Девичьи прелести

ВВЕДЕНИЕ

Я решила исследовать неплохой (по отзывам) дампер SypexDumperLite_108.
Скачала тут, поставила - работает.

Кажется, что еще надо? Дампер бесплатный, позволяет снимать дампы с достаточно больших баз, да еще и компрессировать их.

Представляю простенький хак для Универсального Каталога. Анонс представляет собой дополнительное поле, в которое выводится описание, например, книги. Если анонс пуст, то поле и его заглавие не выводится.

Версия 1
Мною написано несколько файлов, которые защищают формы авторизации и регистрации Инстанта как от брутфорс-атаки, так и от атаки по словарю. В настоящий момент скрипты проходят тестирование на моем демосайте http://www.aviakis.net.ru.

Вот некоторые (но не все) характеристики:

1. Защита формы авторизации от перебора логина-пароля. При обнаружении перебора сперва делается предупреждение, а затем перебирающий блокируется.
2. Защита формы авторизации в админке с помощью дополнительного поля. Не исключает дополнительной защиты папки
/admin с помощью .htaccess. Такой .htaccess мною написан и лежит вместе с другими файлами в установочном дистрибутиве, хотя на демосайте его сейчас нет.
3. Защита форм регистрации. Не секрет, что многие наши ленивые юзеры норовят зарегится, например, под логином zz и паролем 11, а потом удивляются, почему от их имени на сайте происходят разные гадости. Я составила список из примерно 70 слов, которые при авторизации проверяются. Если система находит логин или пароль в этом списке, регистрации не происходит. При необходимости этот список легко дополнить.



Теперь о причинах, почему мой скрипт не может быть опубликован или выложен в открытый доступ. На нашем сайте в форуме появлялось сообщение (месяца два назад, наверное), о том, что какой-то человек захотел выяснить, насколько безопасен Инстант. Сам он в сайтостроении не особо продвинут, поэтому заплатил человеку сведующему, тот скачал движок Инстанта и исследовал его вдоль и поперек. После этого появилась статья в каком-то журнале о всех найденых дырах....Короче, кому хочется, эту старую тему сами ищите.

Смысл в том, что если человек не имеет доступа к кодам скриптов защиты, то выяснить, как они работают, ему не в пример труднее. Это и есть та причина, почему мой скрипт никогда не появится в открытом доступе. Я забочусь о безопасности ваших же сайтов.



В настоящий момент установочный дистрибутив готов для версии 1.5.2. Мне надо еще немного времени, чтобы адаптировать его к 1.5.3. Собственно, для этого надо просто добавить папку languages со всеми файлами и в  скриптах вместо вывода текста поставить языковые переменные. Мне так проще было писать скрипты.

Посмотреть скрипты в работе можно, как я сказала, на демосайте http://www.aviakis.net.ru. Если кому-то захочется поставить мой скрипт себе на сайт, пусть обращается в личку. Я ему отправлю письмо с подробным описанием и полными техническими характеристиками.

Буду благодарна тому, кто найдет тот или иной косяк в алгоритме для оперативного исправления.

Версия 2
Во второй версии модуль авторизации перезагружается автоматически по истечении времени. То самое юзабилити, за которое ратовал neart. Просили - получите! Чуточку изменила алгоритм защиты. Теперь учтена возможность подбора со сменой ip.

Что будет в Версии 3? Собираюсь адаптировать свои файлы к версии Инстанта 1.5.3. Кроме того, перепишу модуль авторизации по технологии ajax, чтобы формы авторизации подгружались в браузер тогда, когда это нужно.

Я удалила всех пользователей, кто был зарегистрирован на демосайте до настоящего времени, чтобы все, кто хочет, мог еще раз посмотреть, что изменилось в процедуре регистрации по сравнению со стандартной версией.

Кроме того, я поставила все настройки по минимуму, чтобы не надо было по полдня ждать, пока сработает защита.

Брутфорсте на здоровье)))

Светлана.

Предлагаю Вашему вниманию свой первый коммерческий проект - модуль Календарь-Часы.

В настоящее время модуль написан для версии Инстанта 1.5.3. Если будет достаточное число желающих, переделаю его для более ранних версий - 1.5.1 и 1.5.2. Эти версии модуля несовместимы.

Модуль выводит индикацию дня недели, числа, месяца и года, а также часов минут и секунд в реальном времени. Преимущество моего модуля в том, что вся обработка осуществляется на машине клиента. Стандартные часы Инстанта для своей работы запрашивают swf файл, поэтому, во-первых, существует постоянный внешний трафик на сайт macromedia.com, а во-вторых, поменять  внешний вид часов довольно затруднительно.

Мой модуль, загрузившись на машину клиента, выполняется там, поэтому отсутствует нагрузка на сервер и БД. Кроме того отсутствует внешний трафик. Время, показываемое модулем, соответствует часовому поясу зашедшего на сайт пользователя, поэтому ни у кого не возникнет вопроса "Почему у меня время Чикаго?".

Внешний вид модуля легко поменять. Для этого достаточно загрузить в папку \modules\mod_digital_clock\img_digits\ комплект изображений цифр , название дня недели и разделителей. Размеры цифр (отдельно высота и ширина) регулируются из админки, причем размеры дня недели, даты-месяца-года, часов-минут и секунд не зависят друг от друга.

Сейчас один комплект цифр можно скачать из моего профиля. Если охота, можете взять за образец и нарисовать себе любой шрифт - главное, чтобы имена файлов были такие же. Самое главное - этот шрифт может быть оригинальным, и ни на что не похожим. То есть вы можете создать картинки-цифры из занимающихся гимнастикой девушек,  цветов, скелетов, сердечек, гаечных ключей, стрекоз или мух, линеек, циркулей, клавишей клавиатуры, собачек и кошечек, ракет, звезд, снежинок, китов...или сделать скучный серый шрифт Verdana или Times, если не любите финтифлюшек (как и я ).

Сразу отвечу на вопрос, почему не сделала этого сама. Потому, что не умею рисовать. Совсем. Поэтому я предоставляю вам рабочую лошадь с телегой, а что Вы будете на этой телеге возить - ваше дело.

Если кому-то стало интересно, пишите в личку. Деньги небольшие - за одну скачку 7.78 WMR. По цене половины буханки хлеба))). Единственное условие - не распространять, не дарить, не меняться. Ковыряться в коде - сколько хотите. А! Вот еще.  Все сказанное к шрифтам в модуле не относится. Создавайте свои шрифты, меняйтесь, дарите - что хотите - меня не касается.


Другие разработки смотрите в вики - либо по организации, либо по функциям.