Архив рубрики: Безопасность

8 правил для разработки безопасных PHP-приложений






Когда речь идёт о безопасности веб-приложений, важно понимать, что мало иметь надёжную хостинг-платформу. В первую очередь код приложения должен разрабатываться таким образом, чтобы обеспечить максимальную надёжность и безопасность своей работы. В сегодняшней статье рассказывается о, пожалуй, базовых принципах, которые просто обязаны стать безусловным рефлексом у тех разработчиков, которые стремятся создавать качественные приложения.

PHP Security

Читать далее 8 правил для разработки безопасных PHP-приложений




Гигансткий GPU-кластер для подбора паролей






На конференции Passwords^12 Jeremi Gosney представил GPU-кластер, позволивший ему анализировать 180 миллиардов MD5-хешей и 63 миллиарда SHA1-хешей в секунду. Более продвинутые алгоритмы значительно в лучше выдержали брутфорс-атаки: Bcrypt и Sha512crypt позволили исследователю добиться скорости лишь в 71000 и 364000 проверок за секунду соответственно.

Читать далее Гигансткий GPU-кластер для подбора паролей




Почему Nginx не поддерживает файлы .htaccess






Этим вопросом обычно задаются люди, до встречи с Nginx работавшие с Apache, и особенно часто те, кому довелось переносить проекты, корректная работа которых плотно зависит от .htaccess. Наиболее простой ответ, который можно дать сразу: .htaccess — это убийца производительности, а Nginx, как мы помним, нацелен именно на то, чтобы обеспечивать её максимальный уровень. Более подробное объяснение связано с тем. как Apache работает с файловой структурой сайтов и с файлами .htaccess в частности.

Читать далее Почему Nginx не поддерживает файлы .htaccess




eCryptfs и шифрование домашнего каталога в Linux






Многие обращали внимание на предложение Ubuntu во время установки зашифровать домашний каталог пользователя. Я до недавних пор всегда его игнорировал из соображений «хрен знает, что они там выдумали, разбираться неохота», но однажды любопытство пересилило и нашлось свободное для познания сей тайны время. Всех, кому интересно, приглашаю под кат.


Читать далее eCryptfs и шифрование домашнего каталога в Linux




Мониторинг системы при помощи logwatch






Удобную штуку всё таки придумали — лог-файлы. Всегда можно «вернуться в прошлое» и отыскать нужное событие. Особенно полезными лог-файлы оказываются при всякого рода расследованиях: причин нестабильности работы какого-нибудь демона или даже попыток несанкционированного проникновения в систему. Однако частенько бывает так, что «курить логи» администратор начинает уже слишком поздно, когда система пришла в нерабочее состояние. А ведь в большинстве случаев неприятному событию предшествует громкое «кричание» системы в лог-файлах, на которое если вовремя среагировать, можно много чего предотвратить. Конечно же, ежедневное рассматривание содержимого лог-файлов системы — занятие нереальное и глупое, особенно если объёмы логов составляют не пять строчек, да и что нам, время девать некуда? В сегодняшней заметке речь пойдёт об известной многим администраторам  автоматическом просмотрщике логов logwatch.

Читать далее Мониторинг системы при помощи logwatch




Настройка SSL в Apache






Сегодня уже никому не нужно объяснять что такое перехват трафика и зачем он нужен. С массовым нашествием беспроводных (и не всегда хорошо защищённых) методов доступа в Интернет необходимость шифрования сетевого трафика стала очевидной не только для пользователей различных интернет-банкингов, но и для тех, кто просто нуждается в защищённом доступе к своему домашнему компьютеру из кафешки в другом городе. Некоторые, к примеру, любят пользоваться разнообразными веб-приложениями, вроде Feng Office или SubSonic, установленными на домашнем сервере. При этом вовсе не хочется, чтобы доступ к кровному контенту достался ещё кому либо. В одной из предыдущих статей, посвящённых Nginx, мы рассматривали настройку SSL-шифрования сайтов, обслуживаемых этим сервером. Сегодняшняя статья посвящена тем, у кого нет Nginx и/или кто не хочет устанавливать его лишь в качестве TLS-прокси к Apache.


Читать далее Настройка SSL в Apache




Управление EncFS при помощи CryptFolder-Indicator






В недавней заметке об EncFS мы с вами рассматривали способ шифрования содержимого отдельных каталогов «на лету». Для желающих иметь GUI-способ управления набором каталогов EncFS Lorenzo, разработчик из Испании, предлагает созданное им Python-приложение, с которым мы сегодня и познакомимся.


Читать далее Управление EncFS при помощи CryptFolder-Indicator




EncFS. В помощь параноикам






Какими бы надёжными и защищёнными не объявляли себя онлайн-сервисы хранения данных вроде Wuala или DropBox, всё равно нет никаких гарантий того, что до ваших файлов не доберутся особо заинтересованные в них люди или организации. Единственная гарантия — вы сами. Если ваши файлы на жёстком диске хранятся в зашифрованной файловой системе, то можно гораздо меньше беспокоится в случае, если ваш винчестер отправится куда-то «на исследование» (естественно, если вы адекватно подошли к выбору алгоритма шифрования, ключа и/или пароля). Сам-собой возникает вопрос: как быть с файлами перед отправкой их за пределы вашей системы туда, где нет никаких гарантий безопасности хранилища? Естественно, отправлять их «как есть», мягко говоря, не рекомендуется.


Читать далее EncFS. В помощь параноикам