SQL-инъекции кода
Давайте немного углубимся через ещё одну аналогию. Допустим, мы работаем официантом в элитном ресторане. Гости периодически просят изменить состав блюд. Официант отмечает, какие изменения внести в меню.
Недобросовестный официант анализирует и понимает, что на кухне не раздумывая выполняют любой запрос. Поэтому можно внести свои собственные изменения в заказ и повара безоговорочно приготовят блюдо. И он пишет на очередном рецепте:
«ДОБАВИТЬ перец И УБРАТЬ сахар».
Вот и всё. Пранк удался. Но мы на стороне добра, так что вместо того, чтобы заменять заказ, мы проверим, как на кухне умеют фильтровать изменения. Как этим пользуются хакеры? SQL injection — это намеренное внесение в базу данных извне. В нашем примере, кухня — это база данных. SQL-запросы — заказы от официантов.
“http://some.site.ru/test/index.php?name=1′ UNION SELECT 1,2,3,4,5 —+ &password=1234”
Не углубляясь в то, как мы можем сами попробовать хакнуть свою базу данных, разберёмся в причинах уязвимости и посмотрим, как можно защититься.
Во-первых, в запросе должно быть экранирование спецсимволов — игнорирование исполняемым кодом спецсимволов, которые используются в синтаксисе языка программирования. Если один из спецсимволов пропал, то сервер воспринимает его, как часть команды — уязвимость есть.
Во-вторых, проверяем, чтобы при намерено кривом запросе не выводились ошибки, через которые можно сделать выводы о составе базы данных. Например, ошибка “Unknown column ‘4’ in ‘order clause’” говорит о том, что данные из таблицы выбираются по трём колонкам или меньше.
Сегодня существует множество фреймворков и библиотек, которые предоставляют защиту от SQL-инъекций. Например, библиотека node-mysql для node.js.
Как понять, что ваши данные в опасности
Если хакеру удастся угнать cookie пользователя, то он сможет действовать от его лица или же просто получит конфиденциальную информацию юзера. Как узнать, всё ли впорядке?
Во-первых, нужно проверить, не хранятся ли пароли от сайтов в cookie. Удивительно, но в 2021 году до сих пор существуют сайты, которые это делают. Информация о сессиях должна иметь ограничения — быть временной или заменяться с каждой новой сессией.
Во-вторых, нужно проверить, чтобы все конфиденциальные cookie были с флагом httpOnly и secure.
Cookie с флагом “secure” передаются на сервер только по протоколу HTTPS. Как правило, в этом случае есть сертификат SSL или TLS. Cookie с флагом “httpOnly” защищены от манипуляции JavaScript через документ, где хранятся cookie.
Открываем в Chrome «инструменты разработчика» и переходим во вкладку Application.
Проверяем, не хранятся ли пароли в LocalStorage в этом же разделе «инструментов разработчика».
Теперь рассмотрим сценарии кражи пользовательских данных и как от них защититься.
Современный подход к работе с куки
Вы когда-нибудь работали с куки? Казалось ли вам при этом, что их использование организовано просто и понятно? Полагаю, что в работе с куки есть множество нюансов, о которых стоит знать новичкам.
Свойство document. cookie
Взглянем на классический способ работы с куки. Соответствующая спецификация существует, благодаря Netscape, с 1994 года. Компания Netscape реализовала свойство document.cookie в Netscape Navigator в 1996 году. Вот определение куки из тех времён:
Куки — это небольшой фрагмент информации, хранящийся на клиентской машине в файле cookies.txt.
Главу про document.cookie даже можно найти во втором издании книги «Javascript. The Definitive Guide», которое вышло в январе 1997 года. Это было 24 года тому назад. И мы всё ещё пользуемся тем же старым способом работы с куки ради обратной совместимости.
Как же это выглядит?
Opera 9
Инструкция по добавлению поиска по rutracker.org для Opera 9
1. Зайти на http://rutracker.org/forum/search.php для поиска по форуму (или http://rutracker.org/forum/tracker.php для поиска по трекеру), правый клик в поле поиска, выбрать в меню пункт “Create search”
2. В диалоге подтверждения добавления вести ключевое слово (будет использоваться для вызова быстрого поиска из адресной строки) и нажать “OK”
3. Поиск добавлен в список.
♠ps.♠ При необходимости можно изменить поисковые запросы, для этого нужно зайти в Tools > Preferences > Search, выбрать в списке нужный поисковик и нажать “Edit“.
Строки запросов для rutracker.org – http://rutracker.org/forum/tracker.php?nm=%s (поиск по трекеру) и http://rutracker.org/forum/search.php?nm=%s (поиск по форуму), дополнительные параметры запросов можно посмотреть в инструкции:
“Как отслеживать новые торренты, темы и сообщения в нужных разделах”
Internet Explorer 7
Инструкция по добавлению поиска по rutracker.org для IE7
2. На открывшейся странице ввести в форму “Create Your Own” поисковую строку и название для этого поиска. Нажать “Install“.
Строки для rutracker.org – http://rutracker.org/forum/tracker.php?nm=TEST (поиск по трекеру) и http://rutracker.org/forum/search.php?nm=TEST (поиск по форуму)
3. В диалоге подтверждения добавления нажать “Add Provider”
4. Всё, поиск добавлен в список.
Вопросы по пользованию поиском можно задать здесь
Поиск по всем подразделам из одного общего раздела
Если тема будет найдена, результаты отобразятся в таком виде:
Заметьте, в обоих случаях учитываются словоформы.
