Та тодорхойлох хэрэгтэй хамгийн сайхан цагжирэмслэх, хүсээгүй жирэмслэлтээс урьдчилан сэргийлэх, эсвэл хамтрагчтайгаа бэлгийн харьцаанд орох нь хэзээ хамгийн сайн болохыг мэдэх үү? Өмнө нь эмэгтэйчүүд эмч дээрээ очиж зөвлөгөө авдаг байсан бол одоо шинэ сайн найз болох ухаалаг утастай болжээ.

В өнгөрсөн жилЭмэгтэйчүүдэд зориулсан олон програмууд байдаг бөгөөд энэ нь танд үржил шимтэй өдрүүд, Суперовуляци хийх хугацааг хялбархан хянах, хувийн тэмдэглэл хөтлөх боломжийг олгодог. Үүнээс гадна тэд бусад олон функцтэй байдаг. Ийм нэгэн программыг 47 сая эмэгтэй аль хэдийн ашиглаж байгаа Glow юм. Glow нь эмэгтэйчүүдийн сэтгэл санааны байдал, сексийн чанар, давтамж зэрэг зүйлсийг хянах боломжийг танд олгоно. Энэхүү програмын ачаар эдгээрийг авах боломжтой болсон Сонирхолтой баримтууддэлхийн өнцөг булан бүрээс ирсэн эмэгтэйчүүдийн дотно амьдралын тухай.

Эмэгтэйчүүдэд зориулсан шилдэг улсууд

1. Та дотно харилцааг санаж байна уу? Канад руу яв. Канадчууд энгийн аппликейшн хэрэглэгчдээс 45 хувиар илүү бэлгийн харьцаанд ордог нь тогтоогджээ.

2. Гэхдээ болгоомжтой байгаарай: Канад бол жирэмслэхэд тохиромжтой газар юм. Канад эмэгтэйчүүд бусад эмэгтэйчүүдээс 21% хялбар жирэмслэх боломжтой.

3. Австралийн эмэгтэйчүүд ч бас ойр ойрхон бэлгийн хавьталд ордог - дундаж программ хэрэглэгчдийнхээс 37%-иар илүү.

4. Австралийн эмэгтэйчүүд ч жирэмслэх магадлал өндөр байдаг гэдгийг хэлэх нь илүүц биз? Тэд бусад хэрэглэгчдээс 14 хувиар өндөр байна.

5. АНУ - сайхан газараз жаргалтай байх. Америк эмэгтэйчүүд бусад эмэгтэйчүүдээс 16% илүү бэлгийн харьцаанд ордог.

6. Аз жаргалтай байх хамгийн муу газар? Латин Америк. Энд эмэгтэйчүүд энгийн апп хэрэглэгчтэй харьцуулахад 4% бага секс хийдэг.

Бэлгийн дуршил

1. Эмэгтэй хүний ​​сексийн дур сонирхол түүнд тохирсон байдаг сарын мөчлөг... Таны мөчлөгийн эхний өдөр бол сарын тэмдгийн эхний өдөр бөгөөд энэ нь ойролцоогоор тав хоног үргэлжилдэг. Тиймээс сард нэгээс таван өдөр хүртэл эмэгтэйчүүд сексийг хамгийн бага сонирхдог.

2. Олон эмэгтэйчүүд энэ хугацаанд эрчим хүчний түвшин эсвэл сэтгэл санааны өөрчлөлтийг мэдээлдэг бөгөөд энэ нь ихэвчлэн бэлгийн дур хүсэл буурсантай холбоотой байдаг. Мөн сарын тэмдэг ирсэнээс хойш бүтэн долоо хоногийн турш эмэгтэйчүүд сексийн сонирхол багатай байдаг.

3. Ихэнх эмэгтэйчүүд мөчлөгийн 12 дахь өдрөөс дахин бэлгийн харьцаанд орж эхэлдэг.

4. Олон эмэгтэйчүүд мөчлөгийн 12-оос 14 дэх өдөр хүртэл тогтмол бэлгийн харьцаанд ордог. Glow апп нь эдгээр өдрүүдийг "бэлгийн амьдралын оргил үе" гэж нэрлэдэг.

5. Үнэндээ эмэгтэйчүүд мөчлөгийн 13, 14 дэх өдөр хамгийн тачаангуй мэдрэмжийг мэдэрдэг. Гэхдээ нэг сонирхолтой зүйл гэвэл тэд энэ үед хамгийн сайхан, сэтгэл ханамжтай сексийг заавал хийдэггүй.

6. Ихэнх эмэгтэйчүүд мөчлөгийн сүүлийн буюу 30 дахь өдөр сексээс таашаал авдаг. Glow дахь энэ өдрийг "дур тавих оргил" гэж тэмдэглэдэг.

Эмэгтэйчүүд сэтгэл хангалуун байна уу

1. Бүсгүйчүүд мөчлөгийн 15, 16 дахь өдөр, мөн өмнөх өдрүүдэд бэлгийн хавьталд их орсон үедээ хамгийн аз жаргалтай байдаг.

2. Glow хэрэглэгчид хоёр жилийн дотор 7.6 сая бэлгийн харьцаанд орсон байна.

3. Энэ нь Glow аппликейшнийг ашигладаг минут тутамд дор хаяж долоон эмэгтэй бэлгийн харьцаанд ордог гэсэн үг юм.

4. Дашрамд дурдахад хэрэглэгчид мөн 2 сая удаа дурласан тухай мэдээлсэн байна. Энэхүү программ нь мөн 88 мянган хосын бэлгийн мөчлөг, үржил шимийг хянадаг.

