так нужно перейти по ссылке или дождаться когда выложешь? сдесь ссыль на видео продублируешь?

Обязательно буду.

Видео не будет, только звук + текстовый чат. По ссылке нужно пройти для участия в вебинаре 25 числа в 19-00. Можете пройти сейчас, там будет пустая комната для вебинара

понял. спасиб. постараюсь принять участие (хотябы молча)))

Так-с, ставлю себе напоминание. Буду 100%. Если в 19:00 то на Украине будет только 17:00. Так же? Просто уточняю что бы время начала не прогавить?!

Белый Тигр
Вообще здорово. Будет наверно интересно!

Обалденно! Буду обязательно!

Напоминаю что до начала вебинара осталось 3 часа

Собственно вот


Как починить то?

тоже жду вебинара. У меня кириллица нормально отображается.

И у меня нормально.

+1 всё нормально,
говорят вебинар будет без видео потока ?

то не кириллица. ТО вообще любые символы. Во блин, я избранный. Ча ребут вроде.

А у меня раскладка на кириллицу переключаться не хочет в чате

Кстати да. Го скайп. Там хоть все без проблем работае.

вебинар закончился. вот мой коспект - кому нужно:

Ошибочные мнения:

1. бесплатный хостинг хуже защищен
2. не стоит брать хостинг у компаний у которых это не профильная деятельность.
3. ошибочное мнение - что у новых контор не стоить хоститься

при выборе хостинга:

1. поиск случаев о взломе хостера (в яше, гугле)
2. зайти на форум поддержки - поискать темы о взломе.
3. если есть случаи, когда хостер открещивается от взлома и грешит на скрипт - нахх его.
4. если взлом массовый - то 100% виноват хостер.

Наличие системы обнаружения вторжений (IDS, snort, waf).

делятся на виды:
1. просто отражают отаку и ничего не делают. со стороны взломщика - сервер просто не отвечает (чаще всего такое встречается).
2. реже: оповещает клиента
3. бывает что атакующему блокируется доступ на 10 минут.

Штука нужная.

Уязвимости нулевого дня - уязвимость найдена, а заплатки еще нет.

Средства борьбы с подбором пароля.
Раньше были у всех хостеров.
Сейчас из 12-ти опрошеных только у 2-х.

Логи по IDS дают не все.

Часто антивирусом проверятеся только почта.
Бывает антивирус не упоминается в тарифах, надо спрашивать хостера о наличии.

Услуга проверки сайтов клиентов на уязвимости (xSpider) - может быть автоматом, может быть по требованию.
Человека не заменит, но самое банальное - найдет.

Все фишки надо переспрашивать у хостера, порой они сами не знаю что у них есть.

Ограничение по ip - очень эффективная вещь!!!
Доступ к mySql - в основном доступ только с самого сервака, но встречаются хостеры, у которых доступ открыт извне.
Некоторые включают по просьбе.

SSH-туннель для MySQL - это хорошо.

Панели управления хостингов - по идее серъезеые продукты за большие бабки.

Если дают единый логин/пароль на все виды доступа - то хостер лажает. Если нельзя сделать разные пароли - то лучше не брать такой хостинг.

Проблема прав доступа:
1. Стоит узнать - запрещено ли обращение к скриптам и папкам из вне у которых права 777. Из 12 всего у одной.
2. Изоляция пользователей. Самый лучший вариант. Если хостер такого не может - то лучше с ними не связываться.
3. Массовые взломы в основном основаны на проблеме разграничения прав.

Если Apache, то скрипт выполняется для всех от владельца.
Если suPHP или FastCGA, то права дифференцируются.

Ограничивать по максимуму выполнение скриптов, там где это не нужно.

Логи.

Важно к каким лога есть доступ и какое время они хранятся.
10 дней - это мало.
месяц - нормально.
Чем больше - тем лучше.

Если нет каких-то логов, то мы не можем до конца выяснить откуда был доступ.

