Дмитрий про двухвакторную авторизацию не в ту сторону считаю ушли. Если после того как пользователь 2-х факторно авторизовался и у него стырили куки сессии, чтобы злоумышленник не смог с этим что либо сделать нужно чтобы проверялся IP адрес(или + UserAgent(браузер), хотя его тоже могут скопрометировать перехватив в момент воровства сессии, так что IP пользователя проверить важнее) с которого далее будет использоваться сессия. Хотя и это может не помочь если дырка на столько велика что можно JS любой выполнить пока пользователь ещё на сайте. Вот смотрите, внедряется код который связывается по ajax или WebSoket с сервером злоумышленника. И пока пользователь не закрыл сайт от имени вкладки пользователя злоумышленникак может выполнять любые GET и POST запросы с использованием JavaScript причем абсолютно скрыто визуально. Тут я добавлю, что паниковать читателям не надо, ведь такая атака сложна в реализации даже если дырка есть. И если такое и производить то как правило цель должна оправдывать время потраченное на подготовку.
С двух факторной авторизацией да обычно идет привязка по ip + useragent, но скорее только useragent и возможно диапазон ip (не точное совпадение). Часто называют это привязкой к устройству, в принципе тут можно и без двух-факторной потребовать повторную авторизацию.
@@DZayceffChannel добавлю что иногда даже не по диапазону IP а по коду MNT-BY провайдера, например мой определяется как IVTELECOM-MNT (Ростелеком Ивановской области), или вообще по провайдеру, так как IP выдаваться разных классов может, то есть даже первая цифра разная. То есть вопрос одного IP, диапазона или кода провайдера неоднозначен. И кто как решает.
хах, на самом деле очень многие даже средние разработчики не в курсе про то, какие уязвимости бывают у сайтов. Порой я задаю такие вопросы на собеседованиях и где-то 1 из 5 человек, что-то немного знает.
@@DZayceffChannel Дмитрий дело в том что эти разработчики начали изучение с статьи по CMS а не по основам языка. Просто кто то изучил язык и сам пробовал написать CMS или FrameWork и он вкурсе как и что могут ломать, потому что возможно уже наступил на грабли, а кто то думает что CMS и так безопасна и может ещё спросить а зачем вообще о этом думать, ведь какой нибудь Bitrix уже наверняка о этом подумал.
Случайно наткнулся на канал, и в какой-то степени узнал себя) По видео, можно попробовать миксовать - теория/практика Или хотя бы по мере рассказа вставлять полноэкранную визуализацию, так будет приятнее смотреть
Да я бы и рад разнообразить, но пока не хватает банально на это времени, даже на такой ролик у меня уходит минимум 5 часов времени, это съемка, монтаж, подбор референсов для видео и публикация на ютубе. А в среднем 6-7 часов на ролик длительностью 10-15 минут.
Не очень хорошая ситуация, конечно, если это было не фото пасспорта, то еще не так страшно. Если взломали страничку ТВ (я предполагаю на ТВ-приставке), то нужно ее повторно перепрошить в любом сервисе, который это умеет делать. Еще возможно сбросить авторизацию со всех аккаунтов или поменять пароли (например с аккаунтов ютуба и других сервисов). Но если это централизированный взлом был ТВ провайдера, то лучше обратиться к ним в тех поддержку.
Очень легко реализуется. Представь форму для отправки, где можно загружать файлы. Загружаешь php файл, а проверки нет и после загрузки он выполняется. Ну или какая то инъекция, которая позволит выполнить скрипт прямо на сервере.
Я знаю язык программирования html, на некоторых сайтах есть уязвимость, что ссылка есть а там крч айди, номера, бывают хэш если расшифровать там пароль + айди от глав. админа и т.д.
Ну конечно если запросы делать помимо (controller model) сразу напрямую из браузера пользователя в базу, в таком случае будет капец ))))). Встречал таких умельцев и даже на крупных интернет площадках )))).
@@DZayceffChannel Вы правы ) Только хардкор, только документация))))) 1)developer.mozilla.org/ru/docs/Web/JavaScript 2)www.php.net/docs.php 3)www.python.org/doc/
Я да занят частично, писал сценарий к новому ролику в новом для меня формате - история ит, посмотрим что получится, формирую еще базу видео роликов для разнообразия видеоряда
Пока уроки делать намного сложнее, чем обычное видео, поэтому я лучше это время потрачу на разработку. Даже на создание это видео в сумме ушло около 5-6 часов. В среднем 2-3 часа на 5 минут. Если делать качественный видео урок по лаунчерам, то нужно затратит дольше времени и я бы лучше сделать более общий урок по лаунчерам, не завязанный только на DN, чтобы расставить вообще все точки над И. Вообще, тема конечно популярна с лаунчерами, но тема уроков по программированию не очень.
