Советы по безопасности в Blogger

В далеком-далеком, но таком близком сердцу каждого торгаша, менялы и РВСНщика, государстве Пендостан США октябрь текущего года объявлен Национальным месяцем кибер безопасности. Или даже точнее – Национальным месяцем осведомленности по кибер безопасности. В связи с чем официальный блог разработчиков Blogger поделился советами как защитить свой блог от албанских террористов возможных информационных угроз.

Почему-то авторы «БлоггерБазза» продолжают упорствовать в своей ереси стремлении составлять сообщения исключительно на английской мове. Поэтому я попытаюсь дать если не перевод, то хотя бы краткое изложение основных пунктов обеспечения безопасности блога, рассмотренных в статье.

Сторонний код

Добавление счетчиков сайтов, шаблонов и других сторонних гаджетов и кодов может быть прекрасным способом, чтобы разнообразить ваш контент, но так же это может сделать ваш блог уязвимым для вредоносной активности, если вы не особо разбираетесь в их исходниках.

На протяжении лет мы видели множество сторонних скриптов прикидывающихся полезными дополнениями, когда на самом деле они в тайне выполняли вредоносные операции. Например, счетчик сайта может в действительности собирать данные о визитах, но в то же время может тайно отправлять информацию липкоруким рекламщикам с целью сбора данных о ваших читателях. А шаблон блога, скачанный на халяву с неизвестного сайта может содержать ссылки на опасные сайты, устанавливающие вредоносное ПО на компьютеры ваших посетителей.

С целью предотвращения попадания вредоносных модулей, «шпионов», «червей» и прочих гельминтов в организм твоего блога, при установке сторонних кодов следуй приведенным рекомендациям:

1. Потрать немного времени на обзор кода: есть ли что-либо кажущееся неуместным?

   К примеру, если ты устанавливаешь гаджет погоды на свой блог, задумайся, а уместна ли в нем ссылка вида:
   <a href="http://bablosiskohren.com">Деньги, сиськи, крепкий хрен!</a>.




2. Просматривай новый шаблон блога перед сохранением

   Дизайнеры вредоносных шаблонов могут добавлять всплывающие окна или другие рекламные сообщения, которые могут быть выявлены еще на этапе предварительного просмотра. Если что-то неожиданное появилось при просмотре, отмени изменения шаблона.




3. Делай резервную копию шаблона

   Перед внесением изменений в рабочий шаблон, сохрани резервную копию шаблона Blogger.




4. В первую очередь, ищи гаджеты в доверенных источниках.

   Например, среди стандартных гаджетов Blogger или на Gadgets for Blogger.

Разрешения

Служба поддержки Blogger изливает горючую скорбь по поводу того, что почти каждый день поступают жалобы от пользователей коллективных блогов, связанные с ситуацией когда один из совладельцев блога отнимает полномочия у другого. Постарайся больше не расстраивать ребят из саппорта и просто не давай админские полномочия кому попало.

Это был краткий обзор советов по безопасности в Blogger. Как говорится, – Keep secure! Или «не роняй мыло в душе», или типа того.

--
Защиту от физических угроз обеспечат бронеавтомобили от Armour Group. Безопасность на дороге.

Читать дальше »

Исследование на полиграфе

Недавно проходил тестирование на полиграфе, более известном в широких массах как «детектор лжи». В банке, куда я устраивался, сама процедура тестирования называлась «психофизиологическое исследование» (ПФИ).

Не то, чтобы я стремился устроиться именно на работу в банк. Отнюдь! Но подвернулась такая возможность, и я решил попробовать. А уж когда узнал о «необходимости» проверки на «детекторе лжи», я просто не нашел в себе сил оказаться от подобного эксперимента. Тем более, что для меня это было впервые.

Как специалист на рассматриваемую должность я подошел на отлично. Но это был только первый этап. Предстояла еще проверка службой безопасности, включающая в себя исследование анкетных данных и это самое ПФИ.

Тестирование проводил весьма солидный мужчина весьма солидного возраста. Вежливый и внимательный. Ежу понятно, что опытный психолог; и вообще создавалось впечатление, что «дяденька» отнюдь не так прост. Напрашивались ассоциации с определенными службами определенных ведомств.

Сама процедура проходит следующим образом. Сначала с тобой беседуют, рассказывают как будет проводиться тестирование, как работает полиграф, какие будут задаваться вопросы, что делать в случае если ответ на вопрос неоднозначен. Подписываешь расписку «о добровольном согласии в здравом уме и твердой памяти». Следом тебя просят ответить на примерные вопросы в письменном виде. Гадать не надо: большинство из этих вопросов – ключевые. Это подготовительный этап исследования. Цель его состоит в том, чтобы раскачать твою психику, сделать ее более мобильной.

