До знака «***» читать не обязательно, поскольку это не относится никаким образом к делу, а всего лишь является стоном автора, многократно подтверждающим старую фразу: хочешь запороть дело, поручи его кому нибудь еще.
Год уже работаю с различными буржуинскими хостингами, и очень они мне нравятся во всем: удобство, поддержка, обслуживание, цены, скорости. Поддержка вообще прекрасна- поскольку у большинства из них имеется лайв-чат, что не так, помогут почти мгновенно, или хотя бы просто быстро. Но это если что то простое или стандартное. А вот если возникают какие то сложности, то тогда почти всегда выходило так, что мне быстрее было допетрить самому чем долго и занудно общаться с суппортом. Вот и сейчас- полтора часа ушли на объяснения что и почему и как не работает, консультации с админами на их стороне и прочее, и только когда понял, что со мной работают наотъебись™ , немножко включил мозг- в итоге сделалось все за 5 минут. :-/ Кто вернет полтора часа? Но ладно- это так
******
Вчера на одном из своих хостингов апгрейдил движки и удалял не нужные домены и сайты. В итоге сегодня обнаружил, что по глупости удалил нужный сайт, который хостился в папке, принадлежавшей ранее другому домену, и в этой связи удобнейшая утилита Fantastico показала что эту установку использует домен который я давно уже снес, за ненадобностью.
Вообщем используя Fantastico я снес сайт крутившийся на Joomla.
На одном из моих сайтов, точнее назвать даже порталом, поскольку количество страниц на нем уже перевалило за 2000 стояла Joomla 1.5.11. Мне все очень нравилось, но немного, в последнее время особенно, движок стал тупить. И что главное был один не понятный баг, из-за которого я грешил сначала на Joomla, а потом уже на сам темплейт: joomla не отображает картинки.
На волне скандала возникшего между компанией Google и правительством Китая, снова поднялся вопрос о китайских хакерах, которые являются наибольшей головной болью для всех специалистов по информационной безопасности во всем мире. Последнее время участились целевые атаки с использованием различных механизмов на сайты и корпоративные сети частных компаний, и в данный момент китайские умельцы предлагают абсолютно уникальный, в этом плане, продукт.
Недавно появившийся продукт- сайт предлагает своим пользователям провести анализ целевого сайта на предмет выявления уязвимостей, после чего высылает на указанный при регистрации почтовый адрес полный отчет о проведенном тестировании в формате Adobe Acrobate. Сам сервис принадлежит китайской компании NOSEC Technologies Co., Ltd и располагает так же на территории Китая.Но самое главное, что данный сервис, который является ни много ни мало как аудитом безопасности, предлагается совершенно БЕСПЛАТНО. Достаточно пройти регистрацию на сайте и после указать в форме, адрес для целевого сканирования, после завершения которого пользователю будет прислан PDF о проделанной работе и найденных уязвимостях.
Вот небольшой список уязвимостей на предмет которых проводится сканирование:
SQL injection
Cross Site Scripting (XSS)
File Upload Vulnerability
Information Leakage
Insecure Direct Object References
Buffer overflow
Появление подобного продукта на рынке конечно не может вызвать озабоченности, особенно в ключе того, что многие найденные уязвимости по прежнему остаются не закрытыми, а в это время продолжают появляются все новые и новые бреши в безопасности приложений и серверов. И даже если предположить, что компания NOSEC Technologies Co., Ltd является законопослушной компанией, не собирающейся взламывать сайты, а занимающаяся сугубо аудитом безопасности, по запросу клиентов, остается вопрос- как долго подобному сервису понадобится времени, чтобы собрать внушительную базу открытых для публичного доступа сайтов, с полным списком их уязвимостей. Который при этом, составят пользователи интернета своими руками, то есть выбираться будут заведомо частные сайты, которые могут быть интересны, в плане безопасности, как потенциальным злоумышленникам, так и потенциальным инженерам по безопасности, пытающимися залатать бреши в обороне. Зачем сканировать миллионы сайтов на предмет поиска уязвимостей и дальнейшего выяснения вопроса, что с них можно поиметь, если бесплатные “внештатные сотрудники” могут это сделать сами, своими руками, и вроде бы для своих интересов.
И самый главный вопрос, кто воспользуется полученными данными в дальнейшем: хакеры, для получения доступа к сайтам, организации ботнетов, похищения денег со счетов клиентов, или само правительство страны, для проведения спланированных акций, по преследованию несогласных, или нанесения ударов по компаниям так или иначе вошедших в конфронтацию с официальной политикой, проводимой правительством.
