Комментарии на: Защита веб-приложений на Perl

От: DJ-Andrey-sXe

DJ-Andrey-sXe — Sun, 19 Dec 2010 19:54:27 +0000

На основе статьи сделан подкаст.
TODO: на хабр (не взяли), ~~на арпод~~, на опеннет, в ][, и прочие годные журналы. Изложение в статье пунктов, которые есть только в аудио (34).

От: Arch

Arch — Thu, 02 Dec 2010 23:21:41 +0000

Cтатья отличная, много почерпнул, много переосмыслил. СПАСИБО за материал!

От: Alex

Alex — Fri, 12 Nov 2010 19:29:47 +0000

К пункту 21. Да, наличеее файла robots.txt более чем необходимо.

От: DJ-Andrey-sXe

DJ-Andrey-sXe — Sat, 07 Aug 2010 17:45:42 +0000

Старая версия с 18 пунктами (та, что первая публичная, аккуратная, без этих свежих добавок с TODO) всё-таки сохранилась: http://web.archive.org/web/20080214113508/http://rusdj.chat.ru/articles/perl-webapp-protection/perl-webapp-protection.html

От: DJ-Andrey-sXe

DJ-Andrey-sXe — Sat, 13 Mar 2010 17:26:39 +0000

Paul,

1) Не каждый проект требует выполнения всех пунктов подряд. Элементарно может не быть таких функций, которые потребовали бы именно такого типа защиты или специфика может освободить от выполнения многих пунктов.

2) Защита — важная вещь, не стоит жалеть на неё времени. Потому что когда проект сломают, сразу станет понятно, что время потратить всё-таки стоило.

3) Если защищать по полной программе первый проект, это трудно. Второй и последующие защищаются частично прямо во время написания, когда правила уже в голове, частично после, заимствованием своего же собственного кода из предыдущих защищённых проектов. Таким образом экономится время.

От: Paul

Paul — Sat, 13 Mar 2010 10:16:12 +0000

Вообще, если всё это реализовать, уйдёт очень много времени.

От: Vavila

Vavila — Fri, 08 Jan 2010 10:09:27 +0000

Да, а ведь написано действительно хорошо..

От: Zenon

Zenon — Fri, 08 Jan 2010 08:40:58 +0000

Спасибо. Очень понравилось :)

От: Willie

Willie — Thu, 07 Jan 2010 00:23:07 +0000

Ну наконец! Свежая инфа. Как раз доклад делаю по смежной теме

От: KoXX

KoXX — Sun, 03 Jan 2010 22:55:28 +0000

Интересно, а главное познавательно Спасибо :)

От: DJ-Andrey-sXe

DJ-Andrey-sXe — Sun, 03 Jan 2010 02:32:09 +0000

Pilat, 24-й пункт непростой, если следовать только его части, то это реально чревато и DoS и нежелательными блокировками. А если всё продумано и предусмотрено, то попытавшийся положить сервер атакой на задержку входа (полагаю, вы имели ввиду, рассчитывая израсходовать ресурсы или их лимиты, многопоточно калбася скрипты, не дожидаясь ответа) очень быстро влетит в бан по порогу «Requests per second» на заслуженный отдых.

Мой друг как-то предложил идею хранить месяц истории попаданий в бан и если побывавший в бане IP снова возжелал покрошить сервер, то новый бан следует выдавать на более длительный срок. Например, вернулся после 5 минут — выдаём 10, вернулся ещё раз — 30, ещё — 2 часа, ещё — сутки. Ну, если уж делать, то что в веб-морде должен быть список банов с функцией преждевременного снятия, это, думаю, и так понятно.

От: Zesicesse

Zesicesse — Sat, 02 Jan 2010 16:53:55 +0000

Начало многообещающее. Добавил в закладки, завтра дочитаю :)

От: Pilat

Pilat — Sat, 02 Jan 2010 10:37:00 +0000

24. Принимайте меры против подбора пароля.

Задержка входа — простейший, но при этом уже достаточно неслабый способ. Сведет на нет ручной перебор и автоматический однопоточный перебор с одного компьютера.

только задосить такой сайт – дело минут.

От: coonintyecomi

coonintyecomi — Fri, 18 Dec 2009 23:05:00 +0000

Не первый раз уже подымалась эта тема на других сайтах но мне кажеться она лучше изложена чем у других, а вообще не берите в голову – а то медицина не поможет