Последние комментарии

Topal

А зачем вообще пить? Как-то тоже задумался о том, по каким дням можно выпить, и оказалось, что дни рожденья близких и прочие праздники придется в среднем отмечать каждые 2 недели! Так недолго и спится, в итоге пью теперь совсем редко (хотя и раньше не злоупотреблял). Пиво уже не помню когда последний раз пробовал.

Ustas

"кучу кода, поэтому проде"

Опечатка. Не пропускать.

Михаил Фленов

Уязвимость действительно была, но давно и давно пофиксена, просто мы только недавно нашли этого бедного хакера, который так сильно напрягался. На сайте есть другие способы поднять себе поинты на много быстрее. Я знаю один хороший способ, который каждый день даст больше поинтов, но мы его не фиксим.

vasek123

Ну то что, это программа я прекрасно знаю, и что выполняет- тоже(не зря учил безопасность сетей и языки программирования). Просто, привык вещи называть своими именами(почему, видать, сразу и не разобрался).

p.s. Значит, все таки есть уязвимости(хотя, если разобраться, где их нет- абсолютной защиты не существует)? ;)

p.s.s. Sorry за оффтоп, просто, интересуюсь безопасностью как будущий специалист по информационной безопасности(еще пока учусь).

Михаил Фленов

По поводу определение слова - это заразно. Когда все называют взломщиков хакерами, то и сам начинаешь это делать.

По поводу эксплоита - это и есть та маленькая программка, которая бомбит и о которой я говорил. Можешь назвать эту прогарммку эксплоитом.

vasek123

Ну,
во первых- я говорил про кулхацкера а не хакера(между прочим, сами, давали определение слову хакер в своей книге). Ну что касается JavaScript, то, да, я признаю- упустил этот вариант.



Во вторых- Ну в таком случае, уж лучше эксплоит(многим известно, что, например, переполнение буффера осуществляется путем вставки дополнительного элемента массива и за счет этого выполнения определенной команды серверу(правда, это возможно, лишь при типичных ошибках программиста)).

p.s. Красть намного лучше под правами админа ;)

Михаил Фленов

Я в таких случаях использовал репликацию. Если у тебя 10 серверов (возможно каждый обрабатывает свой филиал или другая фигня), то выделить еще один сервер под отчетность не проблема. В него собираешь данные репликацией с остальных серверов и на нем уже фигачишь запросы для отчетности. Так рабочие сервера практически не напрягаются при обработке твоей сложной логики, а просто отсылают изменения в данных серверу отчетности. А на сервере отчетности данные уже собраны, и не нужно так сильно напрягаться, поэтому отчеты будут работать быстрее:

1. не нужно тянуть данные с разных серверов (особенно, если они удаленные)
2. запросы проще и серверу жить проще

Может я чего не знаю о твоей структуре, но когда я работал с распределенными данными, репликация очень сильно упрощала жизнь.

Евгений

"Отчетность - это запросы SELECT"
Ну, не знаю, что ты понимаешь под отчётностью, но то, с чем приходилось (и приходится) работать мне, одними селектами не сделаешь.
Но даже если и селекты, как, например, собрать данные из 10 баз? 10 аналогичных селектов? Или курсор и один динамически создаваемый в цикле запрос?

Михаил Фленов

Проще но бесполезно. Я даже скажу так - JavaScript стоял, но его легко обойти банальным отключением в браузере, и тогда он нифига не защищает. А более профессиональный хакер без проблем напишет небольшую программку, которая засыпет сервер запросами на голосование в обход такой защиты.

JavaScript - это защита от ламеров, но не от хакеров

vasek123

Хм, а не проще ли было поставить на кнопку ограничение, на пример с помощью JavaScript и AJAX в самом начале? Так бы этот кулхацкер обломал зубы...