5. Харамсалтай нь одоо байгаа бэлгийн хавьталд орсон ч бүх эмэгтэйчүүд түүнд сэтгэл хангалуун байдаггүй. Эмэгтэйчүүдийн бараг гуравны нэг нь ухаалаг утаснаас илүү сексээс татгалзах магадлал өндөр байдаг.

6. Гэхдээ энэ нь гуравны хоёр нь сексээс илүү утсаа орхихыг илүүд үздэг гэсэн үг.

Сайн уу. Намайг Саша Баранник гэдэг. Би Mail.Ru группын 15 ажилтантай вэб хөгжүүлэлтийн хэлтсийг удирддаг. Бид хэдэн арван сая хэрэглэгчдэд зориулсан сайтуудыг хэрхэн бүтээх талаар сурсан бөгөөд өдөр бүр хэдэн сая үзэгчидтэй тайван харьцаж байна. Би өөрөө 20-иод жил вэб хөгжүүлэлт хийж байгаа бөгөөд сүүлийн 15 жил ихэвчлэн РНР хэл дээр программчилж байна. Хэдийгээр энэ хугацаанд хэлний чадвар, хөгжүүлэх арга барил маш их өөрчлөгдсөн ч гол сул талуудыг ойлгож, түүнээс хамгаалах чадвартай байх нь аливаа хөгжүүлэгчийн гол ур чадвар хэвээр байна.

Интернет дээр олон нийтлэл, аюулгүй байдлын гарын авлага байдаг. Энэ ном надад нэлээд дэлгэрэнгүй, нэгэн зэрэг товч бөгөөд ойлгомжтой санагдсан. Энэ нь танд шинэ зүйл сурч, сайтаа илүү найдвартай, аюулгүй болгоход тусална гэж найдаж байна.

P. S. Энэ ном урт тул орчуулгыг хэд хэдэн нийтлэлд багтаах болно. Ингээд эхэлцгээе ...

PHP-ийн аюулгүй байдлын тухай өөр ном байна уу?

РНР аюулгүй байдлын тухай ном эхлүүлэх олон арга бий. Харамсалтай нь би аль нэгийг нь уншиж амжаагүй байгаа тул бичих явцдаа үүнийг ойлгох хэрэгтэй болно. Магадгүй би хамгийн энгийн зүйлээс эхэлж, бүх зүйл бүтнэ гэж найдаж байна.

Хэрэв бид X компанийн онлайнаар эхлүүлсэн хийсвэр вэб програмыг харвал энэ нь хакердсан тохиолдолд ихээхэн хохирол учруулж болзошгүй хэд хэдэн бүрэлдэхүүн хэсгүүдийг агуулж байна гэж таамаглаж болно. Жишээ нь аль нь вэ?

1. Хэрэглэгчдэд үзүүлэх хор хөнөөл:и-мэйл, нууц үг, хувийн мэдээлэл, дэлгэрэнгүй мэдээлэлд хандах банкны картууд, бизнесийн нууц, холбоо барих жагсаалт, гүйлгээний түүх, гүн гүнзгий хамгаалагдсан нууц (хүн нохойгоо Shiny гэж дуудах гэх мэт). Энэ мэдээлэл алдагдсан нь хэрэглэгчдэд (хувь хүмүүс болон компаниуд) хохирол учруулдаг. Ийм өгөгдлийг буруугаар ашигладаг вэб програмууд болон хэрэглэгчийн итгэлийг өөрт ашигтайгаар ашигласан сайтууд бас хор хөнөөлтэй байж болно.
2. X компанид учирсан хохирол:Хэрэглэгчдэд учирсан хохирлын улмаас нэр хүнд муудаж, нөхөн төлбөр төлөх шаардлагатай болж, бизнесийн чухал мэдээлэл алдагдаж, нэмэлт зардал гарч ирдэг - дэд бүтэц, аюулгүй байдлыг сайжруулах, үр дагаврыг арилгах, хууль эрх зүйн зардал, ажлаас халагдсан шилдэг менежерүүдэд их хэмжээний тэтгэмж олгох гэх мэт.

Вэб програмын аюулгүй байдлын систем урьдчилан сэргийлэх ёстой ихэнх таагүй зүйлсийг багтаасан тул би эдгээр хоёр ангилалд анхаарлаа хандуулах болно. Аюулгүй байдлын ноцтой зөрчилтэй тулгарсан бүх компаниуд түүнд хэрхэн мэдрэмжтэй хандаж байгаагаа хэвлэлийн мэдээ, вэбсайтууд дээр хурдан бичдэг. Тиймээс практик дээр тулгарахаасаа өмнө энэ асуудлын ач холбогдлыг бүх зүрх сэтгэлээрээ мэдрэхийг танд зөвлөж байна.

Харамсалтай нь, аюулгүй байдлын асуудлыг ихэвчлэн буцаан авч үздэг. Хамгийн гол нь хэрэглэгчдийн эрэлт хэрэгцээнд нийцсэн, хүлээн зөвшөөрөгдсөн төсөв, цаг хугацаатай ажиллах программ бий болгох явдал гэж үздэг. Энэ бол маш ойлгомжтой нэн тэргүүний зорилтууд боловч аюулгүй байдлыг үүрд үл тоомсорлож болохгүй. Өөрчлөлтийн зардал бага хэвээр байгаа үед хөгжүүлэлтийн явцад тодорхой шийдлүүдийг хэрэгжүүлж, үүнийг үргэлж санаж байх нь илүү дээр юм.

