Первый Блин . com

July 28, 2009

Совет тем, кто ищет работу

Ребята,
ради бога,
ну не называйте вы файл со своим резюме "resume.doc" или "cv.doc"!

Знаете ли вы сколько resume.doc файлов лежит в инбоксе у тетки с отдела кадров?

Да дофига их лежит.
А вот "VasyaPupkin.doc" (подставьте ваше имя) - нету ни одного.

Отличайтесь же, блин, хоть чем-то!

July 20, 2009

Новый (?) подход к секюрити вебсайта

Задумал сделать некий сервис, где особенное внимание надо уделить проблемам безопасности.
Т.е. исходная задача такова: есть некий общеизвестный сервис (с нами никак не связанный кроме того, что каждый может там иметь аккаунт), мы хотим приделать к этому сервису некую дополнительную функциональность (неважно какую), и вот возникает проблема, как хранить логины-пароли от этого сервиса, если мы их не можем держать в хэше (как, скажем, пароль от нашей системы) оттого. что пароль от внешнего сервиса нам надо будет использовать в открытом виде.

Ну как пример нашей системы можно рассматривать сервис BestPersons.ru.
Они предоставляют единый интерфейс к нескольким веб2.0 сервисам и блогам - и, соответственно, должны хранить у себя ваши пароли от всех сервисов.
Их как-то взламывали уже, поэтому проблема безопасности - это номер один.

Так вот, я решение придумал,
но если оно является общеизвестным, я не виноват, я честно не знал :)

Идея в том, чтоб иметь 2 сервера (frontend и backend).

Один сервер (frontend) принимает всю информацию от юзеров (зарегистрироваться, внести в систему какой-то блог, отправить постинг и тд) и складывает запросы в специальное место (message queue какой-нибудь). А второй сервер (backend), не имеющий интерфейса вообще (это важно), заглядывает в эту кучу периодически и проверяет - не появились ли новые запросы? Если появились - обрабатывает и удаляет из кучи.

Таким образом все запросы, все логины и все пароли хранятся на втором (backend) сервере, к ним доступа у злоумышленников нет в принципе даже при взломе первого сервера. А взломать backend сервер сложновато, т.к. у него нет интерфейса вообще (да и сам сервер может быть просто засекречен), от него исходят запросы, а к нему запросы все просто отфутболиваются автоматически на уровне сервера.

Можно для пущей важности еще по крону установить проверку целостности скриптов и БД на первом сервере (проверка производится тем же backend сервером) - тогда любой взлом первого сервера фиксируется вторым сервером в течение 10 минут (ну или на сколько вы там крон установите).

Дарю эту идею сервису best persons.

Кстати, у них же написано в рекламе "ваши логины-пароли зашифрованы какой-то хренью, что информация недоступна даже администрации сервиса".
Заявляю без сомнений: полная ахинея для домохозяек.
Если этот сервис делает автоматические запросы к блогам или социалкам, передавая туда ваши логин-пароль в открытом виде, то как это может быть недоступно администрации best persons?
Если есть шифрование, то есть и дешифрование.
Т.е. либо врут, либо сами не понимают.
Сами не понимают - это вряд ли, кстати :)

July 13, 2009

Об объявлениях о работе

Длинные объявления о вакансиях пишут полные идиоты.

Они вставляют в объявления все технологии, о которых они слышали, все умные слова, которые они где-то прочли, и составляют некую "вакансию своей мечты", как они это себе представляют.

В итоге получается кусок нечитаемого текста с нудным перечислением какой-то бредятины, которая никого не интересует, и которую вряд ли кто-то прочтет до конца. Это - штамп, поставленный на лоб компании "мы ищем кого-то, сами не знаем кого".

На такую позицию отзовется масса народа, которая наврала в своем резюме примерно столько же, сколько наврали в объявлении.

Но это полбеды.

Хуже то, что такие идиоты определяют стандарты.
Они начинают войну - кто напишет изощреннее вакансию, потом кто на эту вакансию напишет поизощренней резюме, а на эту кучу лживых резюме кто напишет очередную вакансию, чтоб все-таки отсечь часть "идеальных" резюме.

В итоге ни вакансии, ни резюме не имеют ничего общего с реальностью, а на работу берут либо знакомого, либо начальник берет кого-то своей национальности (если китаец - то китайца, если индус - то индуса, но русские, к сожалению, в этот список не входят).

Продажа воздуха начинается именно на этом этапе.

July 10, 2009

О твердости

Умиляют меня твердые люди,
те, которые говорят "ну что ж, меня не переделаешь".
Или "я хочу остаться собой".
Или "я такой, какой я есть".

Причем говорят это очень гордо, с апломбом, как бы достоинство свое подчеркивая.

