Սոցիալական ցա՞նց, թե՞ “անթերի” սկրիպտ – մաս 1

Tuesday, April 27th, 2010

Ինտերնետ օգտվողների կողմից օրեցօր աճող պահանջարկ ունեցող սոցիալական ցանցերն այնքան մեծ տարածում են արդեն գտել, որ շատ-շատերը երազում են ունենալ իրենց սեփական սոցիալական ցանցը… Դու նույնպես… Չէ՞…

Եվ ահա այդ շատ ցանկացողների համար էլ ստեղված է մի համակարգ (այսուհետ կանվանեմ սկրիպտ), որը կոչվում է InstantCMS: Գուցե շատերին անունը ոչինչ չասեց, բայց որոշներին հաստատ ծանոթ սկրիպտ է: Փորձեմ այսօր անդրադառնալ այս սկրիպտի թերություններին:

ՆԱԽԱՀԱՐՁԱԿՈՒՄ

Ահա գտել եմ այդ սկրիպտով աշխատող ինչ-որ կայք, որի բախտը ցավոք չի բերել: Հիմա կփորձենք ստուգել…

Առաջինը, որ աչքի ընկավ, Ադմինիստրացիոն բաժնի ակներև տեղադրություն էր` http://badsite.com/admin : Ոնց էլ չլինի, եթե ուրիշ բան չգտնեմ, էտ հաստատ ասելու բանա… Ու քանի գնում ավելի էր ձգում ինձ սկրպիտը…

Գուգլն ինձ ասաց, որ սկրիպտի պաշտոնական սայթը instantcms.ru-ն էր… Ես էլ գնացի ու … 2 Մեգաբիթանոց կապս սկրիպտը շատ արագ տեղավորեց համակարգչիս կոշտ սկավառակի ամենաակնառու տեղը` ուղիղ էկրանիս… (more…)

27.04.2010 Մի կայքի պատմություն 6 Comments

Բլոգերներին` խորհրդի կարգով…

Tuesday, December 22nd, 2009

Պարզվում է` հաքերները ստեղծել են WORDPRESS համակարգը “ջարդելու” նոր մեթոդ: Իրականում մեթոդի հիմքը օգտագործվում էր շատ վաղուց, բայց հիմա այն կատարելագործվել է: Հիմքում ընկած է դեռ շատ հնուց արդեն սովորական դարձած բրուտ-ֆորս հարձակումը: Ովքեր տեղյակ չեն, ասեմ, որ բրուտ-ֆորսի ժամանակ հաքերը փորձում է ավտոմատացված ծրագրի օգնությամբ փորձել բոլոր հնարավոր գաղտնաբառերը և գտնել, թե որն է համապատասխանում տվյալ բլոգին: Իսկ ի՞նչ են մոգոնել ա’յս անգամ…

Նույն բրուտ-ֆորսն է, բայց կատարելագործված այն իմաստով, որ հիմա արդեն աշխատում է ոչ թե ծրագիր, այլ սկրիպտ, որը տեղադրվում է ինչ-որ սերվերի վրա և միանգամից նշանակետ է տրվում ոչ թե մեկ բլոգ, այլ բազմաթիվ բլոգներ: Այս դեպքում սկրիպտը փորձում է գաղտնաբառ գտնել բոլոր տրված բլոգների համար և տվյալները պահել բազայում:

SANS Internet Storm Center-ը նշում է, որ բրուտ-ֆորս հարձակումները մեծ տարածում ունեին մինչ այժմ, իսկ այս նոր կատարելագործված տարբերակն արդեն այլ հարթակի վրա է բարձրացնում մեթոդի վտանգավորությունը:

Իսկ ի՞նչ եմ առաջարկում ես: Եթե մինչև հիմա վտանգ կար, հիմա արդեն այդ վտանգը քառապատվել է, և ժամանակն է.

  1. Որպեսզի բլոգերները իրենց բլոգների գաղտնաբառերը դարձնեն ԴԺՎԱՐ հիշվող, իմաստ չունեցող բառեր և արտահայտություններ: Ցանկալի է օգտագործել 8-ից ավելի սիմվոլներ, որտեղ կլինեն գոնե մեկ հատ մեծատառ, գոնե մեկ հատ փոքրատառ, անպայման լինեն թվեր և հատուկ նշաններ: Ավելի լավ պատկերացնելու համար բերեմ գաղտնաբառի օրինակ` Yo19agil$: Ճիշտ է, այս գաղտնաառը հիշելը դժվար է, բայց այսպիսի գաղտնաբառով Ձեր բլոգը պաշտպանելը բարձրացնում է Ձե’ր անվտանգ է:
  2. Որպեսզի արգելափակեք Ձեր բլոգի ադմինիստրացիոն հատված մուտք գործելու ֆորմայում տվյալներ մուտքագրելու քանակը: Այս հարցում Ձեզ կօգնեն պլագինները, որոնցից մեկը ես կառաջարկեմ, բայց եթե ԴԵՄ ԵՔ, փնտրեք նմանատիպ պլագիններ, բայց ուշադիր եղեք, որպեսզի այն wordpress-ի կայքում միջինից բարձր վարկանիշ ունենա, այլապես հենց այդ պլագինը կարող է բաց տեղեր ունենալ: Ես առաջարկում եմ տեղադրել Limit Login Attempts պլագինը, որի ռեյտինգը 4.5 միավոր է /5 միավորից/: Թե ինչպես տեղադրել այս պլուգինը, կարդացեք այստեղ, իսկ ես մի քանի բառով ասեմ, որ այս պլուգինը թույլ է տալիս ադմինիստրացիոն հատվածից սահմանափակել փորձարկումների քանակը, մուտք գործողներին ցույց է տալիս, թե քանի տարբերակ է մնացել փորձելու համար, դե իսկ սահմանված թիվն անցնելուց հետո այդ IP-ն արգելափակվում է և Ձեզ, որպես ադմինիստրատոր, էլ.նամակ է ուղարկվում, որտեղ նշվում է, որ կայք ներխուժելու փորձեր են եղել:

Դե ինչ… այսքանը: Ապահով եղեք, պաշտպանեք Ձեր ունեցածը:

22.12.2009 Բլոգինգային նյութեր, Խորհուրդներ 2 Comments


Վճարված գովազդ ::