунд, используя уязвимость в Сафари. Как оказалось он просто загрузил заранее подготовленную вебстраничку). Другой участник, менее чем за минуту взломал Internet Explorer 8 и получил контроль над вторым компьютером. Мне остается только радоваться за парней, ведь оба получили по 5к зелени и взломанные ноутбуки в подарок. Эх, мне бы хотя бы половину знаний, хранящихся в их гениальных головах.
К чему я собственно веду речь? А к тому, что безопасность наша писана вилами, да еще по воде. Если за вас возьмутся такие парни, то минимум что увидит ваша (жена, муж) на компьютере – это большой голый … – попробуйте потом объясните откуда это взялось на экране. ). Да и хорошо, если вторжение ограничится лишь только подобной шуткой…
Вот такие вот пирожки…