Как и в обычном поиске, лучше всего вписывать названия тем на языке оригинала
Cookie Store API
Существует черновик стандарта одного замечательного API, направленного на работу с куки, который способен значительно облегчить нам жизнь в будущем.
Во-первых — это асинхронный API, а значит — пользоваться им можно, не блокируя главный поток. Применять его можно и в сервис-воркерах.
Во-вторых — этот API устроен гораздо понятнее, чем существующий механизм работы с куки.
const cookies = await cookieStore.getAll();
const sessionCookies = await cookieStore.getAll({
name: 'session_',
matchType: 'starts-with',
}); Метод getAll возвращает массив, а не строку. Именно этого я и жду, когда пытаюсь получить некий список.
const ga = await cookieStore.get('_ga');
/**
{
"domain": "mozilla.org",
"expires": 1682945254000,
"name": "_ga",
"path": "/",
"sameSite": "lax",
"secure": false,
"value": "GA1.2.891784426.1616320570"
}
*/А вот — приятная неожиданность. Можно узнать и дату истечения срока действия куки, и сведения о домене и пути, и при этом не пользоваться никакими хаками.
await cookieStore.set('name', 'value');await cookieStore.set({
name: 'name',
value: 'value',
expires: Date.now() + 86400,
domain: self.location.host,
path: '/',
secure: self.location.protocol === 'https:',
httpOnly: false,
});Мне очень нравится этот синтаксис!
await cookieStore.delete('ie6');Или можно, как раньше, установить дату истечения срока действия куки на некий момент в прошлом, но не вижу причины поступать именно так.
cookieStore.addEventListener('change', (event) => {
for (const cookie in event.changed) {
console.log(`Cookie ${cookie.name} changed to ${cookie.value}`);
}
}); Как видите, теперь у нас есть возможность подписываться на изменения куки, не занимаясь опросом document.cookie, блокирующим главный поток. Фантастика!
// service-worker.js
await self.registration.cookies.subscribe([
{
name: 'cookie-name',
url: '/path-to-track',
}
]);
self.addEventListener('cookiechange', (event) => {
// обработка изменений
});Поиск в разделах и подразделах
Иногда возникает ситуация, когда нужно найти какую-либо тему в одном конкретном подразделе, или, при необходимости, во всех подразделах одного общего раздела. В этом случае можно поступить так.
Что хранят cookie
Допустим, мы зашли на сайт интернет-магазина ошейников для собак и выбрали французский язык (почему бы и нет). Добавили в корзину пару шлеек и поводок. Что будет, если мы закроем вкладку и зайдём на сайт снова? Всё останется прежним: интерфейс на французском и три товара в корзине. Магия? Нет, cookie.
Cookie — один из инструментов, который формирует так называемый фингерпринт каждого пользователя в сети. Его можно сравнить с «отпечатком пальца», по которому можно узнать, что за человек покупает ошейник для собаки.
На вашем устройстве есть текстовый файл, в котором содержится различная информация о пользователе для каждого сайта — cookie. Она хранится для разных целей, в том числе и для удобства пользования сайтом. Cookie бывают временные (cookie-сессии) и постоянные. Давайте взглянем на них поближе.
Открываем панель разработчика в Chrome и переходим на рандомную статью на «Хабре». Во вкладке Network находим первый запрос, и в хедерах видим как проставляются cookie:
И в респонсе (ответе) видим cookie:
Set-Cookie: fl=ru; expires=Fri, 25-Feb-2022 08:33:31 GMT; Max-Age=31536000; path=/
Тут уже работает логика и Google (если очень нужно): cookie типа fl=ru (параметр, вероятно, отвечающий за язык) или те, которые хранят товары в корзине — постоянные cookie. Они не меняются, если пользователь их не трогает. Нас же интересуют временные или сессионные cookie. Они хранят информацию, которая помогает сайту понять, что это всё тот же пользователь в текущей сессии.
Например, при авторизации на сайте, в файл cookie проставляется условный session_id — уникальный идентификатор сессии на данный момент времени, к которому привязаны текущий браузер и пользователь.
Когда мы совершаем действия, доступные только этому пользователю, мы отправляем в хедер запроса (заголовок запроса, в него передаётся способ общения с сервером) и данные, которые локально сохранили в cookie, чтоб подтвердить, что это мы, а не условный программист из Финляндии. Временные cookie имеют срок годности и стираются в конце сессии, или становятся неактуальными с течением времени.
XSS
XSS расшифровывается как “Cross-Site Scripting”. Эта уязвимость входит в список OWASP TOP-10. Её смысл в том, что злоумышленник принудительно внедряет JavaScript-код через инпут на сайте: в поле ввода «пушит» код, который сохраняется на странице. Впредь он будет исполняться каждый раз при вызове страницы. Это происходит потому, что на сайте отсутствует экранирование спец символов.
У хакера много вариантов воспользоваться этой уязвимостью: от отображения алерта (всплывающего окна) с рекламой до кражи cookie и редиректа на сайт-зеркало.
Не забывайте, что проверять наличие уязвимостей на чужом сайте по законодательству РФ (и многих других стран) запрещено. Это воспринимается, как попытка намеренного причинение вреда сайту. И что тогда делать?
Первым делом вводим в инпуты на сайте скрипты например . Если уязвимость есть, то при перезагрузке страницы появится алерт со значением «test».
