Суждения о безопасности

  • Однажды Сисадмин пожаловался Учителю:

— Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?

Инь Фу Ву1 спросил:

— Сначала скажи, почему они это делают.

Сисадмин подумал и ответил:

— Может быть, они не считают пароль ценным?

— А разве пароль сам по себе ценный?

— Не сам по себе. Ценна информация, которая под паролем.

— Для кого она ценна?

— Для нашего предприятия.

— А для пользователей?

— Для пользователей, видимо, нет.

— Так и есть, — сказал Учитель. — Под паролем нет ничего ценного для наших работников. Надо, чтоб было.

— Что для них ценно? — спросил Сисадмин.

— Догадайся с трех раз, — рассмеялся Учитель.

Сисадмин ушел просветленный и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.

————

1. Инь Фу Во — почтенный защитник Инь.

Источник: Еженедельник «Компьютерра» № 39.  Перейдите по ссылке, чтобы прочитать продолжение.

7 комментариев

DANGER! SEO-вредители! Проверьте свои темы WordPress на наличие «плохих тегов»

Заметил тут недавно в логах плагина поиска такие запросы вида :

<a href=http://superebanutyyseosait.ru>

причем IP посетителя везде 66.249.70.219 — гугловый бот и таких запросов сотни в сутки. Все сайты одной направленности типа вминск.ру, вбрянск.ру (все естественно по английски) и т.п.,

Добавлено: В логах вебсервера запросы выглядят так:

среди знакомых адресов увидел лишь altblog.ru, собственно с него и еще пары других сайтов все началось примерно недели две назад.
Кликнув сам по одному такому увидел что у меня выводится так на странице: Результаты поиска по ». Вроде на первый взгляд все чисто, но если навести мышкой на эти кавычки то видим вполне ЖИВУЮ ССЫЛКУ без всяких noindex и nofollow. Поиском по шаблону (в 99% случаев это в файле search.php) нашел что фраза выводится тегом:

<h2 class="pagetitle">Результаты поиска по <?php echo "'".$s."'";?></h2>

что не есть гуд.
Методом поиска по архиву тем нашел еще такое:

<h1>Search Results for '<?php echo $s; ?>' &amp;amp;amp;amp;amp;amp;amp;darr;</h1>
<p><?php _e('These are the search results for your search on') ?> <strong>"<?php echo $s ?>"</strong>:</p>

и тому подобные записи. Так вот все это ПЛОХИЕ ВАРИАНТЫ, от которых следует избавиться и чем скорее тем лучше.
Вместо них можно применить безопасные методы:

<h2 class="pagetitle">Результаты поиска по <?php the_search_query(); ?></h2>

или

<h2>Результаты поиска по <em>&amp;amp;amp;amp;amp;amp;amp;#8216;<?php echo wp_specialchars($s, 1); ?>&amp;amp;amp;amp;amp;amp;amp;#8217;</em></h2>

Кроме того в robots.txt лучше дописать такие строки:

Disallow: /?s= 
Disallow: /search/

После вышеописанных действий любые такие извращенные запросы будут выводиться на странице обычным текстом БЕЗ ССЫЛОК

Я не SEO специалист и не знаю работает ли у ахтунгов, занимающихся такими махинациями с ссылками, но лучше все равно запретить
Кроме того это позволит защититься от вставки практически любого HTML кода в страницу, вот живой пример, правда безобидный относительно (сверху показано то что выводится после модификации темы, а чуть ниже мы видим картинку, которую я «пропихнул» в форму поиска):

15 комментариев

Обращение к ДДОСерам

ДДОСеры, чтоб вы сдохли, гниды позорные, конченые твари, Вы просто уже за#б@ли! Чтоб вы горели в аду и подпрыгивали на сковородках! Знайте что вас найдут и надерут вам задницы!

Комментарии к записи Обращение к ДДОСерам отключены

Извините, что не было доступа к сайту

Накипело. Какие то выродки уже второй месяц не дают мне жить спокойно. Весь май ДДОСили по разным портам, пара попыток завалить меня ICMP флудом была в июне. И вот уже настал июль, и в первую же ночь за час набежало более 8,5гб ICMP мусора. Куда это годится. Наверное у кого то очко играет от радости что он умудрился завалить меня трафиком.

Когда появится доступ неизвестно. Надеюсь в ближайшине дни. Если провайдер выполнит поставленные ему задачи.

Комментарии к записи Извините, что не было доступа к сайту отключены

ДДоСеры ну просто достали!

Проверяем как работает. тьфу тьфу вроде нормально

Комментарии к записи ДДоСеры ну просто достали! отключены

Атакуют!

«Поймали за хвост» наконец врагов народа. заДДоСили сервер сегодня снова. Прямо засек это дело своими глазами

Комментарии к записи Атакуют! отключены