Аюулгүй байдлын хоёрдогч шинж чанар нь програмчлалын соёлын үр дүн юм. Зарим програмистууд эмзэг байдлын талаар бодоод хүйтэн хөлс урсдаг бол зарим нь энэ нь ямар ч эмзэг биш гэдгийг батлах хүртлээ сул тал байгаа эсэх талаар маргаж болно. Энэ хоёр туйлшралын хооронд бүх зүйл хараахан муудаагүй байгаа тул мөрөө хавчдаг програмистууд олон байдаг. Тэд энэ хачин ертөнцийг ойлгоход хэцүү байдаг.

Вэб програмын аюулгүй байдлын систем нь тухайн програмын үйлчилгээнд итгэдэг хэрэглэгчдийг хамгаалах ёстой тул та дараах асуултын хариултыг мэдэх хэрэгтэй.

1. Хэн бидэн рүү дайрахыг хүсч байна вэ?
2. Тэд яаж бидэн рүү дайрч чадах вэ?
3. Бид тэднийг яаж зогсоох вэ?

Хэн бидэн рүү дайрахыг хүсч байна вэ?

Эхний асуултын хариулт нь маш энгийн: бүх зүйл, бүх зүйл. Тиймээ, бүх ертөнц танд сургамж өгөхийг хүсч байна. Кали Линукс дээр ажилладаг overclocked компьютертэй хүүхэд үү? Тэр аль хэдийн чам руу дайрсан байх. Дугуйндаа зуурах дуртай сэжигтэй хүн үү? Тэр аль хэдийн чам руу дайрах хэн нэгнийг хөлсөлсөн байх. Та цаг тутам мэдээлэл авдаг найдвартай REST API? Энэ нь танд халдвартай мэдээлэл өгөхийн тулд сарын өмнө хакердсан байх магадлалтай. Би ч гэсэн чам руу дайрч чадна! Тиймээс та энэ номонд сохроор итгэх шаардлагагүй. Намайг худлаа ярьж байна гэж бодоорой. Намайг цэвэр ус руу хөтөлж, муу зөвлөгөөг минь илчлэх программистыг олоорой. Нөгөөтэйгүүр, тэр чамайг бас хакердах гэж байгаа байх ...

Энэхүү гаж донтолтын утга нь таны вэб програмтай харьцаж буй бүх зүйлийг ("Хэрэглэгч", "Хакер", "Өгөгдлийн сан", "Найдваргүй оролт", "Менежер", "REST API") оюун санааны хувьд ангилж, дараа нь оноож өгөхөд хялбар болгох явдал юм. ангилал тус бүрийн итгэлийн индекс. Мэдээжийн хэрэг, "Хакер" -д итгэж болохгүй, гэхдээ "Мэдээллийн сан"-ын тухай юу? "Аюулгүй оролт" нь тодорхой шалтгааны улмаас ийм нэртэй болсон ч та хамтрагчийнхаа итгэмжлэгдсэн Atom хангамжаас блог нийтлэлийг шүүж үзэх үү?

Вэб программыг хакердах талаар нухацтай ханддаг хүмүүс эмзэг мэдээллийн эх сурвалж руу халдахаас илүүтэйгээр аюулгүй байдлын сайн системтэй байх магадлал багатай найдвартай эх сурвалж руу халдахаас илүүтэйгээр энэ сэтгэлгээний давуу талыг ашиглаж сурдаг. Энэ нь санамсаргүй шийдвэр биш юм: in жинхэнэ амьдралилүү өндөр итгэлцлийн индекстэй субьектүүд бага сэжигтэй байдаг. Програмд ​​дүн шинжилгээ хийхдээ би эдгээр мэдээллийн эх сурвалжийг голчлон анхаардаг.

"Мэдээллийн сан" руу буцаж орцгооё. Хэрэв хакер өгөгдлийн санд нэвтэрч чадна гэж үзвэл (мөн бид гаж донтон хүмүүс үүнийг үргэлж төсөөлдөг) хэзээ ч итгэж болохгүй. Ихэнх програмууд мэдээллийн санд ямар ч асуултгүйгээр итгэдэг. Вэб программ нь гаднаасаа нэг бүхэл мэт харагдах боловч дотроо мэдээлэл солилцдог салангид бүрэлдэхүүн хэсгүүдийн систем юм. Хэрэв бид эдгээр бүх бүрэлдэхүүн хэсгүүдийг найдвартай гэж үзвэл тэдгээрийн аль нэгийг нь хакердсан бол бусад нь хурдан эвдрэх болно. Аюулгүй байдлын ийм гамшгийн асуудлыг "Хэрэв баазыг хакердсан бол бид ялагдсан хэвээр байна" гэсэн хэллэгээр шийдэж чадахгүй. Та ингэж хэлж болно, гэхдээ хэрэв та эхэндээ суурьдаа итгэж, үүний дагуу ажиллахгүй бол үүнийг хийх хэрэгтэй болно гэдэг нь үнэн биш юм!

Тэд яаж бидэн рүү дайрч чадах вэ?

Хоёр дахь асуултын хариулт нь нэлээд өргөн жагсаалт юм. Таны вэб програмын бүрдэл хэсэг эсвэл давхарга бүр өөрийн өгөгдлийг хаанаас авдаг бол та халдлагад өртөж болно. Нэг ёсондоо вэб программууд зүгээр л өгөгдлийг боловсруулж, нэг газраас нөгөө рүү зөөдөг. Хэрэглэгчийн хүсэлт, мэдээллийн сан, API, блог хангамж, маягт, күүки, хадгалах газар, PHP орчны хувьсагчид, тохиргооны файлууд, дахин тохируулах файлууд, тэр ч байтугай таны ажиллуулж буй PHP файлууд - эдгээр нь бүгд аюулгүй байдлыг эвдэж, хохирол учруулахын тулд өгөгдөлд халдварлаж болзошгүй. . Үнэн хэрэгтээ, хэрэв хортой өгөгдөл нь хүсэлтэд ашигласан PHP кодонд тодорхой байхгүй бол энэ нь "ачаалал" хэлбэрээр ирэх магадлалтай. Энэ нь a) та PHP-ийн эх кодыг бичсэн, б) үүнийг зохих ёсоор хянаж үзсэн, в) эрүүгийн байгууллагын төлөөлөгчид танд төлбөр төлөөгүй гэж үздэг.