Дмитрий про двухвакторную авторизацию не в ту сторону считаю ушли. Если после того как пользователь 2-х факторно авторизовался и у него стырили куки сессии, чтобы злоумышленник не смог с этим что либо сделать нужно чтобы проверялся IP адрес(или + UserAgent(браузер), хотя его тоже могут скопрометировать перехватив в момент воровства сессии, так что IP пользователя проверить важнее) с которого далее будет использоваться сессия. Хотя и это может не помочь если дырка на столько велика что можно JS любой выполнить пока пользователь ещё на сайте. Вот смотрите, внедряется код который связывается по ajax или WebSoket с сервером злоумышленника. И пока пользователь не закрыл сайт от имени вкладки пользователя злоумышленникак может выполнять любые GET и POST запросы с использованием JavaScript причем абсолютно скрыто визуально. Тут я добавлю, что паниковать читателям не надо, ведь такая атака сложна в реализации даже если дырка есть. И если такое и производить то как правило цель должна оправдывать время потраченное на подготовку.
С двух факторной авторизацией да обычно идет привязка по ip + useragent, но скорее только useragent и возможно диапазон ip (не точное совпадение). Часто называют это привязкой к устройству, в принципе тут можно и без двух-факторной потребовать повторную авторизацию.
@@DZayceffChannel добавлю что иногда даже не по диапазону IP а по коду MNT-BY провайдера, например мой определяется как IVTELECOM-MNT (Ростелеком Ивановской области), или вообще по провайдеру, так как IP выдаваться разных классов может, то есть даже первая цифра разная. То есть вопрос одного IP, диапазона или кода провайдера неоднозначен. И кто как решает.
А ничего что не у всех статический айпи?
А вы в этом смотрю разбираетесь? Просто нужна помощь толковая,не окажете?
Нужна помощь есть сайт который обманывает людей можете оказать помощь???
"умные" люди после просмотра пошли лезть в код сайтов XD
хах, на самом деле очень многие даже средние разработчики не в курсе про то, какие уязвимости бывают у сайтов. Порой я задаю такие вопросы на собеседованиях и где-то 1 из 5 человек, что-то немного знает.
@@DZayceffChannel Дмитрий дело в том что эти разработчики начали изучение с статьи по CMS а не по основам языка. Просто кто то изучил язык и сам пробовал написать CMS или FrameWork и он вкурсе как и что могут ломать, потому что возможно уже наступил на грабли, а кто то думает что CMS и так безопасна и может ещё спросить а зачем вообще о этом думать, ведь какой нибудь Bitrix уже наверняка о этом подумал.
@@ivanovo37 +++++++
@@alijonalimov6093 ))
Интересно! Продолжай в том же духе. Было бы неплохо выкатывать примеры ко всему прочему. Спасибо!
очень мало просмотров на ютубе,хочу поменять цифру просмотров.Как делать?
Случайно наткнулся на канал, и в какой-то степени узнал себя)
По видео, можно попробовать миксовать - теория/практика
Или хотя бы по мере рассказа вставлять полноэкранную визуализацию, так будет приятнее смотреть
Да я бы и рад разнообразить, но пока не хватает банально на это времени, даже на такой ролик у меня уходит минимум 5 часов времени, это съемка, монтаж, подбор референсов для видео и публикация на ютубе. А в среднем 6-7 часов на ролик длительностью 10-15 минут.
как насчет рассказа, как сделать оффлайн версию - онлайн игры
Пойду проверять сайты на "уязвимость"
Дмитрий .если взломали ТВ страничку. Если ты дала данные своего паспорта можно что то сделать?
Не очень хорошая ситуация, конечно, если это было не фото пасспорта, то еще не так страшно. Если взломали страничку ТВ (я предполагаю на ТВ-приставке), то нужно ее повторно перепрошить в любом сервисе, который это умеет делать. Еще возможно сбросить авторизацию со всех аккаунтов или поменять пароли (например с аккаунтов ютуба и других сервисов). Но если это централизированный взлом был ТВ провайдера, то лучше обратиться к ним в тех поддержку.
Первый ютюбер с микроволновой в кадре 😅
Кстати, иногда можно использовать инъекции для заливки шелла и с последующим сливом сайта.
