Joker +36


Joker

Партнер-эксперт: http://experts.webasyst.ru/directory/1064599/joker-x/ Партнер-эксперт
Партнер-разработчик: https://2.webasyst.ru/store/developer/1064599/ Партнер-разработчик

  • Joker Joker 18 декабря 2019 11:05 #

    Я бы хотел промолчать, но 


    С сегодняшнего дня, я поменял свое мнение за которое яростно топил, по поводу политики найма программистов на работу крупными компаниями аля, Гугл, Сбер, Фейсбук и т.п., что они спрашивают алгоритмы или хотя бы их понимание и умение построить элементарные на уровне начальной школы. Топил о том, что это хрень не нужная и по факту она вряд ли когда пригодится на работе, ведь все нужные функции уже проработаны, все оптимальные  алгоритмы уже в них заложены, но теперь я с ними согласен... И более того гнать таких надо метлой - это не программисты...

     Уже один раз тут допустил схожую ошибку и топил внедрения в SS и в дефолтные темы ленивую подгрузку изображений и webp формат, все расписал, как надо сделать и почему так должно быть, на пике тренда. Ну и конечно хоть все заминусовали и в движок само собой по умолчанию - это не было внедрено, по совести, как должно. Зато идею и собранную инфу тут же подхватили другие разработчики и все реализовали в плагинах и судя по продажам в отличии накрученной минусовки, спрос на это огромен, а следовательно сообщество по факту было не согласно со мнением накруток. Нужно было молчать, самому реализовать плагины и неплохо поднять бабла минимум на пол ляма на чей-то лени.

    Но данная ситуация вообще из ряда вон выходящая.

    Говорят, дыра, показывают пальцем, но нужно еще все разжевать, потому что построить элементарный школьный алгоритм 2+2 - это слишком сложная задача. Получается, судя из  тестов крупных компаний, тут нет программистов.

    1) В ручную к админке  пароли редко кто подбирает, 99% это брут сетью.

    2) Комбинаций паролей в данном случае на ОДИН раз может быть максимум 9999 Округляем до (10000) Чтобы Вам было проще считать, а то мозг еще не выдержит.

    3) Возьмем маленькую стандартную сеточку IP на брут в 500 ip адресов(прокси, соксы, ssh и.т.п)

    4) Посчитаем, сколько итераций с такой сетью нужно выполнить, чтобы покрыть все комбинации.

    10000 делим на 500 - получается всего 20 попыток.

    5) Далее запускаем алгоритм по формуле не в одну цифру, чтобы в 20 этих попыток, пробежать по всем цифрам этой сетью из 500 IP, то есть на первый до последнего IP, будут вводится цифры

    1 ip - 0000, 0001,......., 0018, 0019

    2 ip - 0020, 0021,......., 0038, 0039

    ..........

    499 ip - 9960, 9961,......., 9978, 9979

    500 ip - 9980, 9981,......., 9998, 9999

    Где-то за 27 дней по формуле, если умножить на 2.

    Если ее не будет, то моментально.

    Но даже по формуле умножить на два каждый раз это все равно, какой-то П....ц

    , то есть берем 500 потоков с сетью в 1000 проксей

    и заходим в админку против Вашей формулы, каждый раз умножить на два 

    где-то 17 часов

    Но скорее всего проксей будет больше.

     

    в ответ на ДВУХФАКТОРНАЯ авторизация, на аккаунты с доступом в админку.

  • Joker Joker 15 декабря 2019 19:31 #

    P.S.

     Еще более простыми словами объясню, просто кто-то "услышал звон", да не понял где он.

    Внедрив из Двухэтапной аунтификации предположим того же Гугла или Сбера, ее половину и превратив в однократную. Причем без первой ее части, где человек вводит с начало свой реальный пароль(а уже потом приходят 4 или 6 цифр), эта опция вообще теряет свой смысл в ноль.

    в ответ на ДВУХФАКТОРНАЯ авторизация, на аккаунты с доступом в админку.

  • Joker Joker 15 декабря 2019 19:04 #

    То есть это тест на сообразительность Ваших пользователей хотите сказать? Браво. Я не раз слышал про фразу - "медвежья услуга", походу эта опция - это как раз именно оно?

    медвежья услуга

    в ответ на ДВУХФАКТОРНАЯ авторизация, на аккаунты с доступом в админку.