Хэрэв та өгөгдлийн бүрэн аюулгүй бөгөөд ашиглахад тохиромжтой эсэхийг баталгаажуулалгүйгээр мэдээллийн эх сурвалжийг ашигладаг бол та халдлагад өртөх магадлалтай. Мөн хүлээн авсан өгөгдөл нь таны илгээж буй өгөгдөлтэй тохирч байгаа эсэхийг шалгах хэрэгтэй. Хэрэв өгөгдлийг буцааж авахад бүрэн аюулгүй болгоогүй бол та ч бас ноцтой асуудалтай тулгарах болно. Энэ бүгдийг РНР-ийн дүрэм “Check input; гаралтыг дэлгэцэнд хийнэ үү."

Эдгээр нь бид ямар нэгэн байдлаар хянах шаардлагатай мэдээллийн тодорхой эх сурвалж юм. Эх сурвалжууд нь үйлчлүүлэгчийн талын агуулахуудыг багтааж болно. Жишээлбэл, ихэнх аппликейшн хэрэглэгчдийг күүки дотор хадгалах боломжтой сессийн өвөрмөц ID-г өгөх замаар таньдаг. Хэрэв халдагчид күүки-ээс утгыг авбал өөр хэрэглэгчийн дүрийг үзүүлж болно. Хэдийгээр бид хэрэглэгчийн мэдээллийг саатуулах, хуурамчаар үйлдэхтэй холбоотой зарим эрсдлийг бууруулж чадах ч хэрэглэгчийн компьютерийн физик аюулгүй байдлыг хангаж чадахгүй. Хэрэглэгчид "нууц үг"-ийн дараа "123456" гэсэн хамгийн тэнэг нууц үгийг олох болно гэдгийг ч бид баталж чадахгүй. Өнөө үед күүки нь хэрэглэгчийн тал дээр хадгалах цорын ганц төрөл биш байгаа нь нэмэлт хурц тод байдлыг нэмж өгдөг.

Өөр нэг үл тоомсорлодог эрсдэл бол таны эх кодын бүрэн бүтэн байдал юм. РНР хэл дээр суурилсан программуудыг хөгжүүлэх нь улам бүр түгээмэл болж байна их тоосул холбогдсон номын сан, модулиуд болон хүрээний багцууд. Эдгээрийн ихэнхийг Github гэх мэт нийтийн мэдээллийн сангаас татаж авдаг бөгөөд Composer болон түүний вэб дагалдагч Packagist.org зэрэг багц суулгагчийг ашиглан суулгадаг. Тиймээс эх кодын аюулгүй байдал нь эдгээр бүх гуравдагч талын үйлчилгээ, бүрэлдэхүүн хэсгүүдийн аюулгүй байдлаас бүрэн хамаардаг. Хэрэв Github эвдэрсэн бол энэ нь хортой нэмэлт бүхий кодыг түгээхэд ашиглагдах магадлалтай. Хэрэв Packagist.org бол халдагчид пакет хүсэлтийг өөрийн хортой пакет руу дахин чиглүүлэх боломжтой болно.

Composer болон Packagist.org нь одоогоор мэдэгдэж буй хамаарлыг илрүүлэх, багц түгээх сул талуудтай тул үйлдвэрлэлийн бүх зүйлийг хоёр удаа шалгаж, Packagist.org-оос бүх багцын эх сурвалжийг шалгаарай.

Бид тэднийг яаж зогсоох вэ?

Вэб програмын аюулгүй байдлыг зөрчих нь инээдтэй энгийн бөгөөд маш их цаг хугацаа шаарддаг. Вэб програм болгонд хаа нэгтээ сул тал байдаг гэж үзэх нь зөв юм. Шалтгаан нь энгийн: бүх програмыг хүмүүс хийдэг бөгөөд хүмүүс алдаа гаргах хандлагатай байдаг. Тиймээс төгс аюулгүй байдал нь хоосон мөрөөдөл юм. Бүх програмууд нь эмзэг байдлыг агуулж болох бөгөөд програмистуудын үүрэг бол эрсдлийг багасгах явдал юм.

Вэб програмын халдлагын улмаас хохирох магадлалыг бууруулахын тулд сайтар бодох хэрэгтэй болно. Түүхийн явцад би халдлагын боломжит аргуудын талаар ярих болно. Тэдний зарим нь тодорхой, зарим нь тийм биш юм. Гэхдээ ямар ч тохиолдолд асуудлыг шийдэхийн тулд аюулгүй байдлын үндсэн зарчмуудыг анхаарч үзэх хэрэгтэй.

Аюулгүй байдлын үндсэн зарчим

Хамгаалах хэрэгслийг боловсруулахдаа тэдгээрийн үр нөлөөг дараахь зүйлийг харгалзан үзэж болно. Заримыг нь би дээр дурдсан.