После этого вводим в инпуты строку:
\\ “test” :grin: /?.&&*@#$%^*;~` 你好你怎 <iNpUt type=“text” />фыва.&%\ ’<b>t_e_st</b>’:sunglasses:<img src=x onerror=“alert(‘xss’)“/>Это универсальная проверка сразу на несколько кейсов. Если часть символов исчезла (например, в поле поиска) или не записалась в БД (если это поле имени пользователя при регистрации, например), то уязвимость есть. Все символы не должны восприниматься, как часть исполняемого поля. Если часть символов исчезла (например, в поле поиска) или не записалась в БД (если это поле имени пользователя при регистрации, например), то уязвимость есть. Все символы не должны восприниматься, как часть исполняемого поля.
В конце вводим скрипт или спецсимволы в окно фронтенда — вставляем прям в код сайта через dev tools в браузере.
Как отслеживать новые торренты, темы и сообщения в нужных разделах?
rutracker.org/forum/tracker.php– поиск по трекеру;- 521, 599, 313, 101 – номера интересующих нас разделов (в нашем случае, это разделы Мультфильмы (DVD, HDTV), Аниме (DVD, HDTV), Зарубежное кино (HDTV), Зарубежное кино (DVD));
- tm=-1 , o=1 – дополнительные параметры. (в данном случае, это поиск за все время и по дате регистрации торрент-файла.)
Рассмотрим более подробно параметры и синтаксис составления URL страницы.
Начало всегда: http://rutracker.org/forum/tracker.php
Затем идут параметры и их значения, вида: Имя_параметра = значение
Разделителем команд является &, он же объединяет несколько команд в одну.
Для определения номера интересующей темы кликните правой кнопкой мыши на теме и выберите свойства:
Для браузера Firefox – навести курсор на тему, номер увидите внизу слева:
Упорядочить выдачу результатов по критерию – параметр: o
- 1 – Дата регистрации
- 2 – Название темы
- 4 – Скачан раз
- 10 – Seeders
- 11 – Leechers
- 7 – Размер
Сортировать выдачу по – параметр: s
- 1 – по возрастанию
- 2 – по убыванию
Выдавать торренты за интервал – параметр: tm
- -1 – за все время
- 1 – за сегодня
- 3 – последние 3 дня
- 7 – посл. неделю
- 14 – посл. 2 недели
- 32 – последний месяц
Показывать только торренты (пара – параметр = значение):
- my=1 – Мои
- new=1 – Новые с последнего посещения
В выдаче показать колонку:
- dc=1 – Категория
- df=1 – Форум
- da=1 – Автор
- ds=1 – Скорость
Название содержит слова – параметр: nm
Значение – строка в двойных кавычках
Никнейм того, кто запостил раздачу – параметр: pn
Значение – строка в двойных кавычках
Результат поиска заносим в избранное (для удобства):
Пример:
Фильмы за последние 3 дня, упорядоченные по убыванию количества сидеров.
Работа с куки в сервис-воркерах
Это просто невозможно. Дело в том, что работа с document.cookie — это синхронная операция, в результате воспользоваться ей в сервис-воркере нельзя.
Получение куки
const cookies = document.cookie;
// возвращает "_octo=GH1.1.123.456; tz=Europe%2FMinsk" on GitHubДа, именно так всё и делается. В нашем распоряжении оказывается строка со всеми значениями, хранящимися в куки-файле, разделёнными точкой с запятой.
Как вытащить из этой строки отдельное значение? Если вам кажется, что для этого надо самостоятельно разбить строку на части — знайте, что так оно и есть:
function getCookieValue(name) {
const cookies = document.cookie.split(';');
const res = cookies.find(c => c.startsWith(name + '='));
if (res) {
return res.substring(res.indexOf('=') + 1);
}
}Как узнать о том, когда истекает срок действия какого-нибудь из куки? Да, в общем-то, никак.
А как узнать домен, с которого установлен какой-нибудь куки? Тоже никак.
Правда, если надо, можно распарсить HTTP-заголовок Cookie.
HTTP и HTTPS
Гуляя по сайтам мы до сих пор встречаем предупреждения браузеров о «незащищённом соединении». Иногда строгий браузер вообще не пускает нас на сайт, потому что не хочет нести за него ответственность. А чего он боится?
А боится он протокола HTTP — он древний и небезопасный. Все современные сайты общаются по протоколу HTTPS и вот их браузер любит. Разница между HTTP и HTTPS всего в одной букве, но эта буква означает много — «Secure». Безопасность передачи данных — главный приоритет современных браузеров.
Сайты, которые общаются с сервером по протоколу HTTPS, используют сертификат TLS (его предшественник — SSL). Такой сертификат может защищать как один домен, так и группу поддоменов.
Вернёмся в магазин — мы решили всё-таки купить ошейник своей собаке. Переходим в корзину, вводим данные банковской карты для оплаты, нажимаем на большую кнопку «Оплатить» и наши данные улетают на сервер для обработки запроса. Допустим, злоумышленники решили перехватить данные нашей банковской карты в момент отправки запроса.
Если сайт общается по протоколу HTTPS, то между магазином и сервером построен безопасный «мост». SSL-сертификат позволяет шифровать данные нашей карты и преобразует их в нечитаемый набор символов.
На этом моменте все хакеры мира грустят, потому что они знают, что расшифровать данные может только сервер. На нём есть ключ дешифратор, который поможет понять, какие данные мы ввели на сайте и правильно их обработать.
Чтобы защититься от кражи данных, убедитесь:
Что сайт общается через HTTPS, а не через HTTP.
