Самоучитель по креативному веб-дизайну. Книга 4, стр.74

После того как посетитель щелкнет на баннере, браузер передает сценарий

из строки запроса файла перенаправления, задающий целевую страницу баннера и путь к файлу рекламного изображения. В рассматриваемом примере целевая

Страница баннера — http: //www. NVBizNet. com/hwdtt/BannerAds/AdRedirect. asp,

и файлу перенаправления передается строка запроса:



«URL=http://www. NVBizNet. com/default. htm &image=

/hwdtt/BannerAds/NVBizNet. gif»



Сценарий, содержащийся в файле перенаправления ротатора (в нашем приме —

ре — AdRedirect. asp), отвечает за перенаправление браузера на целевую страни —

цу баннера. Значит, в файле перенаправления также можно обновлять статистику посещений баннера. Для увеличения счетчика посещений для баннера, на кото — ром щелкнул посетитель, используйте в файле перенаправления ротатора при — мерно такой код:



Dim objMySQLCon, strlmageURL, strTargetURL

1 Разбор строки запроса в две переменные

strlmageURL = Request. QueryString

strTargetURL = Request. QueryString(«URL»)



604 Глава 11. Активные серверные страницы (ASP)





1 Открытие соединения с СУБД и увеличение счетчика посещений

Set objMySQLCon = Server. CreateObject(«ADODB. Connection») ^ B With objMySQLCon

.ConnectionString = _

«DRIVER={MySQL};SERVER=NVBizNet;UID=root;PWD=;DATABASE=hwdtt»

.Open

.Execute «UPDATE bannerAdStats » & _

«SET clickThroughCount = clickThroughCount + 1 » &

«WHERE imageURL = ‘ » & strlmageURL & » ‘ » & ._

«AND targetURL = ‘» & strTargetURL & » ‘ »

.Close

End With

Response. Redirect Request. QueryString(«URL»)

%>

Данный сценарий выбирает URL-адреса целевой страницы баннера и графи —

ческого изображения из строки запроса, передаваемой ASP-странице (AdRedirect. asp), которая содержит этот сценарий. После обновления таблицы bannerAdStats сценарий закрывает соединений с базой данных и затем вызыва —

ет метод Response. Redirect для перенаправления браузера на целевую страницу баннера.



ПРИМЕЧАНИЕ Чтобы в сценариях, приведенных в данном разделе, SQL-операторы UPDATE работали корректно, нужно поместить URL-адреса и изображения баннера, и его целевой страницы в SQL-таблицу, в которой хранятся счетчики показов и посещений (в данном случае — bannerAdStats). Поэтому каждый раз при добавлении описания баннера в

файл расписания Ad Rotator выполните в СУБД приведенный ниже оператор INSERT:



INSERT INTO bannerAdStats VALUES (bannerRedirectionURL, bannerImageURL, 0,0) ;





Подставьте вместо bannerAdStats свою таблицу со статистикой по баннерам,

вместо bannerRedirectionURL — URL-адрес целевой страницы баннера и вместо

banner imageURL — URL-адрес графического изображения баннера.

Описание файла расписания и файла перенаправления Ad Rotator можно най —

ти в предыдущем разделе. ASP-страница, отображающая баннер, файл расписа- ния и файл перенаправления, описанные в данном разделе, доступны для выг —

рузки на Сайте http://www. diasoft. kiev. ua.



Обработка ошибок типа «Код 404: файл не найден11

В заголовок каждого HTTP-сообщения, посылаемого браузеру, Web-сервер включает код состояния, показывающий, насколько успешным был запрос брау- зера. Коды состояния в диапазоне 200—299 означают, что запрос был успешным,

Самоучитель по креативному веб-дизайну. Книга 4, стр.75

а коды в диапазоне 400—499 означают неудачный запрос из-за какой-то ошибки

в запросе браузера. Например, сервер посылает в HTTP-заголовке код состояния

200, если запрос GET браузера (т. е. запрос браузера на выборку Web-страницы)

завершился успешно. И сервер отправляет в HTTP-заголовке код состояния 404 для указания, что запрос GET браузера завершился неудачно, так как сервер не смог найти запрошенную браузером Web-страницу.

Глава 11. Активные серверные страницы (ASP) 60 5





Кроме кода состояния 404 сервер обычно посылает совершенно бесполезную Web-страницу общего назначения с заголовком «HTTP 404: файл не найден», если посетитель ошибся при наборе Web-адреса или щелкнул на гиперссылке, указывающей на уже не доступную на Web-сервере страницу. Стандартная стра — ница с сообщением об ошибке 404 бесполезна, поскольку не содержит никакой дополнительной информации. Текст этой страницы сообщает посетителю, что запрошенная Web-страница не существует, но ему не предлагается никакая поис- ковая форма или гиперссылки, которые могли бы помочь найти на этом Web — сайте другие ресурсы. К счастью, разработчики начали создавать специализиро — ванные страницы с сообщением об ошибке 404, более дружественные к посетителю.

