Яндекс - все нашел.
Так это, если SID идет GETом (что по сути стандарт), то уже сливает. Другое дело успеет ли бот проиндексировать чего-то там, за N-минут жизни сессии. Успеет.
Кстати, они ведь так и формы некоторые могут сливать.
Ладно хоть до https не добрались ешё.
сливает
Все, что попало в интернет - там навечно и доступно.
Даешь живое общение!
думается мне, что кое-где завтра буду раздавать mod_ssl 😃
mod_ssl
что ни делается, все к лучшему)
Интересно, какие такие личные данные народ в интернет пуляет?
Ни один оператор не будет гарантировать конфиденциальность передаваемой информации (в т.ч. и голосовой связи), хотя бы потому, что есть конвенция о применении системы СОРМ (система оперативно розыскных мероприятий) или по импортному LI. Другими словами, при необходимоти ваш телефонный разговор может быть прослуша третьим лицом без всякого уведомления и т.д. Хотите защищенную линию - платите за специальную кодирующую аппаратуру.
То же касается и предачи данных (СОРМ2).
Именно поэтому, если совершаются какие либо транзакции с помощью виртуальных банков, телебанков и т.д. организуется защищенное соединение, и система временных паролей доступа! Дополнительная защита банковских переводов от кардинга (воровство номеров банковских карт) - блокирование средств на некоторое время, чтобы клиент если что смог опомниться и отменить транзакцию, если с его карты поперли деньги. Контроль с помощью выписки по карте.
Любая другая информация в интернете может быть доступна, SMS-ки, электронная почта и т.д. Надо просто об этом знать и принимать во внимание, если передаете слишком уж секретные послания.
Вчера по радио слышал, как один дядька возмущался, говорит, а если я в интернете пластиковые члены из сексшопа заказываю, почему это должно быть достоянием общественности? А ему отвечают, не грузи типа, при заказе членов паспортные данные пока не требуются… 😃
там вроде уже секретные и дсп документы прояндексированные нашлись. ке-ке-ке. то ли еще будет.
Самое занятное, что все эти смс, заказы в инет магазинах и прочее - довольно давно известны широкому кругу лиц, умеющих пользоваться “расширенным” поиском гугла, да имеющих хоть немного фантазии.
Интересно, как скоро СМИ и прочие блоггеры узнают про примитивную sql injection, которой подвержены многие и многие сайты, в т.ч. и сайт почты россии?
узнают
Хотя бы allintitle: site: ))
примитивную sql injection
А как же mysql_escape_string, htmlspecialchars(), валидация емайла, телефона, ФИО? Это же базис.
крутые вы, мужики… Аж оторопь берет.
Расскажите, плз, по-простому… простому дураку-админу, у которого есть свои серверы на, к примеру, 2003 + РНР + MySQL, чего надо опасаться и чего блокировать.
А то, уже запугали нафихваще непонятными словами.
ПАМАГИТЕ, плз.
А как же mysql_escape_string, htmlspecialchars(), валидация емайла, телефона, ФИО? Это же базис.
вы удивитесь, узнав, где срабатывает обычная кавычка (ну или немного модифицированная) в поле ввода…
Часто студенты или школьники делают сайты, еще частенько сайт делается “внутренними силами”, обычно не компьютерными специалистами…
чего надо опасаться и чего блокировать
стоит помнить простую вещь: взломать можно все, вопрос стоит лишь в оправданности затраченных ресурсов на это дело…
С позиции админа - везде включить шифрование и авторизацию, где не надо - отключить.
вот с позиции программиста несколько хуже, там слишком много нюансов есть
хорошо, я детализирую свою позицию - я сейчас делаю несколько собственных сайтов на вышеописанной конфигурации (как веб-дизайнер).
Чего надо избегать и чего бояться?
чего надо опасаться и чего блокировать
Я сам любитель. Но знаю точно, что проверку введенных данных нужно делать на серверной стороне! А всякие JS-валидации в браузере, всплывающие памятки “емайл должен содержать собачку и не иметь кавычек” - только рюшечка для пользователя, но никак не баръер.
Для валидации данных на серверной стороне желательно использовать специальный класс и прогонять через его методы все принятые параметры. Результат проверки можно отправить обратно в браузер аяксом.
Или хотя бы использовать регулярные выражения. Если это номер чего-то, то только цифры \d{длина от, до}. Кавычки комментировать, заменять на « и », например.
И легендарный robots.txt: disallow все служебные страницы с масками.
Не генерировать уникальные ссылки с get-параметрами, которые всегда отдают служебную информацию любому перешедшему по ним без авторизации. Пишут всякие token, hash, code, sid. Мне пока хватает короткоживущих кукисов, но это по-молодости.
вы удивитесь, узнав, где срабатывает обычная кавычка (ну или немного модифицированная) в поле ввода…
Пожалуйста, не пишите! Особенно, если это достойный сайт. Лучше их админу пришлите в копилку багов.
6wings
ах, как тонко 😉
о! чисто как админ, включите magic_quotes
ах, как тонко
я тут помощи прошу (ПАМАГИТЕ), а Вы прикалываетесь, да?
сейчас делаю несколько собственных сайтов на вышеописанной конфигурации (как веб-дизайнер).
удел дизайнера - фотошоп.
Чего надо избегать и чего бояться?
избегать: register_globals=on
бояться: sql-injection
я тут помощи прошу (ПАМАГИТЕ), а Вы прикалываетесь, да?
так это, чистА из зависти юзверя обычного виртуального хостинга.
…я сейчас делаю несколько собственных сайтов <…>как веб-дизайнер…
дайте глянуть?
так это, чиста из зависти юзверя обычного виртуального хостинга
ну, хотите, я Вас похостю?
дайте глянуть?
Вам? - Никогда.
У нас с Вами эстетическое недопонимание друг друга.
Причем, поскольку я старше и гораздо матерее Вас, то есть основания полагать, что Вы недопонимаете меня, а не наоборот.
Спасибо, но где счастье то, как говорится “Полагаясь на меньшее, стремиться к большему”.
А вобще, у Хетцнера, серваки то - особо не пожалуешся…
дайте глянуть?
мне, вообще, давно было интересно - что обозначает буква Т в Вашем нике? Наверное, “транссекшл”?
У нас с Вами эстетическое недопонимание друг друга
полное отсутствие визуальной культуры (а как следствие и визуального вкуса) - не порок. просто живите с этим. подавляющее большинство населения земного шара живет и не заморачивается этим абсолютно. я вот в музыке ни пса не понимаю… нравится/не нравится - вот и все критерии… однако, обладая необходимым для написания музыки багажом теоретических знаний, и конечно, аппаратной частью, даже не берусь этого делать (хотя зудит в пальцах бывает) ибо понимаю - выйдет смешно и криво.
что обозначает буква Т в Вашем нике? Наверное, “транссекшл”?
ну все просто: это общепринятое сокращение от *thunderbird* - ford thunderbird - машины, на которой мне было счастье ездить 7 лет - лучше машины этой у меня не было и не будет никогда уже 😉 в 96 году подогнала братва за долги одного комерса, с пробегом в 500 миль 😉
пы.сы. я на личности не переходил, просто глянуть хотелось, оставьте ваши ночные фантазии при себе