  • Joker Joker 15 декабря 2019 19:01 #

    500 соксов на день ничего не стоят

    каждый раз вводим придположим из скрипта с разных адресов 

    одну цифру "2345" и только ее

    Примерно через 20 попыток человек будет в админке

    Да, хоть 5 секунд, при таком бруте - наподобие алгоритма каждый раз делим на пополам, только немного наоборот. Большой сетью  прямо в одну точку долбим рано или поздно мы в админке. При 500 хостах 20 попыток, при 1000 будет 10 и т.д.

    Дырыща

    в ответ на ДВУХФАКТОРНАЯ авторизация, на аккаунты с доступом в админку.

  • Joker Joker 12 декабря 2019 00:31 #

    Извените за беспокойство.

    Блокировку создавал плагин Firewall (Фаервол), который снижает серверную нагрузку.

    Плагин блокировал REQUEST_URI сервер запрос.

    2019-12-12 00:43:32 112.209.XX.XX REQUEST_URI_NEW.9: find[manager] IN /webasyst/shop/?module=order&id=%XXXXX&hash=manager&_=XXXXXXXXXXXXX URI: /webasyst/shop/?module=order&id=%XXXXX&hash=manager&_=XXXXXXXXXXXXX

    Для решения проблемы нужно добавить в исключения "Дополнительные правила фильтрации по REQUEST_URI" правило:

    #/webasyst/shop/?module=order

    либо более кардинально, чтобы не создавать препятствий и другим модулям

    #/webasyst/shop/?

    в ответ на "Все мои заказы" в админке не подгружается информация о заказах.

  • Joker Joker 9 декабря 2019 17:05 #

    Ой, тогда извините, буду искать откуда эта опция выросла.

     СПс.

    в ответ на "Все мои заказы" в админке не подгружается информация о заказах.

  • Joker Joker 4 мая 2019 21:58 #

    Роман, я почитал Ваши другие комментарии и передумал, пожалуй я уступаю Вас creativit за его 50 000. А свою цену поднимаю до 70 000 - 90 000, за очевидные нервные затраты на Ваше обучение, так как вы не сразу понимаете о чем Вам толкуют.

     О кстати у меня есть старый видос, который давно с женой лично сам делал, про взлом Винды - та же аналогия, что и с сайтом. Посмотрите, будет полезно.


    <iframe style="width: 500px; height: 281px;" src="//www.youtube.com/embed/S6pw7O7hz7A" frameborder="0" allowfullscreen=""><span id="selection-marker-1" class="redactor-selection-marker"></span></iframe>

    в ответ на вы бы старые версии пропатчили чтоли

  • Joker Joker 4 мая 2019 21:45 #

    Антон, никто не отказыватся, ему предложили 50 000 за индивидуальное решение, но я сжалился и пошел на большие уступки предложим ему за свои услуги 49 990, кстати тоже индивидуальное, чтосто под него, патчи никикЭ писать никто не будет для халявщиков.

     Вы наверно заметили, что сейчас даже на рутрекерах, nnm-clubах и т.п. сервисах патчи под некоторые программы Винды вовсе перестали появляться. Это очень хорошая тенденция, общество программистов наконец умнеет и продает свои услуги. Я рад.

    Антон, хотите пожизненую, да легко. Предложите в Вебасист 100 000к. думаю они Вам пойдут на уступки и сделают лично для Вас исключение на 10 лет вперед минимум.

    в ответ на вы бы старые версии пропатчили чтоли

  • Joker Joker 4 мая 2019 21:37 #

    Мне тоже 3 пункт нравиться. Намного выгоднее слить базу конкурентам)))

    в ответ на вы бы старые версии пропатчили чтоли

  • Joker Joker 4 мая 2019 21:31 #

    Роман, тут дело даже не в программировании.

     А на прорядок ниже - в администрировании. Вы слышали, что Windows надо обновлять, чтобы Вас не взломали? С сайтами тоже самое. Если бы я узнал, что системный администратор(даже не программист) сидит под рутом(или админом) или не обновляется, то я бы его уволил. - это два самых жестких косяка, вот прям вот аксиома в ИТ. 

    За администрирование Вам единица по 10 бальной шкале. Я поддерживаю creativit и жестко его задопингую более низкой ценой. Могу Вам предложить свои услуги за 49 990 рублей. 

    в ответ на вы бы старые версии пропатчили чтоли

  • Joker Joker 20 апреля 2019 21:25 #

    Здравствуйте, Игорь. 

    Есть рабочий конфиг, правда работал под 5 версию.

