DJ-Andrey-sXe Logo

DJ-Andrey-sXe

Музыка, программирование, юмор | djtal logиг

Подкаст: Защита веб-приложений на Perl

Толстый намёк на качественный звук Это аудиоверсия одноимённой статьи. Вошло всё кроме исходников :) Рассказываю о знакомых мне способах защищать веб-приложения (иначе говоря, сервисы, системы управления содержимым, суть одна: скрипты на языке Perl) от взлома, злоупотребления и несанкционированного использования. Рассчитано на тех, кто уже программирует и занимается проектом, который предстоит выкатить в беспощадный Интернет. Ещё аудиоверсия идеальна для тех, кому просто интересно, как защищают сайты, но всё время лень было напрягаться читать.

Предлагаю применять её так: слушаете, и всякий раз, когда данное правило справедливо для вашего проекта, ставите на паузу и прикидываете, всё ли у вас в порядке по данному пункту. Если нет или вы не уверены, под конец у вас наберётся пачка пунктов, что проверить и, возможно, поправить, чтобы не осталось ни малейшей лазейки.

Несмотря на название, и на изначальную направленность на Perl и Apache, многие пункты (особенно из второй части) не имеют никакого отношения напрямую к конкретному языку, веб-серверу или платформе, а являются общими правилами.

Что внутри

  • Часть 1.
    Пункты 1—18: Настоятельно рекомендуется для всех новичков. Опытным разработчикам, у которых за плечами мегабайты кода, эти пункты, скорее всего, нового не поведают. Зато начинающим, которые хотят приблизиться к профессионалам, такое надо знать наизусть. Правила справедливы почти для всего.
    Темы: HTML, JavaScript, методы HTTP, параметры запроса и Cookie, способы фильтрации, уникальность данных, примеры, названия инструментов, защита при обращении к базе данных, XSS, сокрытие провоцирующей к влому информации, кому доверять, логирование, какие дыры опаснее всех, главный закон подлости № 18 и чем оборачивается откладывание на «потом».
  • Часть 2.
    Пункты 19—40: рекомендации средней и хардкорной тяжести. Хоть большая часть и справедлива для любых немаленьких проектов, тут встречаются пункты только для системных администраторов, только для высоконагруженных проектов или просто для полных параноиков или проектов с высокой ответственностью за данные.
    Темы: загрузка файлов на сервер; ускоряем Perl, но помним о подводных камнях; как поступать с чужими роботами; заткните рот apache; mod_security; меры против подбора пароля; сеансы и таймауты; отладка; организация доступа к БД; ограничение по IP, по времени; об обтключении приложения или сервера: когда и как; вы уверены в соседях?, VDS/VPS/DS; возьми лучшее у младшего брата; NULL-байт; ключи запуска: -T, -w, -W, -X; use strict по полочкам: vars, subs и refs; бэкапы; автор — не идеальный тестировщик; уведомление о взломе; perltidy; административные службы, стандартны, привычки или как перестать быть мишенью.

Если хотите перескочить первую часть, мотайте сразу на 18 минут 45 секунд :)

Благодарности

  • Умпутуну, Бобуку и прочим хорошо звучащим образцам, поставившим высокую планку качества звука, к которой я стремился.
  • Всем, кто помогал улучшать текст и тестировал звучание подкаста на разной технике.
  • Evave, Harisma, Spirit Tag за podsafe-треки.

Скачать подкаст

Обзор 18,4″ ноутбука DNS 0126579

Крайне субъективный обзор олдскульного программиста, с многолетними привычками к десктопу. С фотками. Не спонсирован производителем, поэтому честный и беспощадный :)

Права и условия копирования статей

Вы можете разместить мою статью в выпуске журнала, газеты, электронной библиотеке и т. п., только если рядом с материалом (под заголовком или в конце) будет однозначно указан мой ник или ФИО и адрес сайта.

HTML-код:

Автор: <a href="http://dj-andrey.ru/">DJ-Andrey-sXe</a>

Если вас не устраивают условия, свяжитесь, обсудим.

Защита веб-приложений на Perl

Как не допускать уязвимости в Perl-скриптах.
40 правил безопасности с примерами и пояснениями.

Правда о Школьном портале

На самом деле настоящий Школьный портал появился не в 2007 году, а в 2005. Но министерство обраования допустило…

Переходим на Microsoft Visual C++ 2005

Что нового? Какие трудности могут появиться при переносе старого проекта на новый компилятор языка, и как с ними бороться? Теория и практика. Размышления о безопасности и быстродействии.

Организация безопасного резервного копирования

Как создавать резервные копии информации с шифрованием на лету, чтобы в последствии иметь к ним произвольный прозрачный доступ по паролю.

Ускорение работы Windows-программ с использованием альтернативного менеджера памяти 7-max

Как бесплатно и без усилий заставить работать приложения под Windows быстрее. Описание менеджера памяти и пошаговые инструкции по установке и настройке.