Сегодня я хотел бы затронуть тему аутентификации и авторизации. Только не подумайте, что у этих двух слов одно и то же значение. Простыми словами, аутентификация – это когда кто-то проверяет тебя на наличие права доступа, а авторизация – это когда ты даешь себя на проверку права доступа (предоставление определенных прав определенному лицу).
Basic-аутентификация с помощью Apache
Почему Basic? Потому что бывает еще не только basic, но и digest и другие виды. Но мы их здесь касаться не будем, а коснемся наиболее простого вида аутентификации, который можно реализовать средствами сервера Apache.
Читать далее »
Сен 05, 2008 | Автор :
Novice | 7 Комментариев
 |
Разработчики Смарти не обошли и проблему безопасности в своем проекте. Под безопасностью здесь конечно подразумевается сфера шаблонов, т.е. мы обезопасиваем использование шаблонов, а не скриптов, которые их вызывают.
|
А что там вообще надо обезопасивать и как мы можем нарушить безопасность какого-нибудь проекта с помощью шаблонов?
Допустим, я – интегратор. Я участвую в разработке какого-то крупного коммерческого проекта, где используется всеми любимый (и мной в том числе 
) Smarty. Если я интегратор, мне не обязательно лезть в php-скрипты. Главное – мне нужен доступ к директориям картинок, css-файлов, js-файлов и шаблонов, где я бы мог менять дизайн и т.п.
В шаблонах при отключенной или плохо настроенной безопасности я могу делать три небезопасных действия, начинающихся на букву В:
- вставлять php-код
- вызывать любые функции php в условных операторах {if}
- включать любые шаблонные файлы (из любой директории сервера) в другие шаблоны
Читать далее »
Авг 19, 2008 | Автор :
Novice | Нет комментариев
 |
Сегодня в сети Интернет люди хранят огромное кол-во информации. Нужную и ненужную, важную и не важную, общедоступную и скрытую от посторонних глаз. И при этом все меньше уделяют внимания каждой части этой информации. Если быть точнее, то я говорю про чувствительную информацию, которую пользователи сети оставляют на просторах Интернета. |
Каждый день появляются все новые виды ресурсов вроде социальных сетей и других интерактивных сервисов, где нужно регистрироваться, оставляя свои пароли.
С ростом числа сервисов, которыми пользуется человек, растет и количество паролей, которые он применяет при регистрации (если он не использует один и тот же во всех случаях). Хранить большое кол-во паролей в голове – дело непростое для неподготовленных пользователей, поэтому решается такая проблема в большинстве случаев путем генерации легкозапоминающихся паролей. Между тем, большинство пользователей и не подозревает, чем это может обернуться для них в случае неблагоприятного развития событий.
Ладно, не буду ходить вокруг да около и перейду все-таки к теме В этой статье я рассмотрю один прием, с помощью которого можно напоминать вашим пользователям о безопасности. А именно – добавлю в форму регистрации индикатор стойкости пароля на ajax.
Читать далее »
Авг 18, 2008 | Автор :
Novice | 6 Комментариев
 |
Сегодня я хотел бы затронуть такую тему, как фильтрование нецензурных выражений, или попросту, мата. Понятно, что если Вы владеете каким-нибудь форумом или блогом (сайтом, где можно оставлять сообщения), то как владельцу, Вам будет неприятно, если там будут материться.
|
Решением этой проблемы может являться конечно и модерация, но представьте себе, что ресурс довольно крупный и в день валятся сотни сообщений. Тут не до модерации
Другим решением может быть фильтр мата. Сразу говорю, что такой фильтр идеальным не сделаешь, потому что изобретательность человека не имеет границ. Идеальный фильтр мата – сам человек, или его замена – искусственный интеллект, который, к сожалению (а может и к счастью), еще не придумали.
Читать далее »
Июл 26, 2008 | Автор :
Novice | 17 Комментариев
 |
Честно говоря, когда меня попросили написать статью про captch`у, я подумал что, это будет небольшой пост, где я покажу, как ее можно использовать у себя на сайте.
|
Но как только я начал собирать информацию по этому вопросу в Интернете я сделал для себя много интересных открытий и понял, что тема капчи достойна более пристального внимания. Даже если цель будет иметь чисто общеобразовательный характер, советую вам прочитать статью полностью
Итак, начнем с определения.
CAPTCHA – это аббревиатура от английских слов “Completely Automatic Public Turing Test to Tell Computers and Humans Apart” (переводится как “полностью автоматический тест Тьюринга для различения компьютеров и людей”).
Самым частым применением этого теста является защита от флуда. С помощью этого теста можно определить, например, заполнил форму человек или скрипт.
Реализовывается капча в большинстве случаев в виде картинке с надписью. А рядом с картинкой поле для ввода, куда требуется ввести то, что на картинке написано. Человек с этой задачей справится без труда, а скрипту придется очень тяжко
Читать далее »
Июл 09, 2008 | Автор :
Novice | 16 Комментариев
 |
Ошибки в процессе выполнения скрипта бывают не то, чтобы часто, но все-таки иногда. Ведь все предусмотреть невозможно и бывают участки в коде, которые работают неправильно. Чтобы нам, программерам, понять, почему произошла та или иная ошибка, php выводит ее описание и даже говорит, где она произошла (в каком скрипте и на какой строчке). Но лучше их на экран не выводить, чтобы лишним глазам не было дополнительной информации о структуре и т.п. нашего сайта, иначе в нем будет легче найти уязвимость.
|
Читать далее »
Июл 04, 2008 | Автор :
Novice | 9 Комментариев
 |
Я уже много чего написал в своём блоге. Но еще не касался темы безопасности. А это на мой взгляд одна из главных проблем web-программиста. Скрипт не просто должен хорошо работать. Он должен всегда оставаться на нашей стороне, а не на стороне злоумышленников. Естественно об это можно долго говорить, и в рамках этой статьи я не смогу изложить все тонкости данной проблемы. Но старт вы от меня получите.
Существует множество видов атак на web-сайты. И множество способов защиты php. Я решил остановиться на самом простом и мне понятном примере. Защита от спецсимволов.
|
Читать далее »
Июн 29, 2008 | Автор :
Novice | 7 Комментариев