Качественная страница с сообщением об ошибке (если таковую страницу вообще можно назвать «качественной») должна обладать следующими характеристиками:

• Страница сообщает, что обнаружена ошибка, в терминах, понятных посе- тителю.

• Б странице содержатся извинения по поводу ошибки — даже если она произошла из-за ошибочного набора Web-адреса.

• Страница содержит ссылки на страницу поиска по сайту и на наиболее популярные ресурсы сайта.

Чтобы увидеть пример таких доступных в Internet страниц специальной обра — ботки ошибок, стоит посетить следующие Web-сайты:

• http://www. microsoft. com/invaiidURL. Карта сайта, выпадающие списки

гиперссылок на области сайта с описанием продукции, поддержки и об — щей информации, и форма поиска.

• http://www. yahoo. com/InvalidURL. ССЫЛКИ на перечень Продукции K0M- пании, кнопки, щелкнув на которых, посетитель может попасть в самые популярные области сайта (аукционы, служба быстрых сообщений, элект — ронная почта и т. д.), а также поисковая форма.

• http://www.4guysfromrolla. com/InvalidURL. Заглавная Страница Сайта, ссылки на ресурсы сайта (разбитые по разделам, обозревателям и типу ин — формации), ссылки на наиболее посещаемые страницы сайта и даже ссыл —

ка на Web-страницу, где рассказано, как создать свою собственную страни —

цу с сообщением об ошибке 404.



ПРАКТИКУМ

Чтобы заменить стандартную страницу об ошибке 404, необходимо выполнить две вещи: создать специальную страницу с сообщением об ошибке и указать серверу, чтобы он отправлял вместо стандартной вашу страницу Например, чтобы отобра —

Самоучитель по креативному веб-дизайну. Книга 4, стр.76



HTML and Web Design Tips & Techniques

CTpaHH4a не HanfleHa



Response. Write «Извините, запрошенный вами документ (» & _

BadURL & «) не найден на сервере NVBizNet. com.»

%>

Возможно, вы ввели неверный адрес, либо запрошенная страница была перемещена в другое место.

При обнаружении этого запроса Web-мастеру



href=»mailto:kki@NVBizNet. com?

subject=»Kofl 404: страница не найдена на NVBizNet. com»>

(Конрад Кинг — kki@NVBizNet. com) автоматически было послано письмо с извещением, что на сайте отсутствует документ. В ближайшее время он исправит ситуацию.

Надеемся, что одна из следующих ссылок поможет вам найти нужный документ или перейти на другую интересную вам ссылку:



    href =»http: //www. NVBizNet. com»>NVBizNet. com

    страница)



    Карта сайта

    страницы —>


    Или… введите одно или несколько ключевых слов для поиска на

    сайте требуемой страницы:




    input type=»submit» value=»Поиск» name=»Search»>

    input type=»text» name=»keywords» size=»30″>


Самоучитель по креативному веб-дизайну. Книга 4, стр.77

После рассмотрения средств защиты мы перейдем к изучению способов повы- шения производительности Web-сайта за счет устранения узких мест, снижаю — щих эффективности выполняемых Web-сайтом операций. Вы рассмотрите цепоч —

ку производительности Web-сервера, которая начинается с соединения сервера с сетью Web, проходит через ОЗУ сервера, диски, кэширование и т. д. Другими словами, эта глава поможет вам довести свой Web-сайт до настоящего професси — онального уровня.



Угроза атак со стороны хакеров

После создания и запуска Web-сайта хакеры могут атаковать его различными способами:

• За счет перехвата, просмотра и, возможно, изменения содержимого HTTP — сообщений, которыми сервер обменивается с браузерами.

• За счет получения доступа к файлам на сервере, которые могут содержать чувствительную информацию, например, данные о номерах кредитных кар- точек клиентов.

• За счет запуска на сервер тысяч запросов, которые потребляют ресурсы сайта и затрудняют возможность отправки отклика другим посетителям.

• За счет инфицирования вирусами файлов, дисков или входящих на сайт сообщений электронной почты.

• За счет взлома CGI-сценариев и получения доступа к серверу.



В настоящей главе будут описаны конкретные методы, позволяющие снизить риск каждой из выше перечисленных атак.



Каким образом хакеры перехватывают и изменяют сообщения в сети?

Когда программа передает данные по сети Internet на удаленный компьютер, сообщения не просто следуют непосредственно от компьютера-отправителя к

компьютеру-получателю. Как показано на рис. 12.1, для попадания на удапен — ный компьютер сообщение проходит через множество сайтов.

