Внимание к мелочам рождает совершенство,
а вот совершенство уже не мелочь.

Микеланджело Буонарроти


C 2012 года администраторам веб-ресурсов стала доступна новая технология HTTP Strict Transport Security (HSTS) — механизм, активирующий форсированное защищённое соединение по HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP. Механизм использует особый заголовок HTTP Strict-Transport-Security, для переключения пользователя, зашедшего по HTTP, на HTTPS-сервер [1].
HSTS направлен на закрытие следующих уязвимостей к атакам:

Пользователь помещает в закладки или набирает в адресной строке http://example.com/ и становится жертвой атаки «man-in-the-middle»	HSTS автоматически преобразует HTTP-запросы в HTTPS для целевого домена
Веб-приложение, предполагаемое к использованию строго по HTTPS, по небрежности содержит HTTP-ссылки или отдает контент по HTTP	HSTS автоматически преобразует HTTP-запросы в HTTPS для целевого домена
Атакующий «man-in-the-middle» пытается перехватить трафик жертвы используя поддельный сертификат в надежде, что пользователь не обратит внимания на сообщение о невалидном сертификате	HSTS не даст пользователю пройти дальше сообщения о проблемах с сертификатом

Включается данная технология проще простого, необходимо возвращать пользователю HTTP-заголовок «Strict-Transport-Security» в тот момент, когда он заходит на сайт по HTTPS:

Strict-Transport-Security: max-age=expireTime [; includeSubdomains]

expireTime
    Время в секундах, на которое браузер должен запомнить, что данный сайт должен посещаться исключительно по HTTPS. includeSubdomains (опционально)
    Если указать этот необязательный параметр, правила так же применятся ко всем поддоменам. Читать дальше →

В Windows Server 2008 возникла необходимость перенести системный раздел (C:) с одного жесткого диска на другой. Переносил с помощью Acronis Disk Director Advanced Server 11. После переноса, при попытке загрузится с нового жесткого диска отображалась вот такая ошибка: file: /windows/system32/winload.exe status : 0xc000000e info : the selected entry could not be loaded because the application […]

Все мы, безусловно, мечтаем о том, что когда-нибудь наши проекты дорастут до масштабов Яндекса, Фейсбука, Гугла, будут работать на тысячах серверов, размещенных в десятках датацентров по всему миру, с аптаймом 99,99999%.

Так, конечно же, когда-нибудь будет. :) Но прежде, чем стать гуру системного администрирования и ассом веб-разработки, все равно нужно начать с азов. Для этого мы 20-го марта 2014 г. проводим в Москве бесплатный семинар «Построение отказоустойчивых систем и разработка крупных проектов».

Немного подробностей и ссылка на регистрацию под катом.

Читать дальше →

Здравствуйте, уважаемые читатели!

Картинка, кратко и аллегорично передающая смысл поста:


У меня есть несколько сайтов, на которых в какой-то момент начал появляться вредоносный код, выглядящий как отдельные php-файлы либо дополнительные строки с длинными eval() в существующих файлах.

После смены всех паролей, обновления CMS до последних версий и других мероприятий по повышению устойчивости сайтов от злоумышленников такие случаи стали редкими, но не прекратились.

Тогда я задумался, как бы мне так оперативно узнавать, куда в очередной раз будет внедрен код, чтобы можно было его тут же прибить?
Читать дальше →