Есть редирект с http:// на https:// — злоумышленник может разместить ссылку с http://, тогда данные можно будет угнать. Редирект насильно переводит пользователя на https:// ради его же блага. И все счастливы.
Можно ли пользоваться этим API прямо сейчас?
Хотя этим API уже можно пользоваться, но тут надо проявлять осторожность. Cookie Store API работоспособно в Chrome 87+ (Edge 87+, Opera 73+). В других браузерах можно воспользоваться полифиллом, который, правда, не возвращает полной информации о куки, как это сделано в настоящем API. Прогрессивные улучшения — это вещь.
И учитывайте, что спецификация этого API всё ещё находится в статусе «Draft Community Group Report». Но если в вашем проекте важен хороший «опыт разработчика» — попробуйте современный способ работы с куки.
Пробовали ли вы работать с куки по-новому?
Firefox 3
Инструкция по добавлению поиска по rutracker.org для Firefox
2. В диалоге подтверждения добавления нажать «ОК». Поиск добавлен.
3. Если поиск по трекеру не отображается, то его надо выбрать из списка:
Альтернативный вариант
Нужно поставить расширение Add to Search Bar (желательно ставить последнюю версию, т.к. старые с новыми версиями Mozilla Firefox не работают), после нажимаете на вашу панель поиска и выбираете такой пункт:
Как пользоваться Поиском?
Поиск осуществляется только по названиям тем.
Минимальный размер слова для поиска по форуму или трекеру – одна буква или символ.
Опции поиска по Трекеру
Поиск по трекеру ищет только “живые” раздачи, то есть раздачи, на которых зарегистрирован торрент.
На главной странице выбираете вкладку Трекер.
Откроется окно вида:
Если открылось совсем другое окно, то необходимо нажать “Расширенный поиск”
При поиске доступны следующие опции:
1. В списке разделов можно выбрать те, по которым будет осуществляться поиск.
- Для выбора нескольких интересующих разделов зажимаете клавишу Ctrl и щелкаете по интересующим разделам.
- Для поиска в только в конкретной категории трекера (“Кино, Видео и ТВ”, “Сериалы”, “Спорт” и т.д.) необходимо выбрать в ней любой раздел и нажать ссылку “Категории” под поисковым запросом. Аналогично можно выбрать конкретный раздел в категории. Для сброса фильтра разделов необходимо нажать ссылку “Всех разделах”.
- Если зажать клавишу Shift и щелкнуть на каком-либо разделе, будут выбран этот раздел и все идущие до него.
- Одновременно можно выбрать не более 200 разделов.
2. Вы можете упорядочить раздачи по:
- зарегистрирован (выбрано по умолчанию)
- название темы (упорядочивание возможно только при выборе одного подраздела)
- количество скачиваний (торрент-файла; обновляется раз в сутки в 5 утра по МСК)
- количество сидов
- количество личей
- размер раздачи (упорядочить можно только для одного подраздела).
Внимание. Поиск работает следующим образом: из всех тем выбираются 400 первых, подходящих под заданные условия. Сортировка найденных тем производится после этого. Поэтому, если хотите найти все темы, соответствующие заданным критериям, задавайте более жёсткие условия поиска, чтобы число результатов было менее 400.
3. При выборе любого из вышеуказанных параметров, сортировать можно по:
- возрастанию
- убыванию (выбрано по умолчанию)
4. Можно вывести торренты за определенное время. По умолчанию выбрано за все время. Опция доступна только при пустом поисковом запросе.
5. Также можно показывать только:
- Только открытые раздачи [] (то есть раздачи, с которых можно скачать торрент-файл.)
- Новые с последнего посещения
- Cкpыть coдepжимoe {…} – отключает показ содержимого в фигурных скобках в результатах поиска по трекеру (для тех, кто не хочет узнавать результаты матчей раньше времени).
- Будущие закачки
6. Поиск по нику автора.
- Можно отфильтровать свои раздачи
7. Данная кнопка позволяет через поисковые сервера Google или Duck искать не только по заголовкам тем, но и по сообщениям первой страницы темы тот запрос, что вы указали в поисковой форме.
- Внимание! Поиск через Google практически не работает для пользователей из РФ. Для его полноценного использования рекомендуем использовать VPN или Tor Browser. См. Что делать, если вам заблокирован доступ на rutracker.org
Опции поиска по Форуму
Поиск по форуму ищет любые темы на форуме.
На главной странице выбираете вкладку Поиск
Откроется окно вида:
1. В поле Форум выбираете разделы, по которым будет осуществляться поиск.
- Для выбора интересующих разделов зажимаете клавишу Ctrl и щелкаете по интересующим разделам
- Если зажать клавишу Shift и щелкнуть по какому-либо разделу, будут выбран этот раздел и все идущие до него.
2. Результаты поиска можно показывать в виде:
- темы (выбрано по умолчанию)
- сообщения
и также можно упорядочить темы по времени. По умолчанию выбрано по за все время.
3. Можно выбрать показ тем, новых с последнего посещения.
4. Данная кнопка позволяет через поисковый сервер Google искать не только по заголовкам тем, но и по сообщениям первой страницы темы тот запрос, что вы указали в поисковой форме.
Настройки поиска и индексирования
Честно говоря, стандартные настройки поиска вполне удачные, и большинству пользователей менять в них ничего не нужно, особенно если документы и файлы хранятся в стандартных папках. Для настройки параметров откройте меню Пуск и введите в поиск параметры поиска .
