|
|
Компания «Dr.Web» заявила о выходе в свет обновленных платных и бесплатных версий антивируса для Android.
|
|
Совсем недавно Google запустил технологию, которая позволяет поисковику определять наличие на компьютере пользователя вирусов. При этом факт наличия (или отсутствия) на пользовательском компьютере антивируса не играет никакой роли.
|
|
Одним из самых популярных антивирусов среди всех коммерческих программ является NOD32 от компании ESET.
|
|
Как известно, хранить пароль в открытом виде в базе данных или еще где-то совсем не безопасно. Нелепо также наивно полагать, что если к базе имею доступ только я, то никто не сможет проникнуть внутрь, кроме меня, потому что только я знаю пароль.
К сожалению, ошибки в скриптах и различные уязвимости иногда позволяют прочесть данные с помощью сформированных специальным образом SQL-запросов. Разрабатывая какой-то скрипт, а может быть и большой проект, нужно заранее полагать, что доступ к таблице, хранящей какие-то пароли, все равно может быть получен.
Поэтому, вывод напрашивается сам собой – нужно хранить не пароли в открытом виде, а их хэш-значения. Более того, нужно хранить не чистые хэш-значения, а как бы модифицированные 
Читать далее »
|
|
Сегодня я хотел бы затронуть тему аутентификации и авторизации. Только не подумайте, что у этих двух слов одно и то же значение. Простыми словами, аутентификация – это когда кто-то проверяет тебя на наличие права доступа, а авторизация – это когда ты даешь себя на проверку права доступа (предоставление определенных прав определенному лицу).
Basic-аутентификация с помощью Apache
Почему Basic? Потому что бывает еще не только basic, но и digest и другие виды. Но мы их здесь касаться не будем, а коснемся наиболее простого вида аутентификации, который можно реализовать средствами сервера Apache.
Читать далее »
|
|
 |
Разработчики Смарти не обошли и проблему безопасности в своем проекте. Под безопасностью здесь конечно подразумевается сфера шаблонов, т.е. мы обезопасиваем использование шаблонов, а не скриптов, которые их вызывают. |
А что там вообще надо обезопасивать и как мы можем нарушить безопасность какого-нибудь проекта с помощью шаблонов?
Допустим, я – интегратор. Я участвую в разработке какого-то крупного коммерческого проекта, где используется всеми любимый (и мной в том числе ) Smarty. Если я интегратор, мне не обязательно лезть в php-скрипты. Главное – мне нужен доступ к директориям картинок, css-файлов, js-файлов и шаблонов, где я бы мог менять дизайн и т.п.
В шаблонах при отключенной или плохо настроенной безопасности я могу делать три небезопасных действия, начинающихся на букву В:
- вставлять php-код
- вызывать любые функции php в условных операторах {if}
- включать любые шаблонные файлы (из любой директории сервера) в другие шаблоны
|
|
 |
Ошибки в процессе выполнения скрипта бывают не то, чтобы часто, но все-таки иногда. Ведь все предусмотреть невозможно и бывают участки в коде, которые работают неправильно. Чтобы нам, программерам, понять, почему произошла та или иная ошибка, php выводит ее описание и даже говорит, где она произошла (в каком скрипте и на какой строчке). Но лучше их на экран не выводить, чтобы лишним глазам не было дополнительной информации о структуре и т.п. нашего сайта, иначе в нем будет легче найти уязвимость. |