1. Хэнд ч, юунд ч бүү итгэ.
2. Үргэлж хамгийн муу тохиолдлын хувилбарыг төсөөл.
3. Гүнзгий хамгаалалтыг ашиглах.
4. Keep It Simple Stupid (KISS) зарчмыг баримтал.
5. "Хамгийн бага давуу эрх" гэсэн зарчмыг баримтал.
6. Халдагчид тодорхой бус байдлыг мэдэрдэг.
7. Баримт бичгийг (RTFM) уншаарай, гэхдээ үүнд хэзээ ч бүү итгэ.
8. Хэрэв үүнийг туршиж үзээгүй бол энэ нь ажиллахгүй болно.
9. Энэ нь үргэлж чиний буруу!

Бүх цэгүүдийг товчхон авч үзье.

1. Хэнд ч, юунд ч бүү итгэ

Дээр дурдсанчлан, таны вэб программтай харилцаж байгаа хүн бүр болон бүх зүйл үүнийг хакердахыг хүсдэг гэж таамаглах нь зөв байр суурь юм. Хүсэлтийг боловсруулахад шаардлагатай бусад бүрэлдэхүүн хэсэг эсвэл програмын давхаргыг багтаасан болно. Бүх зүйл, бүх зүйл. Үл хамаарах зүйлгүйгээр.

2. Үргэлж хамгийн муу тохиолдлын хувилбарыг төсөөл

Аюулгүй байдлын олон системд нэг нийтлэг зүйл байдаг: хэчнээн сайн хийгдсэнээс үл хамааран тус бүрийг зөрчиж болно. Хэрэв та үүнийг анхаарч үзвэл хоёр дахь цэгийн давуу талыг хурдан ойлгох болно. Хамгийн муу хувилбар нь халдлагын цар хүрээ, ноцтой байдлыг үнэлэхэд тусална. Хэрэв ийм зүйл тохиолдвол та нэмэлт хамгаалалт, архитектурын өөрчлөлтийн тусламжтайгаар тааламжгүй үр дагаврыг багасгах боломжтой. Магадгүй таны хэрэглэж буй уламжлалт шийдлийг аль хэдийн илүү сайн зүйлээр сольсон байх?

3. Хамгаалах аргачлалыг гүнзгийрүүлэн ашиглах

Олон түвшний хамгаалалтыг цэргийн шинжлэх ухаанаас зээлж авсан байдаг, учир нь дайсны сум, ирээс амин чухал эрхтнийг бүрхсэн олон тооны хана, элсний уут, тоног төхөөрөмж, хуяг дуулга, колбо зэрэг нь аюулгүй байдлын зөв арга гэдгийг хүмүүс эртнээс ойлгосон. Дараах зүйлсийн аль нь хамгаалахгүйг та хэзээ ч мэдэхгүй бөгөөд хэд хэдэн түвшний хамгаалалт нь танд нэгээс олон талбайн бэхлэлт эсвэл байлдааны бүрэлдэхүүнд найдах боломжийг танд олгох хэрэгтэй. Мэдээжийн хэрэг, энэ нь зөвхөн нэг удаа татгалзсан асуудал биш юм. Халдлага үйлдэгч дундад зууны үеийн аварга том хананд шатаар өгсөж, түүний ард өөр хана байгааг олж харав гэж төсөөлөөд үз дээ. Хакерууд ч мөн адил мэдрэх болно.

4. Энгийн тэнэг бай (ҮНСЭХ)

Хамгийн сайн эмчилгээ нь үргэлж энгийн байдаг. Тэдгээрийг боловсруулах, хэрэгжүүлэх, ойлгох, ашиглах, туршихад хялбар байдаг. Энгийн байдал нь алдааг багасгаж, урамшуулдаг зөв ажилпрограмуудыг ашиглах ба хамгийн төвөгтэй, эвгүй орчинд ч хэрэгжүүлэхэд хялбар болгодог.

5. "Хамгийн бага давуу эрх"-ийн зарчмыг баримтал.

Мэдээлэл солилцоход оролцогч бүр (хэрэглэгч, процесс, програм) зөвхөн өөрийн чиг үүргээ гүйцэтгэхэд шаардлагатай нэвтрэх эрхтэй байх ёстой.

6. Халдлага үйлдэгчид тодорхой бус байдлыг мэдэрдэг

Хэрэв та Defense A-г ашиглаад энэ нь юу болох, хэрхэн ажилладаг, эсвэл огт байдаг эсэхийг хэнд ч хэлэхгүй бол халдагчид хохирч байгаа тул танд ид шидээр туслана гэсэн таамаглал дээр үндэслэсэн "Харанхуй байдлын аюулгүй байдал". Үнэн хэрэгтээ энэ нь зөвхөн бага зэргийн давуу талыг өгдөг. Ихэнхдээ чадварлаг халдлага үйлдэгч таны ямар арга хэмжээ авч байгааг олж мэдэх тул та тодорхой хамгаалалтыг ашиглах хэрэгтэй. Тодорхой бус хамгаалалт нь жинхэнэ хамгаалалтын хэрэгцээг үгүй ​​болгодог гэдэгт хэт итгэлтэй байгаа хүмүүсийг хуурмаг зүйлээс ангижрахын тулд тусгайлан шийтгэх ёстой.

7. Баримт бичгийг (RTFM) уншаарай, гэхдээ үүнд хэзээ ч бүү итгэ

РНР гарын авлага нь Библи юм. Мэдээжийн хэрэг, үүнийг Нисдэг спагетти мангас бичээгүй тул тодорхой хэмжээний хагас үнэн, алдаа дутагдал, буруу тайлбар эсвэл хараахан анзаарагдаагүй, засч залруулж амжаагүй алдаануудыг албан ёсоор агуулж болно. Stack Overflow-д мөн адил хамаарна.