Вот так непринужденно мы использовали одну из возможностей поиска Windows 7 – быстрый доступ к элементам панели управления из меню Пуск.
Изменение параметров поиска для файлов и папок
Я не буду дублировать параметры, которые отлично видны на скриншоте.
Обратите внимание на следующие моменты:
по умолчанию поиск в папке ищет во всех вложенных папках
в неиндексируемых местах поиск ведется только по именам файлов, а сжатые файлы игнорируются
можно использовать языковой поиск, т.е. составлять поисковые запросы более свободным языком – например, видео на прошлой неделе (тут будет примешиваться много неожиданных результатов, особенно в локализованных версиях)
Параметры индексирования и службы Windows Search
Здесь вы можете настроить гораздо больше параметров. Чтобы добавить папки в индекс, щелкните Изменить.
Папки Windows и Program Files не случайно исключены из поиска – они сильно увеличат размер индекса, а практической пользы будет мало. Программы и так можно найти поиском в меню Пуск – ведь главное меню индексируется по умолчанию.
Щелкнув Дополнительно, вы получаете доступ к двум группам настроек:
технические параметры индексирования
параметры индексирования для типов файлов
В первой из них вы можете добавить в индекс шифрованные файлы, перестроить индекс (что может понадобиться в случае неполадок) и задать для него новое расположение.
Для типа файлов (расширения) вы можете:
включить или исключить его из индекса
определить, будут ли индексироваться только свойства или еще и содержимое
добавить новое расширение
Например, если вдруг ваш клиент обмена мгновенными сообщениями сохраняет историю в текстовых файлах с расширением LOG или вам просто нужно анализировать логи, их содержимое не будет индексироваться по умолчанию. Но вы можете легко настроить поиск – достаточно набрать на клавиатуре log , чтобы переместиться по списку расширений, и включить поиск по содержимому.
Новые возможности расширенного поиска Windows 7
Для освоения поиска, конечно, нужно попрактиковаться в использовании его возможностей. В статьях о поиске Windows 7 я приведу ряд примеров, которые вы легко сможете воспроизвести у себя.
Если вы переходите с Windows XP, для вас в поиске Windows 7 новым будет абсолютно все. По сравнению же с Windows Vista в Windows 7 внешне:
изменились фильтры поиска
Фильтры поиска
Когда примерно известно название файла или тема документа, найти нужный файл, обычно, не составляет труда – просто вводится частичный или полный запрос в поиск меню Пуск. Но эти сведения не всегда откладываются в оперативной памяти мозга, да и попросту часто требуется задать особые условия поиска – размер, дату изменения или автора файла. В Windows XP был помощник по поиску, в Windows Vista – фильтры.
На первый взгляд, в Windows 7 ничего такого визуально выделяющегося нет. На самом деле, фильтры никуда не делись – просто они становятся видны, когда вы устанавливаете курсор в поле поиска.
Совет. Чтобы увидеть больше фильтров, расширьте поле поиска – установите курсор на разделителе между полем и адресной строкой и потяните влево.
На скриншоте вы видите стандартный набор фильтров в главном окне поиска.
Подсказки
Ваши поисковые запросы запоминаются, если они вводились:
в окно поиска
в папке проводника или библиотеке
в меню Пуск (при условии, что вы перешли к результатам, а не просто открыли файл)
Эти подсказки раздражают некоторых пользователей, и они стремятся сразу же их отключить. И, на мой взгляд, напрасно это делают. В подсказках запоминаются не только поисковые запросы как таковые, но и фильтры поиска, которые вы задавали – например, размер или дата изменения файла. Подсказки очень удобны, если вы хотите использовать всю мощь поиска Windows 7. Старое условие легко изменить под текущий запрос, и это быстрее, чем вводить его заново. А ненужную подсказку всегда можно удалить – достаточно выделить ее (мышью или курсором) и нажать Delete на клавиатуре.
Как я говорил выше, новые возможности Windows 7 лучше использовать совместно. Связь поиска с библиотеками есть не только в отображении результатов, но и в формировании условий поиска. В следующей части статьи я рассмотрю:
использование фильтров для поиска в библиотеках и почте
поиск в Internet Explorer 8
поиск в неиндексируемых местах
Ссылки по теме
Токены и сессии
Давайте представим, что мы захотели вступить в тайный клуб любителей настольных игр. Туда просто так не попасть. Сначала нужно доказать, что мы подходим на роль члена клуба — любим настолки.
Итак, в клубе знают наше имя и фамилию, мы доказали, что любим игры, и теперь нам выдадут специальный пропуск, по которому мы сможем проходить в здание закрытого клуба. Теперь не нужно каждый раз доказывать, что мы — это мы. У нас есть волшебный ключ-пропуск, который открывает двери тайного клуба.
Access-token определяет права пользователя и доступность ресурсов для него. Выглядит он как длинный набор символов. Можно сказать, что токен — тот самый пропуск, который нам выдали в нашем тайном клубе.
У refresh-токена только одна цель — обновлять access-токен. Это работает так:
отправляем запрос на закрытый ресурс с истекшим аксесс-токеном;
сервер возвращает ошибку о «протухшем» токене;
клиент видит эту ошибку и сразу формирует запрос на обновление аксесс-токена;
в хедеры этого запроса проставляется значение рефреш-токена;
сервер сверяет рефреш-токен с базой данных, формирует новый аксесс-токен и отправляет его обратно на клиент;
клиент автоматически повторяет запрос на закрытый ресурс уже с новым аксесс-токеном.
