|
| |
|
|
| |
для: alexander95
(30.01.2012 в 02:43)
| | | Собственно да, насколько я помню скрывать имена страниц по таким соображениям было модно лет 5-7 назад... Например, Ozon таким образом довольно долгое время скрывал, что у него движок на ASP.NET, а сервера соответственно на Windows. Проблема в том, что рано или поздно где-нибудь все-равно ошибешься и все усилия в общем ничего не стоят (ну если цель конечно, именно в сокрытии информации). Позже стала популярно более здравая концепция - лучше действовать открыто в предположении, что злоумышленнику известно все или может стать известным все - это позволяет более трезво осуществлять защиту. | |
| |
|
|
| |
|
|
| |
для: cheops
(29.01.2012 в 11:10)
| | | да ведь можно заставить сервер и .txt файлы как .php интерпретировать -_-
так что смысла вообще нет никакого (разве что школохакер подумает, что страница статическая :) ) | |
| |
|
|
| |
|
|
| |
для: Belkin
(29.01.2012 в 21:21)
| | | тут в принципе не за что просить прощения, если бы вы смогли выразиться яснее, то скорее всего вам бы хватило информации которой вы располагаете, и не возникло бы этого вопроса | |
| |
|
|
| |
|
|
| |
для: Valick
(29.01.2012 в 19:51)
| | | Возможно >> лишенная смысла информация выхваченная из какого -то контекста
Прости, в следующий раз буду выражаться яснее ) | |
| |
|
|
| |
|
|
| |
для: Belkin
(29.01.2012 в 18:03)
| | | не могли бы выражаться более однозначно
возможно что? возможно нельзя ответить или возможно (в смысле можно) ответить на ваш вопрос при такой постановке? | |
| |
|
|
| |
|
|
| |
для: Valick
(29.01.2012 в 08:06)
| | | Возможно, я интересовался. | |
| |
|
|
| |
|
|
| |
для: Belkin
(29.01.2012 в 02:32)
| | | >Здравствуйте, где-то читал, что если делать site.com/pages/contact такого вида site.com/pages/
>contact.html, то есть добавлять .html - то получаются какие-то уязвимости или проблемы что ли?
>правда это или нет? стоит ли так вообще делать?
Ну нет... просто потенциальный взломщик якобы получает информацию о технологии... причем речь идет скорее не о расширении .html, а о .php или .asp или .py или .pl, т.е. когда можно сделать вывод о том, какой язык программирования используется на сайте и можно попробовать свежие уязвимости этого языка. Как раз .html то ничем не пробьешь. | |
| |
|
|
| |
|
|
| |
для: deimand
(29.01.2012 в 06:25)
| | | ребята, а вы пробовали книги читать, а не "эфир" слушать?
я тоже один раз в компьютерном магазине слышал разговор двух подростков, что друг одного из них компьютерный гений, спаял поломанную пополам (в районе процессора) материнку и она работала...
__
deimand, вы скорее всего читали о бесполезности обработки функцией htmlspecialchars() перед занесением в базу
Belkin, на ваш вопрос ответить вообще не возможно, так как это лишенная смысла информация выхваченная из какого -то контекста | |
| |
|
|
| |
|
|
| |
для: Belkin
(29.01.2012 в 02:32)
| | | Где-то читал, что если добавлять html код в базу, то при выводе, его не получится обработать функцией htmlspecialchars(), а значит исполняется любой javascript код, который мог быть добавлен третьей стороной в базу не через скрипт, или зная пароль от чужого сайта, что некоторые считают уязвимостью. Это ответ на заголовок "Слышал, что есть какие-то страшные уязвимости, если добавлять html".
Что же касается вашего примера, то вряд ли добавленное расширение имеет к уязвимостям отношение. А вообще логичнее такие ссылки: site.com/pages/contact/. Хотя на вкус и цвет... | |
| |
|
|
| |
|
|
| | Здравствуйте, где-то читал, что если делать site.com/pages/contact такого вида site.com/pages/contact.html, то есть добавлять .html - то получаются какие-то уязвимости или проблемы что ли? правда это или нет? стоит ли так вообще делать? | |
| |
|
|
|