Аюулгүй байдлын мэргэн ухааны тусгай эх сурвалжууд (PHP-д зориулсан ба PHP-д зориулагдсан бус) ерөнхийдөө илүү нарийвчилсан мэдлэгийг өгдөг. PHP Аюулгүй байдлын Библитэй хамгийн ойр байдаг зүйл бол нийтлэл, заавар, зөвлөмж бүхий OWASP сайт юм. Хэрэв та OWASP дээр ямар нэг зүйл хийхийг зөвлөхгүй бол хэзээ ч бүү хий!

8. Хэрэв үүнийг туршиж үзээгүй бол энэ нь ажиллахгүй болно.

Хамгаалалт хийхдээ баталгаажуулахад шаардлагатай бүх тестээ бичих ёстой. Үүнд шоронгийн уйлж буй хакерын дүр эсгэх зэрэг орно. Энэ нь хол сонсогдож магадгүй ч вэб програмыг хакердах арга техникийг мэддэг байх нь сайн туршлага юм; Та боломжит эмзэг байдлын талаар мэдэж авах бөгөөд таны гаж донтон байдал эрчимжих болно. Гэсэн хэдий ч вэб програмыг хакердсанд шинээр олж авсан талархлын талаар удирдлагад хэлэх шаардлагагүй. Эмзэг байдлыг тодорхойлохын тулд автоматжуулсан хэрэгслийг ашиглахаа мартуузай. Эдгээр нь ашигтай, гэхдээ мэдээжийн хэрэг эдгээр нь чанарын кодын үнэлгээ, тэр ч байтугай гарын авлагын програмын туршилтыг орлохгүй. Туршилтанд хэдий чинээ их нөөц зарцуулна, төдий чинээ таны програм илүү найдвартай байх болно.

9. Энэ нь үргэлж чиний буруу!

Программистууд аюулгүй байдлын сул талуудыг үл тоомсорлох үр дагавартай, тусгаарлагдсан халдлага хэлбэрээр илрүүлнэ гэж бодож дассан.

Жишээлбэл, өгөгдөл алдагдсан (сайн баримтжуулсан, өргөн тархсан хакердах хэлбэр) нь хэрэглэгчдэд шууд нөлөөлдөггүй тул аюулгүй байдлын жижиг асуудал гэж үздэг. Гэсэн хэдий ч програм хангамжийн хувилбарууд, хөгжүүлэлтийн хэлүүд, эх кодын байршил, хэрэглээний болон бизнесийн логик, мэдээллийн сангийн бүтэц, вэб програмын орчин, дотоод үйл ажиллагааны бусад асуудлуудын талаархи мэдээлэл алдагдсан нь амжилттай халдлага хийхэд чухал байдаг.

Үүний зэрэгцээ, аюулгүй байдлын системд хийсэн халдлага нь ихэвчлэн халдлагын хослол байдаг. Тус тусад нь тэд бага зэрэг үнэ цэнэтэй боловч заримдаа бусад халдлагын замыг нээж өгдөг. Жишээлбэл, SQL тарилга нь заримдаа тодорхой хэрэглэгчийн нэрийг шаарддаг бөгөөд үүнийг илүү үнэтэй, харагдахуйц харгис хүчний оронд админ интерфэйсийн эсрэг Хугацааны довтолгоог ашиглан олж авах боломжтой. Хариуд нь SQL injection нь бүртгэлд олон тооны сэжигтэй оруулгуудын анхаарлыг татахгүйгээр тодорхой захиргааны дансанд XSS халдлага хийх боломжийг олгодог.

Эмзэг байдлыг тусад нь авч үзэх нь аюул заналхийллийг дутуу үнэлж, тиймээс тэдэнд хэтэрхий хайхрамжгүй хандах явдал юм. Программистууд эмзэг байдлыг засахдаа хэтэрхий залхуу байдаг, учир нь тэд үүнийг хэтэрхий ач холбогдолгүй гэж үздэг. Аюулгүй хөгжүүлэлтийн хариуцлагыг эцсийн програмист эсвэл хэрэглэгчдэд шилжүүлэх дадлага хийдэг бөгөөд ихэнхдээ тодорхой асуудлуудыг баримтжуулалгүйгээр: тэр ч байтугай эдгээр эмзэг байдал байгааг ч хүлээн зөвшөөрдөггүй.

Ач холбогдолгүй мэт санагдах нь тийм ч чухал биш юм. Программистууд эсвэл хэрэглэгчдийг өөрийн сул талаа засахыг албадах нь хариуцлагагүй явдал юм, ялангуяа та энэ талаар мэдээлээгүй бол.

Оролтын баталгаажуулалт

Оролтын баталгаажуулалт нь таны вэб програмын гаднах хамгаалалтын периметр юм. Энэ нь бизнесийн үндсэн логик, өгөгдөл боловсруулах, гаралт үүсгэхийг хамгаалдаг. Шууд утгаараа энэ периметрийн гадна байгаа бүх зүйл, одоогийн хүсэлтээр гүйцэтгэсэн кодоос бусад нь дайсны нутаг дэвсгэр гэж тооцогддог. Периметрийн бүх боломжит орц, гарцыг өдөр шөнөгүй дайчин харуулууд хамгаалж, эхлээд буудаж, дараа нь асуулт асуудаг. Периметрт хавсаргасан "Загвар", "Мэдээллийн сан", "Файлын систем" зэрэг тус тусад нь хамгаалагдсан (мөн маш сэжигтэй харагддаг) "холбоотон". Хэн ч тэднийг буудахыг хүсэхгүй, гэхдээ хувь заяаг сорихыг оролдвол ... bang. Холбоотон бүр өөрийн гэсэн периметртэй байдаг бөгөөд энэ нь манайд итгэдэг эсвэл итгэхгүй байж болно.