Готово! А пользователи сайта даже ничего не увидели и не поняли. Как этим пользуются хакеры?
Access- и refresh-токены – это токены сессии. Если злоумышленнику удастся перехватить их, то он докажет, что он — это мы, просто подставив в запрос. Он получит доступ к нашим ресурсам и сможет совершать действия от нашего имени.
Чтобы защититься, нужно:
проверить, что токены сессии не хранятся в файлах Cookie или LocalStorage;
убедиться, что все запросы с токенами передаются по зашифрованному HTTPS;
проверить, что нет доступа к ресурсу без предъявления токена — отправить запрос без токена;
проверить, что нет доступа с чужим токеном, а также проверить запросы с несуществующим токеном;
проверить запросы с истекшим токеном;
поменять в базе данных вручную время жизни токена (продлить/просрочить);
удалить access-token токен из базы данных и отправить запрос.
Напутствие
Думай, как хакер! Пытайся получить выгоду или навредить. Но только на своём проекте. Следи за новостями безопасности. Смотри реестр уязвимостей, читай статьи, которые пишут фирмы по обеспечению безопасности и мониторь новости про утечки данных. Обязательно пытайся разобраться в сути. И будь на стороне добра!
Удаление куки
document.cookie = 'login=; expires=Thu, 01 Jan 1970 00:00:00 GMT';Для удаления куки надо установить дату и время истечения срока действия куки на какой-нибудь момент из прошлого. Для того чтобы всё точно сработало бы — тут рекомендуется использовать начало эпохи Unix.
Как работает поиск
Индексирование происходит постоянно – если вы добавите, удалите или измените файл в папке, это немедленно отразится в индексе.
На скриншоте показаны местоположения, которые индексируются по умолчанию. Поэтому если вы храните свои документы где-нибудь в F:\Documents, они в индекс не попадут и быстрым поиском не найдутся – их нужно добавить в индекс отдельно. О настройке поиска речь и пойдет ниже.
Поиск по алфавиту
При упорядочивании по названию темы необходимо учитывать, что для компьютера упорядочивание в алфавитном порядке имеет ряд особенностей. Алфавитный порядок для компьютера следующий:
- знаки пунктуации (точка, дефис, двойные кавычки, одинарные кавычки, фигурные скобки и др.)
- цифры от 0 до 9
- буквы латинского алфавита
- некоторые дополнительные знаки пунктуации (символ подчёркивания, например)
- символы кириллицы
- некоторые специальные графические символы (например, парные двойные кавычки)
Вспомогательные элементы поиска
- Для поиска раздачи/темы по части слова, наберите в поиске эту часть, а недостающую замените на *
например по запросу:
бура*
в результате будут найдены буратино, буран, буравчик и т.д.
Замечание: Перед * должно быть хотя бы 3 символа.
- Если вы хотите найти тему, содержащую в названии оба слова, а не какое-то одно, то надо перед каждым из слов поставить знак плюс:
+Звёздные +войны
- Если требуется исключить какое-то слово, перед ним нужно поставить знак минус:
+Звёздные +войны -гоблин
- Если вы хотите найти любые из нескольких слов – перечислите все подходящие варианты через вертикальный слеш: | . Будут показаны результаты поиска с любым из этих слов. Например:
Ужасы | Триллер | Комедия
- Поиск по точной фразе возможен при помощи кавычек, например:
"Will Rock"
Внимание! Знаки препинания не являются частью слова, а символ “_” является.
Как искать
Приступая к поиску, желательно сразу представлять, входит ли объект поиска в индекс. Как я говорил выше, индекс охватывает профиль пользователя – библиотеки, файлы и т.д. Здесь вы относительно легко найдете нужные файлы.
Но если вы открыли главное окно поиска и рассчитываете найти что-то в папке Program Files или Windows, у вас вообще может создаться впечатление, что “поиск ничего не находит” – ведь выводятся только результаты из индекса. О поиске в неиндексируемых местах мы еще поговорим, а сейчас рассмотрим общие способы поиска в Windows 7. Вы можете искать:
из меню Пуск
в главном окне поиска
в других окнах проводника – папках, диалогах “Открыть” и “Сохранить как”
Поиск в меню Пуск
Когда вы ищете из меню Пуск, в результатах поиска отображаются не только файлы и документы, но также программы и элементы панели управления. Теперь можно смело расстаться с привычкой времен Windows XP – тщательной сортировкой приложений в меню Программы. Достаточно ввести несколько первых букв названия программы, чтобы найти ее. Это намного удобнее, особенно в том случае, если у вас установлено множество программ.
Совет. Если вы пользуетесь портативными приложениями, просто добавьте их ярлыки в папку %appdata%\Microsoft\Windows\Start Menu\Programs (можете для них создать вложенную папку). В результатах поиска они будут отображаться в группе Программы.
В Windows 7 результаты поиска в меню Пуск очень удобно группируются, а количество результатов в каждой группе видно сразу – этот момент улучшился по сравнению с Windows Vista. Как видно на скриншоте, поиск по слову word находит не только приложения Microsoft Word и WordPad, но и предлагает результаты в других группах.
В меню Пуск для каждой группы отображается несколько результатов, а щелкнув по названию группы, вы открываете окно поиска со всеми результатами поиска в группе.
Поиск в меню Пуск хорош, когда есть представление о названии файла или его содержимом – первые 5 – 10 результатов видны сразу, и не надо далеко ходить. Кроме того, меню Пуск незаменимо для быстрого доступа к программам и элементам панели управления с помощью поиска.
