dil's journal
[Most Recent Entries]
[Calendar View]
[Friends]
Below are the 20 most recent journal entries recorded in
Безопасный Слой Гнезд's LiveJournal:
[ << Previous 20 ]
| Tuesday, January 1st, 2030 | | 8:51 pm |
Не говорите мне, что мне делать, и я не скажу, куда вам надо пойти
1. Если я о чем-то пишу в своем журнале, значит, меня эта тема заинтересовала, и спрашивать у кого бы то ни было разрешения я не намерен. Вы имеете полное право разделять мое мнение, не разделять мое мнение, вообще не интересоваться данным вопросом. Вы можете высказывать свое мнение в комментариях, не высказывать свое мнение в комментариях, вообще не читать мой журнал. 2. Но ваше мнение о том, что и как мне можно писать в _моем_ журнале, а что нет, чем мне надо интересоваться, а чем нет, оставьте при себе. Оно меня совершенно не интересует. Попытки мне это объяснить будут пресекаться баном, невзирая на лица. Потому что см. п.1. И рисунок 1. | | Friday, July 3rd, 2009 | | 12:06 pm |
| | Thursday, July 2nd, 2009 | | 3:00 pm |
| | 1:56 pm |
Новости об Ирландии
Этот бред сивой кобылы опубликовал Собеседник. Потом перепечатали путешествия@mail.ru, и пошло-поехало..
Upd: указанный под заметкой автор утверждает, что сие было вписано без её ведома, а возможностей редактирования у неё нет.
Оригинал этой записи. Комментировать можно тут или там.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме | | 10:23 am |
| | Wednesday, July 1st, 2009 | | 2:49 pm |
Казино йок
С 1 июля 2009 в России запрещена деятельность казино, за исключением четырех специально отведенных для этого зон - в Приморском и Алтайском краях, Калининградской области и на границе Краснодарского края и Ростовской области.
Мало того, что это офигенно удобные места, так они ещё и не готовы.
Лично мне это совершенно пофигу, но мне интересна логика авторов закона. Игорный бизнес не требует никаких затрат со стороны госбюджета, а налоги с него можно грести лопатой. Замглавы Минфина Сергей Шаталов считает, что “бюджеты российских регионов от закрытия казино вне игорных зон потеряют 5-6 миллиардов рублей доходов в год”. Кто хотел играть - всё равно будет, в подпольных или онлайновых казино, которые в российский бюджет платить ничего не будут. Где логика, где смысл?
Оригинал этой записи. Комментировать можно тут или там.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме | | Tuesday, June 30th, 2009 | | 2:40 pm |
| | Monday, June 29th, 2009 | | 1:15 pm |
Спам порадовал
Good day,
This programme is awarded for all victims who were previously scammed by
the internetfraudsters ,the Financial Commitee of the UN-HABITAT Programme have
deposited yourSettlement Check Parcel of $500,000.00 USD with Reference Number
UN013-0156/UPS-UN-HABITAT to the United Parcel Service of Nigeria (UPS).
You are to contact the United Parcel Service of Nigeria (UPS) for more
information
PLEASE SEND YOUR :1FULL NAMES 2ADDRESS 3COUNTRY 4AGE 5SEX 6PHONE NUMBER
CONTACT:
E-mail:ups_customercare2009@8u8.com
Tel:+234-7056-682-806
Accept Our regards.
Darry Fiske
UN-HABITAT Senior Information Officer
Ага, уже побежал :)
Оригинал этой записи. Комментировать можно тут или там.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме | | 10:41 am |
грабельки
А мне Яндекс.Почта с прошлой пятницы начала форвардить спам. Несмотря на то, что в форвардящем фильтре указано “Для всех писем, кроме спама”, и этот фильтр я не менял уже очень давно.
Это лично мне так не повезло, или это у всех?
Upd: спамом в данном контексте называются письма, у которых есть заголовки
X-Yandex-Spam: 4
и
X-Spam-Flag: YES
Оригинал этой записи. Комментировать можно тут или там.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме | | Thursday, June 25th, 2009 | | 1:09 pm |
| | 12:52 pm |
| | 11:08 am |
| | Wednesday, June 24th, 2009 | | 5:16 pm |
Кризис
Сотовый оператор прислал уведомление, что с 1 июля 2009 снижает стоимость отправки SMS в 37 европейских стран до 13 центов (сейчас 15). Пустячок, а приятно.
И перестаёт брать деньги за получаемые в роуминге SMS.
Кризис…
Оригинал этой записи. Комментировать можно тут или там.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме | | 2:38 pm |
| | 1:15 pm |
| | 1:07 pm |
Звериный лик капитализма
Медицинская страховая компания без всякого на то повода с моей стороны прислала форму заявления на возмещение медицинских расходов. Вместе с инструкцией по её заполнению. Фамилия, номер полиса, адрес, название страхового плана в форму уже вписаны.
Это, наконец, сподвигло меня на выкапывание квитанций от врачей. Раз уж они сами предложили. Деньги небольшие, но и не лишние же.
Кроме того, на работу приехали представители этой самой страховой компании, консультируют всех желающих по условиям страховки и принимают те самые заявления лично, чтоб люди дополнительно не мучились с отсылкой их по почте.
Я фигею, дорогая редакция.
Оригинал этой записи. Комментировать можно тут или там.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме | | 12:08 pm |
| | Monday, June 22nd, 2009 | | 6:48 pm |
| | 10:17 am |
| | Friday, June 19th, 2009 | | 8:31 am |
Про веб-приложения и базы данных
Это для веб-девелоперов, остальным неинтересно будет.
Как известно, у веб-девелоперов случаются ошибки, в результате чего в приложениях появляются уязвимости. Вопрос у меня о том, как можно дополнительно превентивно от этих уязвимостей защититься на уровне разграничения прав доступа в базе данных.
Вот в файловой системе как - приложение, конечно, может и само проверять, надо ли позволять текущему пользователю выполнять ту или иную операцию с файлом или директорией, но администратор системы дополнительно устанавливает права на чтение/запись/…, которые приложение обойти не может.
А в веб-приложениях, работающих с базой, обычно все операции выполняются от имени одного пользователя, и разграничение полномочий целиком возлагается на приложение. Поскольку обычно этому пользователю разрешены операции модификации данных в базе, то при эксплуатации уязвимостей хакер имеет возможность поменять не только “пользовательские” данные (скажем, содержание текстов на сайте), но и “системные” (например, шаблоны, привилегии веб-пользователей и прочие, которые нормально подлежат редактированию только администраторами сайта).
Вопрос: а что мешает веб-приложению, работающему в “режиме обычного пользователя” и в “режиме администратора сайта” подключаться к базе от имени разных пользователей, которым назначены разные привилегии - первому поменьше, второму побольше? Чтобы хакер, работающий с приложением в первом режиме, в принципе не имел возможности поменять “системные” данные.
Я никаких принципиальных ограничений не вижу, кроме небольшого усложнения приложения и необходимости разделения данных на две группы и более тонкой настройки прав в базе.
Понятно, что это не панацея, но как дополнительная мера защиты покатит. Но я ни в одном распространенном движке для веб-приложений такого не видел. Кто-нибудь такие знает?
P.S. Про Windows Integrated Authentication в IIS я в курсе, но у него область применения довольно узкая. Если его включить, то придётся всех пользователей заводить на уровне ОС. Для публичных веб-приложений с большим количеством пользователей это неприемлемо.
Оригинал этой записи. Комментировать можно тут или там.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме |
[ << Previous 20 ]
|
![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small}
dil's journal
![[info]](http://stat.livejournal.com/img/userinfo.gif){kind=small}