     Можете написать на почту - joker@tjo.biz.

    в ответ на FastCGI (Nginx + PHP-FPM)

  • Joker Joker 18 апреля 2019 01:13 #

    Позитивный подход - это, как один из выходов в этой ситуации. Но когда интересный проект и все равно постоянно отвлекают текучкой, то можно и перегореть.

     Ясненько, спасибо, гляну туда.

    Конечно, про реальную жизнь не стоит забывать, а то когда пересидишь в 4 стенах, то на улице не понимаешь к чему вся эта суета людской толпы, чего они все куда-то бегу, в чем смысл этой возни или ругани в очереди.))) Тьфу-тьфу я тут в Тае славу богу все это забыл, ругань очень, очень редкое явление и это просто великолепно.

    в ответ на Что Вы делаете, чтобы сосредоточится на задачах и Вас ничего не отвлекало от работы?

  • Joker Joker 16 апреля 2019 18:49 #

    Ну Михаил, Вы и отморозили.))) Хорошо, что на тематичном форуме, а не в ВК каком нибудь.

    в ответ на Что Вы делаете, чтобы сосредоточится на задачах и Вас ничего не отвлекало от работы?

  • Joker Joker 16 апреля 2019 18:47 #

    Спасибо большое, я тоже думаю переходить только на часовое обслуживание, когда ценят каждую твою минуту.

    в ответ на Что Вы делаете, чтобы сосредоточится на задачах и Вас ничего не отвлекало от работы?

  • Joker Joker 10 апреля 2019 21:28 #

    Напоминалка самому себе

    Смарти:

    {$wa->shop->productImgHtml($p, '0x300', ['itemprop' => 'image', 'alt' => $p.name, 'class' => 'lazyload', 'src' => 'data-src', 'default' => "`$wa_theme_url`img/dummy200.png"])}

    Правильный фрагмент из Вьюив Хелпер.

      public function imgHtml($image, $size, $attributes = array())
        {
        	$src = 'src';
            if (!$image || empty($image['id'])) {
                if (!empty($attributes['default'])) {
                    return '<img $src="'.$attributes['default'].'">';
                }
                return '';
            }
            if (!empty($image['description']) && !isset($attributes['alt'])) {
                $attributes['alt'] = htmlspecialchars($image['description']);
            }
            if (!empty($image['description']) && !isset($attributes['title'])) {
                $attributes['title'] = htmlspecialchars($image['description']);
            }
            $html = '<img';
            foreach ($attributes as $k => $v) {
                if ($k != 'default') {
                	 	if ($k == $src) {
    									$src = $v;
    									continue;
    								}
                    $html .= ' '.$k.'="'.$v.'"';
                }
            }
            $html .= ' '. $src.'="'.$this->imgUrl($image, $size).'">';
            return $html;
        }

    в ответ на webp

  • Joker Joker 9 апреля 2019 15:34 #

    Где-то хреновые админы в магистральных провайдерах и недолжным образом настроили ISPF маршрутизацию, как один из вариантов. 

     Вы позвоните в Яндекс и уточните, что Вы людей мучаете такими вопросами, на которые они не знают ответа))), мы же не экстрасенсы, вот пусть они и посмотрят со своей стороны, может что-то увидят и скажут по трассировке. (#traceroute kpd88.ru)

    в ответ на Яндекс.Маркета

  • Joker Joker 9 апреля 2019 15:21 #

    Есть примерная информация, когда будет закрыта данная уязвимость?

     В последнем обновлении Вебасист было что-то написано, про эту форму, но после обновления до последней версии Вебасист двухкратная аунтификация так и не работает, просто поле входа на 4 цифры, ужас. =)

    в ответ на Админы, обратите внимание, как я только что написал инструкцию по взлому новой системы входа в 9999 вариаций пароля в админскую часть

  • Joker Joker 8 апреля 2019 15:09 #

    Александр, Вы все на самом деле проще, смотрите шире.

     Вы путаете, как и автор ложку с поварешкой, у них немного разные задачи и объемы.

    Вебасист - это интернет-магазин и свои задачи в этом плане выполняет, на мой взгляд идеально для своего уровня. Автор видно хочет впихнуть невпихуемое и сделать из интернет-магазина маркетплейс в итоге. Но поймите, цена ложки 10 рублей, а цена поворожи 100 рублей, а еще есть кастрюля. Если бы предположим из WordPress можно было бы сделать маркет-плейс, то нафиг вообще городить было бы такие здания, как у Авито, Ебей, Букинг 5 этажный с 1500 программистов, а просто установил бесплатный вордпрес и забацал Алиэкспресс. 