Главное окно поиска
Пустое окно поиска можно открыть, нажав сочетание клавиш WIN + F. Оно, на мой взгляд, несколько утратило свой смысл, поскольку больше не содержит расширенных возможностей поиска файлов. Поиск в окнах проводника его практически вытесняет из системы. Мне кажется, скрасить его унылый вид могли бы ссылки на справку по использованию поиска или ссылка на эту статью.
Впрочем, главное окно поиска еще несет полезную нагрузку. Оно открывается с результатами поиска, если ввести запрос в меню Пуск и щелкнуть по названию группы результатов поиска, либо по Ознакомиться с другими результатами прямо над поисковым полем.
Библиотеки
Сейчас я объясню, почему разделил поиск в библиотеках и других окнах проводника. Обратите внимание на то, как выводятся результаты поиска в библиотеке. Они соответствуют виду файлов в ней и очень хорошо воспринимаются визуально. Например, для музыкальных файлов отображается обложка альбома, крупное название композиции, размер, а также имеются “музыкальные” опции упорядочивания результатов. Это свойство всех библиотек, что подтверждает тезис – возможности Windows 7 лучше использовать совместно. В данном случае – это поиск в библиотеках, у которого есть и другие преимущества.
Вот что предложит поиск по простому запросу в библиотеке Музыка.
Находясь в проводнике, вы можете упорядочить результаты поиска по доступным свойствам файлов. Порядок отображения по умолчанию – Лучшие результаты, но, например, музыкальные файлы вы можете упорядочить по альбому или жанру. Эта возможность доступна наряду с традиционными средствами проводника – сортировкой и группировкой (хотя последнее может быть в новинку мигрантам с Windows XP).
В этом случае в результатах отобразятся по несколько композиций из каждого альбома. Вы можете посмотреть все композиции альбома, а затем “сложить” его, если нужной там нет.
Если вы не нашли нужный файл в текущей папке, вы можете повторить поиск:
В библиотеках, как в стандартных, так и в созданных вами.
По всему компьютеру. Поиск ведется по всем папкам компьютера, включая неиндексированные места, что может занять относительно много времени.
Именно так можно искать файлы, не входящие в индекс, если неизвестно их местоположение. Кроме того, поиск по компьютеру позволяет найти теневые копии удаленных файлов, если вы не отключили защиту системы, конечно.
В других местоположениях. Этот способ, также позволяющий находить неиндексируемые файлы, может оказаться быстрее, чем поиск по всему компьютеру. Когда известно примерное расположение файла, можно выбрать сразу несколько папок. Кроме того, вы можете включить в диапазон поиска сетевые ресурсы.
Другие окна проводника
В папках и библиотеках поле поиска такое же, как и в главном окне. Но не нужно забывать, что такая же возможность есть в окнах “Открыть” и “Сохранить как”, которыми пользуются даже те, кто предпочитает альтернативные файловые менеджеры.
Искать в папках удобнее, когда вы знаете примерное расположение файла или документа – в этом случае вы не потеряетесь в результатах. Кроме того, этот способ пригодится, когда точно известно, что файл не входит в индекс. Наконец, в окнах “Открыть” и “Сохранить как” при помощи поиска можно быстро фильтровать содержимое папки.
Уверен, что вы уже попробовали простые запросы поиска и, возможно, они вас полностью устроили. Однако рано или поздно вам понадобится найти файл, и простой запрос в этом не поможет. Дальше я расскажу, как использовать расширенные возможности поиска Windows 7, чтобы находить нужные файлы.
Как найти пользователя, если он не оставил ни одного сообщения?
Если пользователь не оставил ни одного сообщения, то зная его ник, вы можете посмотреть его профиль, указав в строке его ник:
rutracker.org/forum/profile.php?mode=viewprofile&u=Ник
Внимание! В случае соответствия ника одного пользователя, состоящего из набора цифр, с числовым id другого пользователя, будет открыт профиль, соответствующий числовому id.
Для поиска такого пользователя используйте форму
http://rutracker.org/forum/profile.php?mode=viewprofile&u=ХХХХХХ&name=1
где ХХХХХХ – цифровой ник.
Советы по поиску
- Если вы хотите узнать, какие из раздач пользуются популярностью у пользователей, то в поиске по трекеру упорядочите по Скачан и по убыванию.
- Для поиска раздач, на которых отсутсвуют сиды, упорядочите раздачи по: по количеству личеров, по убыванию и
источника не было: от 2 недель – до 1 дня (любое из доступных значений, включительно).
- Если страниц в теме много, а вы хотите оказаться в середине, например, и не хотите листать до нужной, то можете в строке подставить номер темы и номер сообщения и оказаться на нужной странице. При расчете номера сообщения учитывайте, что на странице по умолчанию помещается 30 сообщений:
rutracker.org/forum/viewtopic.php?t=номер_темы&start=номер_сообщения
Например, если вы хотите оказаться на 37 странице, то вместо номера сообщения вы должны подставить 1080, т.е. 36*30.
- Если вы хотите оказаться на определенной странице в подразделе, вы подставляете значения в строку:
rutracker.org/forum/viewforum.php?f=id_подраздела&start=номер_страницы
При расчете номера, учитывайте, что на 1 странице помещается 50 тем.
Brute force атаки
Защититься от взлома можно несколькими способами (про авторизацию/аутентификацию и oauth2 мы поговорим ниже). Но, если речь идёт о brute force атаке, то простейшая защита тут — установка лимита на попытки ввода пароля.