Дальше идет непосредственно исследование. На тебя цепляют датчики, подключают их к полиграфу и лэптопу, а сам объект исследования усаживают в удобное кресло лицом к ровной однотонной поверхности. Тестирование проходит сериями «работа-отдых». Минут 6 ты "честно" отвечаешь на вопросы, минут 6 отдыхаешь. В моем случае таких серий было три. Некоторые вопросы могут повторяться; как правило это те вопросы, на которые твоя реакция была наиболее яркая. Делается это для повышения точности «попаданий».

В итоге убедился, что полиграф действительно работает. В моем случае исследование с высокой степенью достоверности показало, что я собираюсь выпить всю воду в автоматах, съесть все печенюшки и смотать всю туалетную бумагу. И вру, что это не так. В общем, как и задумывалось.

Напоследок могу сказать, что это был интересный опыт. На основе собственных наблюдений пришел к выводу, что проверка на детекторе лжи – довольно действенная штука, но обмануть полиграф все-таки не сложно.

© Эксклюзив от Ruby Brewed. Из серии «проверено на себе».

Читать дальше »

Grabr облажался!

Сервис для веб-мастеров Grabr сегодня прилюдно обделался несказанно облажался.

Совет для блоггера, использующего Grabr, но ценящего свое время:
Никогда не используй предварительный просмотр статьи!
Подозреваю, не так много людей использует подобные функции при отправке статей. Но тем не менее предупрежу:

• Эта функция все равно не работает;
• Grabr воспринимает предпросмотр как отправку нового сообщения, о чем тебя с радостью уведомляет, когда ты действительно захочешь опубликовать статью:

  Пока ваша карма меньше 10, вы не можете добавлять более одной статьи в час. До следующего добавления осталось:59 минут 32 секунды

• Так и не отправленная статья нигде не сохраняется. Поэтому, если ты все же захочешь ее отправить, спустя 59 минут 32 секунды, придется набирать все ручками. Или приучи себя использовать «дедовский» метод постинга, разработанный еще в древности для отправки сообщений на говнофорумы глючные сервисы. Попросту копируй свой пост перед отправкой. Либо в текстовый файл, либо в буфер обмена.

Блоггер! Будь бдителен! Даже если ты обычно не пользуешься функцией предварительного просмотра. Положи рядом с собой здоровенную линейку и хуячь себе по пальцам каждый раз едва рука потянется к «порочной кнопке».

А если бы ты нес патроны?!! © Гоблин

Читать дальше »

Top-25 самых опасных ошибок программирования CWE/SANS

Большинство уязвимостей, которые хакеры используют при атаках на веб-сайты и корпоративные серверы, являются следствием распространенных и хорошо известных ошибок программирования.

В понедельник группа из 35 уважаемых организаций, в число которых вошли Microsoft, Symantec, Министерство национальной безопасности США (DHS) и подразделение по защите информации Агентства национальной безопасности, опубликовала список из 25 самых серьезных ошибок, допускаемых при кодировании. Координаторами этой инициативы выступили SANS Institute и спонсируемый из федерального бюджета научно-исследовательский центр MITRE.

Список подразделяется на три класса, в каждом из которых перечислены сходные по типу ошибки. Первые девять из них попадают в категорию «небезопасного взаимодействия между компонентами», вторые девять – в раздел «рискованного управления ресурсами», а оставшимся, по мнению авторов, присуща «проницаемая защита».

Недочеты выстроены в списке исходя из частоты упоминания и серьезности последствий для безопасности.

Две верхних строчки в рейтинге занимают недоработки, связанные с неподобающей проверкой вводимых значений и кодировкой вывода. В числе прочих перечислены ошибки в защите SQL-запросов и структуры веб-страниц, приводящие к SQL-инъекциям и уязвимостям межсайтового скриптинга. Упоминается также и об ошибках переполнения буфера и слишком подробных сообщениях о причинах возникновения сбоев. Ознакомиться с рейтингом можно на странице www.sans.org/top25.

Читать дальше »

Руководство по безопасности Rails

На сайте guides.rails.info опубликовано наиболее полное руководство по безопасности Rails приложений -- Ruby On Rails Security Guide.

Это руководство описывает наиболее распространенные проблемы безопасности web-приложений и методы их устранения в Rails.

Ruby On Rails Security Guide (English)
Читать дальше »