» » Страница 2

Вся правда об XSS или Почему межсайтовое выполнение сценариев не является уязвимостью?

Вся правда об XSS или Почему межсайтовое выполнение сценариев не является уязвимостью?С учетом распространенных среди разработчиков мифов и заблуждений о межсайтовом выполнении сценариев, нет ничего удивительного в том, что он и по сегодняшний день входит в число наиболее распространенных проблем безопасности веб-приложений.

Должен признаться, что чтение комментариев на Хабре к практически любым постам, описывающим очередную XSS на каком-либо популярном сервисе или сайте, способно повергнуть в уныние любого, кто так или иначе связан с безопасностью веб-приложений. С учетом распространенных среди разработчиков мифов и заблуждений о межсайтовом выполнении сценариев, нет ничего удивительного в том, что он и по сегодняшний день входит в число наиболее распространенных проблем безопасности веб-приложений: согласно данным отчета Positive Technologies за 2010-2011 годы, XSS были подвержены 40% проанализированных веб-приложений, а из отчета Firehost за второй квартал 2012 года следует, что XSS составила 27% от числа зарегистрированных хостером атак.

И поскольку, заминусовать этот пост можно и за один только его заголовок, то поспешу пояснить: межсайтовое выполнение сценариев действительно не является уязвимостью, но только потому, что оно является атакой. В чем разница, почему это важно, как со всем этим бороться и какие еще мифы и заблуждения распространены об XSS — читаем под катом.
Читать далее

Translater V 1.0

Всем привет.
Когда-то видел на этом форуме программу для переводчиков, помогает генерировать файл перевода. Очень удобная штука была. Но потом чета перестала работать. Вот долго собираясь, решил написать свою, с некоторыми улучшениями.

  • В первое поле вбиваем IDфразы.
  • Во второе саму фразу.
  • В третьем поле можем получить код на сайт.
  • Ну а в четвертом получаем исходный текст после нажатия кнопки Сгенерировать.
  • Чтобы сохранить в файл, в меня жмем файл - сохранить.


В чем плюс ее, во первых IDслова каждый раз будет увеличиваться на один шаг, то есть вы ввели 100 и вам уже не надо менять на 101, 102 и тд.
Я думаю будет полезно для переводчиков и создателей модов и плагинов.
Жду ваших коментариев и спасибо от тех кому помог.
Читать далее

Про то как мы ходили на free-lance.ru

Про то как мы ходили на free-lance.ru


Не буду вдаваться в подробности того, что мы хотели заказать, ибо этот момент ушел далеко на задний план, после того с чем мы столкнулись.

Итак, искали мы веб-программиста, и требовалось написать модуль на одной CMS, сумма проекта была достаточная и можно было договорится о её росте.

После публикации нашелся один программист, взялся за работу и принял условия. На работу даем 5 дней, он пожелал сдать её на следующий день, дело его. Выставили его исполнителем. на следующий день и в течение пяти дней мы его не видели. Появился он уже после конца срока сдачи работы, извинился сказал что лежал в больнице. Попросил дать ему ещё один, и он всё сделает. Мы дали, ибо больше предложений не поступило на фрилансе, а другой вариант обещал рассмотреть нашу работу только в конце следующей недели. Дальше кусочек из жалобы.

31/10/2011 он появился и написал: "если есть возможность подождать 1 день". Прошло сутки, на вопрос сделана ли работа, получил ответ: "да утром сброшу". После этого, когда я снова спрашивал его о выполненной работе получал следующие сообщения: "минуту, архивирую", "номер телефона свой дайте", "да ерст посмотрите в действии на нашем вдс", "ну ждите работа готова устанавливаю сбрасываю демо", "отправлю в 11 по москве". Я так и не увидел не демо, не модулей. Фрилансер просто издевался и тратил моё время. Не работайте с этим человеком, это пустышка с ПРО аккуантом и всё что указано в его портфолио и профиле, это всё им не делалось, а взято для привлечения внимания. Предоплату я не заплатил, что очень хорошо, а вот проплаченное объявление было потеряно.


