C, PHP, VB, .NET

Дневникът на Филип Петров


Категория ‘ОСУП’

* Настройки на php.ini

Публикувано на 18 март 2010 в раздел ОСУП.

Файлът php.ini съдържа основните настройки за програмната среда PHP. Той съдържа изключително много променливи, но ние ще се спрем само над най-важните. Структурата е <име на променлива> = <стойност>. Прочети още…

.

 


* Борбата със спам

Публикувано на 07 март 2010 в раздел ОСУП.

I. Какво е спам?

Едва ли има потребител в интернет, който да не използва електронна поща, та дори и бутафорно само с цел да се регистрира за дадени услуги. От това множество потребители пък едва ли има такива, които не са получавали „нежелани съобщения“, които ние вече дори приехме в българския език като чуждицата „спам“ (spam).

Когато говорим за „спам“ обикновено го свързваме наистина само и единствено с електронната поща. Естествено съществуват и много други видове спам: Прочети още…

.

 


* Honeypot captcha

Публикувано на 01 септември 2009 в раздел ОСУП.

Напоследък в блоговете се наблюдава сериозна битка за територия между две технологии – askimet и captcha. Askimet не е нова и кой знае колко иновативна технически технология – събира статистики от стотици хиляди сайтове и на базата на тях преценява кой коментар в блог е спам и кой не. Така например действа и филтърът за Outlook – SpamBayes. На другия фронт стои captcha – технология, за която вече писах в предишна статия. Тя не се позовава на никакви статистики – тя разчита на чисто технологично решение на проблема. Прочети още…

.

 


* ATM карти с чип

Публикувано на 05 юни 2009 в раздел ОСУП.

ATM картите с чип, по-добре познати като EMV (съкратено от Eurocard, Mastercard и Visa), е стандарт създаден през 1995г., който тепърва се налага масово по света. При тях също се използват различни алгоритми за криптиране на информацията – DES, Triple-DES, RSA или SHA. Най-главното предимство пред стандартните карти с магнитна лента е това, че много по-трудно се копира самата информация от чипа. Прочети още…

.

 


* Разбиване на PIN код

Публикувано на 05 юни 2009 в раздел ОСУП.

Personal Identification Number (PIN) кодът е измислен като метод за автентикация през 1967г от Джон Шепърд-Барон. По-късно е стандартизиран по ISO 9564-1, където се дефинира, че PIN код трябва да бъде поредица от 4 до 12 цифри.

При ATM картите най-често се използва 4 цифрен PIN код. Така възможните комбинации са общо 10 000 – от 0000 до 9999. Повечето банкови системи дават право на до три грешни опита за въвеждане на PIN код, след което блокират картата. По този начин опитите за „налучкване“ са сведени до вероятност от 0.3%. Прочети още…

.

 


* ATM карти – 2

Публикувано на 05 юни 2009 в раздел ОСУП.

В настоящата статия ще дам малко факти относно кражбите на ATM карти. Информацията е по данни на Федералното Бюро за Разследване на САЩ, която беше представена на презентация във ФМИ на СУ преди няколко месеца: Прочети още…

.

 


* ATM карти

Публикувано на 04 юни 2009 в раздел ОСУП.

ATM картите са по-добре познати в България като „карти за банкомат“. Те могат да бъдат дебитни или кредитни в зависимост от условията на договора ви с банката. Всички ATM карти поддържат международен стандарт ISO/IEC 7810 ID1, който дефинира размери от 85.60 × 53.98 милиметра. Този стандарт добавя и допълнителни характеристики като запалимост, токсичност и др.

В тази статия ще пиша главно относно начините за кражба на ATM карти. На първо време трябва да спомена, че има две възможности за изтегляне на пари от банкова карта – online и offline: Прочети още…

.

 


* Оптимизиране на Apache

Публикувано на 14 април 2009 в раздел ОСУП.

Apache е най-популярният http сървър в интернет. Както всеки сървър той също има специфични настройки, които могат значително да повишат производителността на системата. Много от тях са особено важни и за сигурността – например при справянето с DoS атаки.

Файлът за настройки на Apache е с име httpd.conf. Понякога този файл зарежда свои дъщерни (httpd-vhosts.com, httpd-aliases.conf, и т.н.). Обикновено специфичните настройки за оптимизация на сървъра се слагат във файл httpd-default.conf. Подобно на настройките за MySQL, за които споменахме по-рано, и тук всичко се променя изключително лесно с проста промяна на стойност: Прочети още…

.

 


* Настройки на sysctl.conf под FreeBSD

Публикувано на 10 април 2009 в раздел ОСУП.

Много хора не знаят, че във файла /etc/sysctl.conf за настройки на ядрото на Unix-базираните операционни системи се съдържат изключително много възможности за подобряване на стабилността на системата, а оттам и нейната сигурност.

В настоящата статия ще разгледаме някои важни настройки за мрежовия адаптер и още други свързани със сигурността на системата. Повечето от тях ще подобрят сигурността на системата и ще я направят много по-малко уязвима от слаби DDoS атаки. Разгледаните настройки са само за системи работещи под FreeBSD. Други операционни системи имат свои алтернативни опции. Прочети още…

.

 


* Защита от online brute force атаки

Публикувано на 16 декември 2008 в раздел ОСУП.

„Brute Force“ е атака, при който атакуващият изпраща множество заявки към сървъра с различни двойки от име и парола, с цел да „налучка“ някоя правилна комбинация. Най-често на атака са изложени потребителски имена като „admin“, „administrator“, „root“, и т.н. По този начин атакуващият се опитва да получи достъп до даден защитен ресурс, без да използва пробив в сигурността.

Първото и основно правило за защита срещу brute force атаки е да използваме колкото се може по-сложни пароли. Обикновено тези атаки изпробват набор от речникови думи, имена и понякога цифри. Освен това, независимо колко сложна е вашата парола, не е добра идея да я използвате за всички сайтове, на които влизате (най-малкото администратора на чуждият уеб сайт ще може да проникне във вашия личен).

Независимо колко стриктна и добра политика използваме за паролите ние не бихме искали да позволим някой да изпробва стотици комбинации от имена и пароли върху вашата система. Най-малкото не сме сигурни дали някой от нашите потребители не използва лесна за разгадаване парола – например името си в комбинация с годината на раждане: „Иван1978“. Една целенасочена атака срещу този потребител би изпробвала различни комбинации от данни, които са свързани с потребителя Иван. Паролата от своя страна изглежда сигурна (съдържа и думи и цифри) и би преминала вашия валидатор. Поради тази причина е наложително да се защитите, като едновременно с това не затруднявате потребителя излишно. Прочети още…

.