SFTP лучше чем FTP.

http://php.net/manual/ru/ini.list.php - все опции php
http://www.php.net/manual/ru/configuration.changes.modes.php - где и что можно менять

Важные настройки - все меняются через htaccess, кроме disable_functions или в httpd.conf, apache2.conf, php.ini для каждого сайта - лучше, или ini_set()
1. Список отключенных функций: disable_functions (exeс,system...). Нужно запретить в php.ini все функции для работы с операционкой. Запрещаем все, что не нужно движку.
2. Подключать удаленные файлы: allow_url_include.
3. Отображение ошибок: display_errors - на рабочем сервере - обязательно!
4. Вывод ошибок: error_reporting.
5. Логирование ошибок: log_errors - нужно логировать. Лог в отдельную директорию с deny from all
6. magic_quotes_gpc - через ini_set() они не доступны. Все входящие данные (гет, пост, куки) - экранируются все опасные символы. Лучше на нее не надеяться, а самому обрабатывать данные.
7. Указывает директорию, за которую php не выходит: open_basedir.
8. register_globals - опасная вещь.
9. safe_mode - либо в php.ini либо конфигурации веб-сервера. кандидат на удаление. - накладывает кучу ограничений. скрипты могут неработать.
10. session.cookie_httponly флаг для кукиес-сессий - очень желательно включить! куки становятся доступны только по http. такие куки не видны для JS.
11. session.save_path - сохранение сессий - на большинстве хостеров - одна папка (/tmp). Лучше всего указать свой каталог.

DDOS

Хостер не дает нормальной защиты от ddos, только самое простое.

Нужно знать что будет делать хостер:
1. Поднимать ресурс.
2. Блокировать.

Серъезно делать защиту можно только на своем отдельном сервере, а не на виртуальном.

Резервное копирование.

Узнать у хостера:
1. регулярность
2. что архивируется
3. длительность хранения
4. какой к ним доступ
5. как происходит восстановление

По статистике взломщик в панель биллинга не проникает. Чаще - FTP.
Идеальный вариант - резервные копии доступны только в панели и нет возможности скачивания. Только восстановление.
Если копии лежат на FTP, то создать отдельный FTP для них, максимально отделить их от папки сайта.


Модули, встроенные в веб-сервер:

mod_security на хостерах стараются не ставить, потому что он зачастую срабатывает на белых данных. Модуль обнаружает различные атаки (инъекции и т.п.).

Случай взлома.

Что сделает техподдержка?
Смена паролей, логи, восстановление с резерва.

Схема восстановления доступа.

Все хостеры: для физ. нужен скан паспорта, для юр. - оф. письмо.

http://anton-kuzmin.blogspot.com

Отличный вебинар, особенно было интересно про настройку сервера. Автору +
Буду ждать новых докладов!

redreem
Спс! А вообще ничего так получилось! Интересней было бы про частности...а не в общем! Но и так здорово было! И интересно. Первый раз все таки!

ТОже понравилось. Жду следующий

Было достаточно интересно. Почерпнул кое что интересное для себ

дописок к конспекту:

RemoveHandler - указать все расширения для скриптов RemoveHandler .php - прописать

все расширения, доступные у хостера

AddType application/x-httpd-php-source .php - как сервер обрабатывает файлы.
Если тип серверу неизвестен он будет отдавать файл на закачку.


Тесты на нагрузку.

http://anton-kuzmin.blogspot.com/2011/01/siege-web.html
http://anton-kuzmin.blogspot.com/2011/01/ab-apache.html

+xdebug для профилирования.

Есть еще http://jmeter.apache.org/ - близкая к реальности имитация пользователя.

Мне тоже очень понравилось. Все нужное.

Недостаток - что не было слайдов каких-нить, и приходилось нек-е вещи автору пастить в чат. + в начале надо было дать общий обзор-план, что будет рассмотрено.
+ ЭТА БУБОГАЯ ФЛЕШ АПЛИКУХА В КОТОРОЙ ВЕСЬ ТЕКСТ В КВАДРАТИКАХ.
А автор, молодец в остальном)

Автору респект, ждем еще интересную и полезную инфу.

Ага мне тоже всё понравилось.

Всем спасибо за отзывы. Несколько поправок:

Надо записать видео для потомков в следующий раз. Кто-то ведь не смог поучаствовать

Вообщем, ты писал про 2-3 дня. Я не смог поприсутствовать, но будет очень интересно послушать.

Запись вебинара можно забрать здесь: Запись
Там же ответ на один из вопросов.

Наконец дошли руки сделать конспект. Кому сразу в PDF хочется - держите.

В течение последних 12 часов ссылки на материалы вебинара были не рабочие. Сейчас всё налажено. Приношу свои извинения.

ADOBE READER X и Foxit PDF Reader отказались открывать пдфку.

Очень странно, никогда ранее такого не встречалось. А какая ошибка?

перезакачал файл - открылся.

ошибка была: "Adobe Reader не может открыть 'konspect-web-hosting-webinar.pdf', т.к. формат файла не поддерживается, или файл был поврежден (например, отправлен по e-mail как вложение и не декодирован правильно)."