     Нельзя сравнивать ложку и поварешку. Платите больше и будет Вам то, что Вы хотите, но за 1 000 000 руб в месяц, Ебаей Вы точно не построите.

    в ответ на Что вы думаете о WebAssyst

  • Joker Joker 8 апреля 2019 11:18 #

    Я тоже за границе нахожусь и уже давно и при это звоню дешевле чем большинство Россиян.

     IP телефония в помощь. 

    Позвоните, Вашу проблему за Вас никто не решит.

    в ответ на Гугл реклама отклонил сайт! Вредоносное или нежелательное ПО

  • Joker Joker 8 апреля 2019 11:10 #

    Да, данный способ работает, проверено в консоли Safari последняя версия. Спасибо.

    Решил объединить два способа, чтобы наверняка и железно на все браузеры.


    Цитирую, может кому-то пригодится:

    Using a query string for cache control isn't your best option nowadays for multiple reasons, and (only) a few are mentioned in this answer. He even explains the new standard method of version control. Though if you just want to be able to set your request headers, the right way to do it is:

    xhr.setRequestHeader('cache-control', 'no-cache, must-revalidate, post-check=0, pre-check=0');
    xhr.setRequestHeader('cache-control', 'max-age=0');
    xhr.setRequestHeader('expires', '0');
    xhr.setRequestHeader('expires', 'Tue, 01 Jan 1980 1:00:00 GMT');
    xhr.setRequestHeader('pragma', 'no-cache');

    Hope this helps anyone in the future.


    и второй вариант:

    http.setRequestHeader("Cache-Control", "no-cache, no-store, must-revalidate");

    в ответ на Работает везеде с влюченным кешом AJAX - JavaScript jason xhr XMLHttpRequest, кроме iPhone

  • Joker Joker 8 апреля 2019 01:01 #

    Спасибо большое, попробуем и такой вариант.

    в ответ на Работает везеде с влюченным кешом AJAX - JavaScript jason xhr XMLHttpRequest, кроме iPhone

  • Joker Joker 8 апреля 2019 00:57 #

    Позвоните, не ленитесь, у них телефон бесплатный.

    в ответ на Гугл реклама отклонил сайт! Вредоносное или нежелательное ПО

  • Joker Joker 8 апреля 2019 00:55 #

    Да, такой сайт не вызывает доверия.

    в ответ на Не корректно отображен подвал

  • Joker Joker 8 апреля 2019 00:52 #
  • Joker Joker 8 апреля 2019 00:50 #

    Наверно настроение, под окружающие сообщество.

    в ответ на адаптировать

  • Joker Joker 8 апреля 2019 00:48 #

    После всего этого от всех ссылок не забудьте http избавиться. Если не знаете, как это сделать автоматизированно, то тогда только в ручную, чтобы замочек на сайте был нормальный.

    в ответ на Как перейти на https

  • Joker Joker 8 апреля 2019 00:45 #

    В Вашем случае или агенство или личный программиста фулстек на минимальный оклад 50 000р. если удаленно - это цена по России, ну еще и должно повезти, чтобы не ленился работать по всем правилам и стандартам, понимал SEO, Линукс, бизнес и это помимо программирования. Все зависит от денег.))

    в ответ на Делегирование администрирование сайта

  • Joker Joker 8 апреля 2019 00:15 #

    Тему можно закрыть.

     Я разную херню встречал, но такого глюка и подставы еще поискать надо, огромную тучу времени убил, даже fetch зацепить пришлось. На яблочных и Сафари проблема решается так, нужно сделать два запроса, один POST другой GET, еще и с задержкой и тогда все глюки уходят, даже на телефонах. Ну не умеют Apple, нормально поддерживать кеш на уровне разработчиков, к такому выводу я пришел ...

    в ответ на Работает везеде с влюченным кешом AJAX - JavaScript jason xhr XMLHttpRequest, кроме iPhone

  • Joker Joker 7 апреля 2019 21:26 #

    P.S. Видимо fetch не поддерживает на айфонах header заголовки под кэш. Печально, а мне нужна на стороне клиента именно опция настройки кеша.

    https://developer.mozilla.org/...

    в ответ на Работает везеде с влюченным кешом AJAX - JavaScript jason xhr XMLHttpRequest, кроме iPhone