Лимиты устанавливают в зависимости от специфики продукта и решения проектной команды:
ограниченное число попыток в единицу времени;
ограниченное число попыток с последующей блокировкой функционала (например, с восстановлением доступа через почту когда попытки закончились);
установление тайм-аута после n попыток ввода.
Естественно, это не избавит от всех проблем, но сильно усложнит жизнь злоумышленнику.
Поиск по одному разделу
Если тема будет найдена, результаты отобразятся в таком виде:
Двухфакторная аутентификация
Если в вашей входной двери есть замок только одного типа, то грабителю нужна только одна отмычка (отмычка одного типа). Если же у вас есть ещё и дополнительная защита (цепочка, навесной замок, собака), то грабителю будет сложнее вас ограбить. Скорее всего он передумает.
Где файлы cookie в Windows 10/8/7
Расположение папки Cookies в Windows 10/8/7
Чтобы увидеть, где Internet Explorer хранит свои файлы «cookie» в Windows 10/8.1/8/7/Vista, откройте «Обозреватель»> «Организовать»> «Свойства папки»> «Представления»> «Не показывать скрытые файлы и папки» и снимите флажок «Скрыть защищенные файлы ОС»> «Применить». > ОК.
Теперь вы сможете увидеть два реальных расположения папок файлов cookie по следующему адресу в Windows 7 :
- C: \ Users \ имя пользователя \ AppData \ Roaming \ Microsoft \ Windows \ Cookies
- C: \ Users \ имя пользователя \ AppData \ Roaming \ Microsoft \ Windows \ Cookies \ Low
В Windows 8 и Windows 8.1 файлы cookie хранятся в этой папке:
- C: \ Users \ имя пользователя \ AppData \ Local \ Microsoft \ Windows \ INetCookies
В Windows 10 вы можете открыть окно Запустить , ввести shell: cookies и нажать Enter, чтобы открыть папку Cookies. Он расположен здесь:
- C: \ Users \ имя пользователя \ AppData \ Local \ Microsoft \ Windows \ INetCookies
Как уже упоминалось в других разделах этого сайта, начиная с Windows Vista, процессы выполняются с уровнями целостности, определенными функцией принудительного контроля целостности. Internet Explorer в защищенном режиме работает как процесс с низким уровнем привилегий. Это предотвращает запись в Internet Explorer областей файловой системы или реестра, для которых требуются более высокие привилегии! В результате Windows создает набор папок и файлов для использования в защищенном режиме «Интернет». Проводник. Эти папки и файлы имеют тот же уровень Низких привилегий, что и Internet Explorer.
Одна из этих 4 папок с «низкими привилегиями», используемая IE в Windows при повседневной работе, – это Cookies, другая – Cache, History & Temp, и она расположена по адресу:
- % AppData% \ Microsoft \ Windows \ Cookies \ Low
Когда включен защищенный режим IE, браузер по сути работает как процесс с низким уровнем привилегий; в результате чего он может хранить/читать/записывать куки в НИЗКОЙ версии папки Cookies:
- C: \ Users \ имя пользователя \ AppData \ Roaming \ Microsoft \ Windows \ Cookies \ Low
Но если вы выключили UAC или отключили защищенный режим в IE в Windows, они (например, кэш, временные данные и история) будут в основном храниться в:
- C: \ Users \ имя пользователя \ AppData \ Roaming \ Microsoft \ Windows \ Cookies
Пост портирован из WinVistaClub и обновлен и выложен здесь.
Говоря о компьютерных файлах cookie, вот несколько сообщений, которые могут вас заинтересовать:
- Удалите даже файлы Flash Cookie через «Удалить историю просмотров» в Internet Explorer
- Быстрая очистка интернет-кэша и файлов cookie для определенного домена только в IE
- Очиститель устаревших файлов cookie поможет вам удалить устаревшие файлы cookie в Internet Explorer.
Установка куки
document.cookie = 'theme=dark'; Вышеприведённая команда позволяет создать куки с именем theme, значением которого является dark. Хорошо. Значит ли это, что document.cookie — это строка. Нет, не значит. Это — сеттер.
document.cookie = 'mozilla=netscape'; Эта команда не перезапишет куки с именем theme. Она создаст новый куки с именем mozilla. Теперь у нас имеются два куки.
По умолчанию срок действия куки, созданного так, как показано выше, истекает после закрытия браузера. Но при создании куки можно указать срок его действия:
document.cookie = 'browser=ie11; expires=Tue, 17 Aug 2021 00:00:00 GMT';Да. Это — как раз то, что мне нужно — подбирать дату и время истечения срока действия куки в формате GMT каждый раз, когда нужно установить куки. Ладно, давайте воспользуемся для решения этой задачи JavaScript-кодом:
const date = new Date();
date.setTime(date.getTime() + (30 * 24 * 60 * 60 * 1000)); // здорово-то как
document.cookie = `login=mefody; expires=${date.toUTCString()}; path=/`;Но, к счастью, у нас есть и другой способ установки момента истечения срока действия куки:
document.cookie = 'element=caesium; max-age=952001689'; Свойство max-age представляет собой срок «жизни» куки в секундах. Соответствующее значение имеет более высокий приоритет, чем то, которое задано с помощью свойства expires.
И не надо забывать о свойствах path и domain. По умолчанию куки устанавливаются для текущего расположения и текущего хоста. Если надо установить куки для всего домена — надо будет добавить к команде установки куки конструкцию такого вида:
; path=/; domain=example.com