В переводе на разговорный это, впрочем, означает "я твердолобый дебил, один раз что-то вбил себе в голову и выбить это нет никакой возможности".


Или ещё один тест на идиотизм в современном российском обществе - это мнение об Америке.
Если человек начинает со слова "пиндосы", через минуту рассуждений его начинает нести и трясти, то можно 100% утверждать - в Америке он не был, понятия он не имеет, о чём говорит, и всё, что он несёт, он взял из журнала Крокодил (программы Время, выступления Жириновского).

А знаете, что отличает американское общество от новорусскопатриотичного?
Отсутствие ненависти.
Ну нету там злобы к ближнему и дальнему.
Не брызгают там слюной.
Не называют там какие-то целые народы пиндосами.

Удел Моськи - это участь слабого человека.
Такие люди чаще всего очень тверды в своем мнении.

По сути, слабость и твердость - это одно и то же.

July 7, 2009

Взлом Вордпресса

Вот за что я люблю платформу blogger.com - за простоту, отсутствие нагрузки на хостинг и устойчивость к взломам.
Взломать его практически невозможно - это то же самое, что взломать gmail.
Т.е. кроме подбора пароля никаких способов, судя по всему, не существует.
А на сайте, на котором хостится блог - вообще нечего и взламывать, там статичные файлы, которые (даже при взломе хостера или апача, что вещь совершенно уж маловероятная) просто перезаписываются самим сервисом блоггер в следующий апдейт.

Другое дело - Вордпресс (написал сначала Вродпресс, долго сображал, где же ошибка).
Вордпресс - рассадник вирусов :)
Кроме того, он здорово нагружает хостинг - с десяток посещаемых вордпрессовских блогов, и хостинг уже еле шевелится.

Так вот, есть у меня парочка блогов на вордпрессе.
Как-то так сложилось, что начались они на вордпрессе, там и живут, т.к. вменяемого способа импорта их в блогспот я не смог найти пока что.
Мало того, что хостер ругается и при выходе новой версии вордпресса заставляет апдейтиться,
так еще и пароли помнить надо от всех блогов (хорошо на blogger.com - один пароль на все блоги!).

Ага, к чему же это я?
Да!
Взломали у меня один блог вордпрессовский недавно.
Дописывают какие-то левые линки к постингам в спрятанном диве.
Нехорошо это.

Всерьез я сел и занимался проблемой.
Прапдейтил wordpress до последней версии, сменил пароль на хостинг и на БД, поубивал в базе всех юзеров, почитал форумы, что там пишут про взлом - проделал все профилактические операции...
Знаете - фиг вам, ничего не нашел.
Т.е. вроде как все сделал - а через пару недель опять левые линки появляются.

Нашел я xmlrpc файл, откуда удаленный вызов процедур происходит, закомментил там всё, вписал отсылание emaila на себя, когда туда кто-то доступается.
Emails иногда приходят, но проблему это не решило.

Чуть с ума не сошел уже.
От досады, в основном.

Недавно прописал в файле wp-login (или подобном, не помню точно) ловушку - если кто к нему доступается - мне email бросается, с полной информацией о запросе включая все параметры.
И - блин! - помогло.

Какой-то таракан ломится с российского IP, и передает в админку вордпрессовскую мои админские логин и пароль!
Ого!

Пароль я поменял сразу,
потом подождал недельку - он каждый день по несколько раз ломится.

Ну я его по IP забанил на всякий случай, но мораль не в том.
Мораль в том, что выбирайте, товарищи, пароли посложнее немного.

Софт, может, и дырявый, но подбор пароля никто не отменял еще.

А вордпресс я всё равно не люблю.
Просто так.

July 3, 2009

Мониторинг сайтов, или сапожник без сапог

Ищу сейчас решение для мониторинга сайтов,
требования простые - проверять в заданных интервалах все страницы сайта, все линки, все картинки, чтоб ничего битого не было, а также запоминать время загрузки каждой страницы, а потом по этой информации строить графики.
Если кто может что посоветовать - посоветуйте.

Но я не об этом.

Сейчас смотрю, что у нас на рынке по этой теме есть,
набрел на сайт alertsite.com.

Так у них самих на главной странице битый линк - попробуйте пройти по линку Web Load Test на главной странице (кликните для увеличения)


Попадете на страницу с ошибкой (кликните для увеличения)


Вам тоже смешно?

Когда видишь такое, сразу хочется заниматься бизнесом. :)
Если такие клуши выживают, то нормальному человеку и сам бог велел.

Но когда обращаешь внимание на даты новостей (см. первый скриншот выше), то понимаешь, что люди пришли уже туда, куда шли.

Спи спокойно, дорогой товарищ сервис AlertSite.com!