Та хэнд итгэж болох тухай миний үгийг санаж байна уу? Хэн ч, юу ч биш. РНР ертөнцөд "хэрэглэгчийн оруулсан мэдээлэл"-д итгэхгүй байх зөвлөгөө хаа сайгүй байдаг. Энэ бол итгэлцлийн зэрэглэлийн ангилалуудын нэг юм. Хэрэглэгчдэд итгэх боломжгүй гэж үзвэл бусад бүх зүйлд итгэж болно гэж бид бодож байна. Энэ үнэн биш. Хэрэглэгчид бол бид тэднийг мэдэхгүй, удирдаж чадахгүй учраас оролтын хамгийн илэрхий найдваргүй эх сурвалж юм.

Туршилтын шалгуур

Оролтын баталгаажуулалт нь вэб програмын хамгийн тодорхой бөгөөд хамгийн сул хамгаалалт юм. Эмзэг байдлын дийлэнх нь баталгаажуулалтын системийн алдаанаас үүдэлтэй байдаг тул хамгаалалтын энэ хэсэг зөв ажиллах нь маш чухал юм. Тэр бүтэлгүйтэж магадгүй ч дараахь зүйлийг баримтална. Захиалгат баталгаажуулагчийг хэрэгжүүлэх болон гуравдагч талын баталгаажуулалтын сангуудыг ашиглахдаа гуравдагч талын шийдлүүд нийтлэг даалгавруудыг гүйцэтгэх хандлагатай байдаг бөгөөд таны аппликешнд шаардлагатай байж болох гол баталгаажуулалтын процедурыг орхигдуулдаг гэдгийг үргэлж санаарай. Аюулгүй байдлын хэрэгцээнд зориулагдсан аливаа номын санг ашиглахдаа тэдгээрийн сул тал, зөв ​​ажиллагааг бие даан шалгахаа мартуузай. Мөн PHP нь хачирхалтай, аюултай үйлдэл үзүүлж болохыг санахыг зөвлөж байна. Шүүлтүүрийн функцээс авсан энэ жишээг харна уу:

Filter_var ("php: //example.org", FILTER_VALIDATE_URL);
Шүүлтүүрийг ямар ч эргэлзээгүйгээр дамжуулдаг. Асуудал нь хүлээн зөвшөөрөгдсөн php: // URL-г гүйцэтгэгдэх PHP скриптээс (PHP зохицуулагчаар дамжуулан) өгөгдөл буцаахаас илүү алсын HTTP хаягийг хүлээн авахыг хүлээдэг PHP функц руу дамжуулж болно. Шүүлтүүрийн сонголтод хүчинтэй URI-г хязгаарлах арга байхгүй тул эмзэг байдал үүсдэг. Хэдийгээр энэ програм нь PHP-ийн тусгай URI биш харин http, https эсвэл mailto холбоосыг хүлээж байна. Баталгаажуулахад хэт ерөнхий хандлагаас зайлсхийхийн тулд бүх арга замаар зайлшгүй шаардлагатай.

Контекстэд болгоомжтой байгаарай

Оролтын баталгаажуулалт нь аюултай өгөгдлийг вэб програмд ​​оруулахаас сэргийлэх ёстой. Ноцтой саад тотгор: Өгөгдлийн аюулгүй байдлын шалгалтыг ихэвчлэн зөвхөн анхны зориулалтаар нь ашигладаг.

Би нэр агуулсан өгөгдөл хүлээн авлаа гэж бодъё. Би үүнийг таслах тэмдэг, зураас, хаалт, хоосон зай болон Юникод үсэг, тоон тэмдэгтүүдийн бүхэл бүтэн цуглуулгыг хялбархан шалгаж чадна. Нэр нь харуулахад ашиглаж болох хүчинтэй өгөгдөл юм (анхны хэрэглээ). Гэхдээ хэрэв та үүнийг өөр газар ашигладаг бол (жишээлбэл, мэдээллийн баазын асуулгад) энэ нь шинэ контекст дээр гарч ирнэ. Мөн нэрэнд зөвшөөрөгдсөн тэмдэгтүүдийн зарим нь энэ нөхцөлд аюултай: хэрэв нэрийг SQL тарилга хийх мөр болгон хувиргавал.

Оруулсан баталгаажуулалт нь угаасаа найдваргүй болох нь харагдаж байна. Энэ нь хоёрдмол утгагүй хүчингүй утгыг хайчлахад хамгийн үр дүнтэй байдаг. Ямар нэг зүйл бүхэл тоо, үсэг, тоон тэмдэгт мөр эсвэл HTTP URL байх шаардлагатай үед хэлье. Ийм хэлбэр, утга нь өөрийн гэсэн хязгаарлалттай бөгөөд хэрэв зөв шалгавал аюул заналхийлэх магадлал багатай байдаг. Бусад утгыг (хязгааргүй текст, GET / POST массив, HTML) шалгахад илүү төвөгтэй бөгөөд хортой өгөгдөл агуулсан байх магадлалтай.

Ихэнх тохиолдолд манай програм контекст хооронд өгөгдөл дамжуулах тул бид бүх оролтын өгөгдлийг шалгаж, хэргийг бүрэн гүйцэд гэж үзэх боломжгүй юм. Оролтын шалгалт нь зөвхөн хамгаалалтын эхний хэлхээ боловч цорын ганц биш юм.