Поставил себе прикольный аддон для Firefox, который показывается в тулбаре бродилки и выводит показатели так называемой пузомерки: тыц-пыр (тиц и PR), т.ч. заходя на сайт сразу видно какие статы у сервера.
Называется этот аддон GYRbar.
Помимо статов он предоставляется еще дополнительный инструментарий в виде выпадающего меню, типо создания файла robots, уникализация текста и прочее. Также подсвечивает в теле документа ссылки замарканые запретом на индексирование, т.ч. всегда можно проверить как твоя ссылка поживает и что с ней.
Вообщем Гугль оказался как то значительно честнее и нашего соотечественника скромнее яндекса, и заодно стал понятен максимальный размер ТиЦ, поскольку не думаю, что у кого он будет больше чем у самого яндекса.
В погоне за количественной составляющей информационной наполненности своих блогов, я принял, как отче наш, тот факт, что использую темы, сделанные кем то другим. Но как говорится- доверяй, но проверяй. (Надеюсь не много запятых понаставил
В очередной раз, во время рецидива тицемании, полез в инет, а точнее на этот сайт проверять свои тыц-пыр, и натолкнулся там на интересную статистику по ошибках в коде HTML на моих блогах. На наиболее выдающихся, эта величина стремилась к тысяче.
В этой связи, вооружившись оригинальным сайтом для проверки грамотности кодера и блокнотиком, я занялся правкой шаблонов используемых мною на своих блогах. Надеюсь это поможет ускорить их работу и загрузку. Это наиболее оптимальный ресурс для проверки валидности кода, хотя он может поставить в тупик любого своими капризами и распознанными ошибками.
Основные ошибки это закрывающие таги HTML, закрывающие ничто и перекрещивающийся код HTML, в большинстве случаев обусловленный вызовом тела php одного документа из другого, и чаще всего натыканные к месту и не очень <div>
З.Ы 21.05.11: На самом деле также бывает необходимо осуществить то, что именуется проверка кроссбраузерности, то есть корректность отображения в различных бродилках (ибо как раз несоблюдением этой самой кроссбраузерности страдают многие верстальщики, которые под кривость IE6 пытаются затянуть все другие браузеры кроме например IE7 или 8), а также тот момент чтобы верстка выглядела в разных бродилках одинаково. Собственно для этого существует несколько инструментов, которыми я стараюсь пользоваться:
самый лучший инструмент для определения валидности кроссбраузерности, что я смог найти это сайт Браузершот в котором загнав урл, на выходе получаешь огромное количество сэмплов необходимой страницы, после чего остается сравнить сотню скриншотов на предмет одинаковости, другое дело что ждать этого великолепия приходится полчаса и более, так что если мне нужно наскоро проверить несколько основных видосов, то я использую сервис от Adobe: BrowserLab, тоже довольно удобно, но не так изобильно как браузершот, который предоставляет огромное количество браузеров для многочисленных операционных систем. То есть задав FF или Chrome вы получите результат как по винде и маку, так и по многообразию линуксов и bsd-систем.
И да пребудет с вами сила- ибо в нудном деле отлавливания косяков кроссбраузерности она просто необходима.
Ночью 17 декабря сайт популярной социальной сети Twitter подвергся кибер атаке, результатом которой стал дефейс портала,- на заглавной странице некоторое время висело сообщение о том, что сайт взломан иранской кибер армией (Iranian Cyber Army). Несколько часов спустя, после длительного оффлайна, на странице статуса появилось сообщение о том, что DNS записи домена Twitter.com были скомпрометированы, но данная проблема находится в стадии устранения, которая и была устранена к середине 18го числа. Надо отметить, что атаку провела группировка Iranian Cyber Army, судя по своему названию и тону послания имевшая ввиду, что пока штаты пытаются контролировать Иран, сам Иран контролирует кибер пространство США.
На той неделе помогал перевозить клиентов со всеми их серваками и прочим мусором, и вот очень хотелось сделать так, чтобы время разброда и шатания почты по инету, в поиске обновления доменных записей, было минимальным. Основная причина того, что некоторые развеселые клиенты не могут прислать письмо неделями- это устаревание кэша DNS серверов, т.е. вы уже две недели как переехали, а чужой сервер до сих пор полагает, что вы хоститесь под старым IP адресом. Лечится это изменением в меньшую сторону параметра $TTL в SOA записи.
DNS TTL это параметр по аналогии с параметром жизни сетевого пакета (Time To Live) отвечающий за существование записи DNS зоны в кеше DNS сервера, без дополнительных изменений. По достижении установленного времени, кеширующий сервер запрашивает DNS сервер, содержащий доменную зону, информацию о зоне. (more…)