И еще, можно еще также использовать csrf токен
Расскажите пожалуйста подробнее про первый тип. что именно имеете ввиду и как примерно реализуется?
Очень легко реализуется. Представь форму для отправки, где можно загружать файлы. Загружаешь php файл, а проверки нет и после загрузки он выполняется. Ну или какая то инъекция, которая позволит выполнить скрипт прямо на сервере.
csrf токен да, защита от межсайтового выполнения скрипта. Но если не ошибаюсь, сейчас в http есть заголовки, которые запрещают это делать.
@@DZayceffChannel небольшое дополнение - нужно ставить проверку на расширение файлов.
@@ivanovo37 т.к. автор уже ответил. Шелл - это php файл,в который позволяет просматривать твои файлы на сервере, и иногда даже изменять их
Вторая часть есть?)
Я знаю язык программирования html, на некоторых сайтах есть уязвимость, что ссылка есть а там крч айди, номера, бывают хэш если расшифровать там пароль + айди от глав. админа и т.д.
Язык программирования 👍
Html не яп. Это язык разметки
@@ДарханСерикбай-ч7с Ты программист
Шутку про 0-й вариант поймут только программисты ))
Когда хотел начать с первого варианта, уже начал, а потом вспомнил, что есть что-то еще и назвал его нулевым и получилась шутка))
@@DZayceffChannel Ну да)
Тут git log не получится ) Тут переделивать нужно ))
Ну конечно если запросы делать помимо (controller model) сразу напрямую из браузера пользователя в базу, в таком случае будет капец ))))).
Встречал таких умельцев и даже на крупных интернет площадках )))).
Бывают еще баги в экранировании спец символов при построении запросов.
@@DZayceffChannel Да и такое бывает часто.... согласен.
Я: mousedown="return false";
Дима: -ОУ-АЗ, -ОУ-АЗ
ГП: ОУ-ДАБЛЬЮ-ЭС-ПИ, ОУ-ДАБЛЬЮ-ЭС-ПИ
Ржал под столом :)
Жду больше шуток на ваших видосиках!
Как думаеш писать читы для онлайн игр плохо?
Да, это в теории уголовно наказуемо
@antonkuzmich366если есть спрос на накркоту, то производить и продавать ее получается тоже не плохо?
Для начинающих ,вроде, нормально, а вот для олдов в веб-программировании не очень))))
Олды не сидят на ютубе и не ищут ответы в подобных роликах))
@@DZayceffChannel Вы правы )
Только хардкор, только документация)))))
1)developer.mozilla.org/ru/docs/Web/JavaScript
2)www.php.net/docs.php
3)www.python.org/doc/
Порожняк без примера
Через .htaccess можно блокировать такое)
Можно да, но не всё, htaccess только в том случае, если проект работает на сервере apache.
Пацаны есть кто может взломать сайт нормально заработаем?
Рассчитываю, что у Вас не творческий кризис, а Вы просто заняты. И что новые видео на канале будут появляться.
Я да занят частично, писал сценарий к новому ролику в новом для меня формате - история ит, посмотрим что получится, формирую еще базу видео роликов для разнообразия видеоряда
@@DZayceffChannelОтлично, теперь знаю что не забросили)
Добрый день, можно уроки сделать как создавать лаунчеры с верификацией файлов в DevelNext, я думаю это хорошо поднимит подписчиков
Пока уроки делать намного сложнее, чем обычное видео, поэтому я лучше это время потрачу на разработку. Даже на создание это видео в сумме ушло около 5-6 часов. В среднем 2-3 часа на 5 минут. Если делать качественный видео урок по лаунчерам, то нужно затратит дольше времени и я бы лучше сделать более общий урок по лаунчерам, не завязанный только на DN, чтобы расставить вообще все точки над И. Вообще, тема конечно популярна с лаунчерами, но тема уроков по программированию не очень.
неприятно, когда автор сам не понимая действия, читает заготовленный текст растянутый на 10 минутный ролик.
Я этот текст писал, я всё отлично понимаю и разбираюсь в теме. Ролик не растянут. Если вам кажется он долгим, на ютубе есть 2х ускорение.
@@DZayceffChannel Я понимаю что вы этот текст писали) Просто вы его так бездушно прочли...(
по литцу видно вроде хороший парень но по теме все что не надо все рассказалбучитель ни какой
Читаеш, а не расказываещь. Ненавижу!!!!
А ты сам хоть что-то хорошего сделал???