Оруулсан өгөгдлийг баталгаажуулахын зэрэгцээ зугтах гэх мэт хамгаалалтын аргыг ихэвчлэн ашигладаг. Үүний тусламжтайгаар шинэ контекст бүрийг оруулахдаа өгөгдлийг аюулгүй байдлыг шалгадаг. Ихэнхдээ энэ аргыг сайт хоорондын скриптээс (XSS) хамгаалахад ашигладаг боловч шүүлтүүрийн хэрэгсэл болгон бусад олон ажлуудад эрэлт хэрэгцээтэй байдаг.

Зугтах нь илгээж буй өгөгдлийг хүлээн авагч буруу тайлбарлахаас хамгаална. Гэхдээ энэ нь хангалтгүй - өгөгдөл шинэ контекст орох тул тусгай контекстийг шалгах шаардлагатай болно.

Энэ нь эхний оролт дээр баталгаажуулалтын давхардал гэж ойлгож болох ч үнэн хэрэгтээ өгөгдлийн шаардлага маш өөр байх үед баталгаажуулалтын нэмэлт алхмууд нь одоогийн нөхцөл байдалд илүү тохиромжтой. Жишээлбэл, маягтаас ирсэн өгөгдөл нь хувь хэмжээг агуулж болно. Эхний хэрэглээнд бид утга нь бүхэл тоо эсэхийг шалгадаг. Гэхдээ бидний програмыг загвар руу шилжүүлэх үед шинэ шаардлага гарч ирж магадгүй юм: утга нь тодорхой хязгаарт багтах ёстой бөгөөд энэ нь програмын бизнесийн логик ажиллахад зайлшгүй шаардлагатай. Хэрэв энэ нэмэлт шалгалтыг шинэ нөхцөлд хийхгүй бол ноцтой асуудал үүсч болзошгүй юм.

Зөвхөн хар жагсаалтад оруулахгүй, зөвхөн цагаан жагсаалт ашиглана уу

Хар жагсаалт болон цагаан жагсаалт нь оролтын баталгаажуулалтын үндсэн хоёр арга юм. Хар нь хүчингүй өгөгдлийг шалгах, цагаан нь хүчинтэй өгөгдлийг шалгах гэсэн үг. Баталгаажуулалтын явцад зөвхөн бидний хүлээж буй өгөгдлийг дамжуулдаг тул цагаан жагсаалтад оруулах нь зүйтэй. Хариуд нь хар жагсаалт нь бүх алдаатай өгөгдлийн талаархи програмистуудын таамаглалыг харгалзан үздэг тул төөрөлдөх, ямар нэг зүйлийг алдах эсвэл алдаа гаргах нь илүү хялбар байдаг.

Загвар дахь гарцгүй гаралтын хувьд HTML-г аюулгүй болгох зорилготой аливаа баталгаажуулалтын журам нь сайн жишээ юм. Хэрэв бид хар жагсаалт ашигладаг бол HTML нь аюултай элемент, шинж чанар, хэв маяг, гүйцэтгэх боломжтой JavaScript агуулаагүй эсэхийг шалгах хэрэгтэй. Энэ бол маш их ажил бөгөөд хар жагсаалтад орсон HTML цэвэрлэгчид аюултай кодын хослолыг үл тоомсорлодог. Зөвшөөрөгдсөн жагсаалтын хэрэгслүүд нь зөвхөн мэдэгдэж байгаа зөвшөөрөгдсөн элементүүд болон шинж чанаруудыг зөвшөөрснөөр энэ тодорхой бус байдлыг арилгадаг. Бусад нь юу ч байсан хамаагүй салгагдаж, тусгаарлагдах эсвэл хасагдах болно.

Тиймээс аюулгүй байдал, найдвартай байдал нь өндөр учраас аливаа баталгаажуулалтын процедурт цагаан жагсаалт хийхийг илүүд үздэг.

Оролтоо засах гэж хэзээ ч бүү оролд

Оролтын баталгаажуулалтыг ихэвчлэн шүүлтүүр дагалддаг. Хэрэв шалгахдаа бид өгөгдлийн зөв эсэхийг (эерэг эсвэл сөрөг үр дүн гаргаснаар) үнэлдэг бол шүүлтүүр нь шалгасан өгөгдлийг тодорхой дүрмүүдэд нийцүүлэн өөрчилдөг.

Энэ нь ихэвчлэн бага зэрэг хор хөнөөлтэй байдаг. Уламжлалт шүүлтүүрүүд нь утасны дугаараас тооноос бусад бүх тэмдэгтийг (нэмэлт хаалт, зураасыг оруулаад) хасах, эсвэл шаардлагагүй хэвтээ эсвэл босоо зайг багасгах зэрэг орно. Ийм нөхцөлд дэлгэц эсвэл дамжуулалтын алдаанаас зайлсхийхийн тулд хамгийн бага цэвэрлэгээ хийдэг. Гэсэн хэдий ч, та хортой өгөгдлийг блоклохын тулд шүүлтүүрийг ашиглахад хэт автаж болно.

Оруулсан өгөгдлийг засах гэж оролдсоны үр дагаврын нэг нь халдагчид таны засварын нөлөөллийг урьдчилан таамаглах явдал юм. Зарим хүчингүй мөрийн утга байна гэж бодъё. Та үүнийг хайж, устгаад шүүж дуусга. Халдагчид таны шүүлтүүрийг даван туулахын тулд мөр тусгаарласан утгыг үүсгэвэл яах вэ?

ipt>alert(document.cookie);ipt>
В этом примере простая фильтрация по тэгу ничего не даст: удаление явного тэга

Өмнөх нийтлэл: Титэм гэдэг үгийн утга, хэв маягийн өнгө Дараагийн нийтлэл: Франциско Франко: фашизм ба хаант засаглалын хооронд