Оставил жалобу в профиле фрилансера, позже получил ответ от него, который меня просто добил:

излишки ваши лишние. Модуль ваш стоит на drupal points, с учетом оманы исполнителя.
Скачивайте на сайте, удачи с проектом.


но мы не заказывали для drupal, от куда он вообще взялся?!!

Такая вот ситуация номер 1.

Вторая оказалась короткой. Развод под видом Сделки без риска на free-lance.ru. Про нее написано подробно здесь http://habrahabr.ru/blogs/freelance/128216/ мы не попались, всё стало понятно когда BL уровень был -1.

Делаем вывод, что на free-lance.ru НЕТУ вообще разработчиков под социальные CMS, там остались только мажоры (которые конечно возьмутся за вашу работу, но цену Вам выставят по истине божественную, такие кстати мне не встретились тоже, но уверен они есть), мудаки и мошенники. Мудаки потратят ваше время и может и напишут код, только не для вашего заказа. Мошенники потратят ваше время, деньги, нервы и ещё на*** пошлют :)
Читать далее

Как заработать на Oxwall?

Как заработать на Oxwall?

Oxwall молодой open-source проект, который на момент написания этой статьи находится на версии 1.1.1, но скоро планируется к выходу 1.2

Система хоть и молодая, но уже успела обзавестись модулями, которые позволяют получать доход с проекта. Разработчики стараются сделать Oxwall простым для интеграции и связки в нем разных элементов, так например, если вы добавляете платежный модуль, он будет доступен для всех плагинов, которые испытывают в нем необходимость.

Теперь давайте рассмотрим способы заработка на Oxwall их не так много, но расширить их достаточно просто, если знаете php или имеете немного денег, чтобы заказать доработку.
Читать далее

Социальная сеть из коробки или при чём тут китайцы

Социальная сеть из коробки или при чём тут китайцыСейчас на рынке несколько предложений скриптов для построения социальных сетей, как говориться из коробки. В общем есть из чего выбрать, но...

Если у вас есть опыт разработки действительно сложных и больших проектов с инвестиционным планом, и планом развития - то вы просто обязаны знать что такие факторы как рентабельность, скорость возврата вложенных средств (будь-то свои или инвестиционные), а так же подобные детали, которые и составляют смысл жизни проекта (ведь социальная сеть - это не маленькая домашняя страница, и не персональный блог, которая может быть создана и поддерживаться только с одной целью - моральное удовлетворение автора), а так же повышают его вес в глазах возможных партнеров (или конкурентов, что в данном случае не критично). Пример. Я хочу построить классный социальный проект...
Читать далее

Modernizr и HTML5/CSS3 - что и как он делает

Modernizr и HTML5/CSS3 - что и как он делает



Modernizr, это небольшая javascript библиотека, которая определяет поддерживает ли браузер те или иные функции, свойства из HTML5/CSS3 и добавляет классы к <html> элементу на странице, которые позволяют использовать специфичную функциональность браузера в ваших таблицах стилей, без написания дополнительных скриптов.
Читать далее

Условные комментарии для IE: методы применения

Условные комментарии для IE: методы применения

Не секрет, что при тестировании сайта в IE, мы часто получаем неприятные сюрпризы. И зачастую приходится тратить огромное количество времени в поисках решения проблем, связанных с некорректной интерпретацией таблиц CSS IЕ. Чтобы избежать использования хаков и трюков в основной таблице стилей, создается дополнительная для IЕ.
Читать далее

Бесплатные шрифты от Google для вебсайта: Google Fonts API

Бесплатные шрифты от Google для вебсайта: Google Fonts API
Google создал открытую коллекцию веб-шрифтов Google Font Directory.
При помощи Google Font API вы получаете свободный доступ к ним, что дает возможность легко добавлять веб-шрифты на сайт. Это займет не больше 15 секунд! Совершенно бесплатно вы получаете доступ к огромному хранилищу шрифтов.
Читать далее