Глава 12. Безопасность и производительность 611





Для более полного понимания процесса перехода сообщения от одной систе — мы к другой при его прохождении по сети Internet выполните команду tracert

(имя этой команды представляет собой сокращение от английских слов trace

route — отследить маршрут), выводящую список сайтов, через которые сообще — ние проходит до попадания на удаленный компьютер. Приведенный ниже лис — тинг содержит пример маршрута, пройденного сообщением от компьютера науч — ного редактора этой книги до сайта yahoo. com:



612 Глава 12. Безопасность и производительность





16 673 мс 1277 мс 796 мс so-0-0-0.mpl. SanJosel. level3.ne t

[64.159.1.133 ]

17 741 мс 701 мс 727 мс gige9-l. ipcolo3.SanJosel. Level3.ne t

[64.159.2.73 ]





Трассировка завершена.

unknown. Level3 .net [64 .152 . 69 . 30]

wl. re. vip. scd. yahoo. com [66 . 218 . 71.198]



В приведенном примере для попадания на сайт yahoo. com сообщение про — шло через 18 промежуточных сайтов. При каждом попадании сообщения на но — вый сайт система, на которой находится этот сайт, проверяет, предназначено ли сообщение для нее. В случае положительного результата проверки сетевое про — граммное обеспечение передает сообщение соответствующей программе, напри —

Самоучитель по креативному веб-дизайну. Книга 4, стр.78

мер, почтовой программе или Web-серверу. Если же сообщение предназначено

не для этой системы, сетевое программное обеспечение перенаправляет сообще — ние другой системе, которая находится ближе всего к компьютеру-получателю.

В любом месте маршрута следования сообщения хакер, через систему которо —

го проходит сообщение, может прочитать и изменить содержимое сообщения. Предположим, например, что сообщение содержит данные о кредитной карточ — ке. При прохождении сообщения через систему хакера хакер имеет возможность прочесть и сохранить (то бишь «позаимствовать») данные (см. рис. 12.2).

В главе 3 при рассмотрении HTML-форм мы говорили, что при отправке по — сетителем содержимого формы браузер передает их серверу с помощью протоко —

ла HTTP. К сожалению, HTTP-протокол предусматривает передачу сообщений в

виде открытого текста, т. е. хакер без особого труда может просмотреть содержи- мое сообщения. Чтобы лучше понять, как хакер перехватывает и просматривает

пакеты сообщений, выгрузите и установите у себя программу CommView, которая

ДОСТупна на Странице ПО адресу http://webattack. com/get/commview. shtml. С помощью программы CommView вы можете просматривать содержимое различных типов сообщений, поступающих в вашу систему. Так, например, на рис. 12.3 показа — но содержимое HTTP-сообщения, просматриваемого с помощью CommView.





Рис. 12.2. Перехватывая сообщения, хакеры воруют информацию

Глава 12.’Безопасность и производительность 613





Хакер для просмотра содержимого сообщений, проходящих через его компь — ютер, может использовать программу, аналогичную CommView. Поскольку коли —

чество «сообщений, проходящих через систему хакера, может быть достаточно большим, опытный хакер может написать программу, которая выбирает из сооб — щений данные, по формату напоминающие номера кредитных карточек, даты истечения срока действия карточек и тому подобные данные.

Самоучитель по креативному веб-дизайну. Книга 4, стр.79

Помимо просмотра сообщения, хакер может изменять содержимое перехваты- ваемого им сообщения. Например, предположим, что хакер перехватывает сооб- щение, содержащее заказ на покупку товара. Хакер имеет возможность, как по- казано на рис. 12.4, изменить количество покупаемого товара и адрес его доставки. Таким образом, заказанный вами товар получите не вы, а хакер («при — ятная» новость, не правда ли?).

Для защиты сообщений сайта от перехвата и изменения хакерами можно вос — пользоваться шифрованием и защищенными Web-страницами, которые будут

рассматриваться ниже в этой главе в разделе «Каким образом шифрование защи — щает передаваемые по сети сообщения?».

614 Глава 12. Безопасность и производительность







Каким образом хакеры попадают в систему?

В сети Internet многие системы дают пользователям возможность входить с удаленных систем. Так, например, компания может открывать вход в свою кор — поративную сеть для коммивояжеров, чтобы они имели возможность просмот- реть, создать или обновить данные, или же просто прочитать свою электронную почту. Аналогично, система может быть открыта для входа с удаленных компью — теров для программистов, Web-разработчиков и других пользователей, которые выгружают или загружают файлы. В зависимости от конфигурации системы, пользователи, как показано на рис. 12.5, получают удаленный доступ к системе через модемное соединение или Internet. Если система открыта для удаленного доступа, хакеры получают возможность использовать программы и службы уда — ленного доступа для взлома такой системы.













Действительный пользователь

















Хакер





Рис. 12.5. Удаленный доступ предоставляет пользователям (и хакерам), которые физически не соединены с сетью, способ получения доступа к ресурсам сети

Глава 12. Безопасность и производительность 61 5





Для взлома системы с помощью удаленного доступа хакер, как правило, дол- жен указать действительные имя пользователя и пароль. К сожалению, получить действительные имя пользователя и пароль можно несколькими способами:

Самоучитель по креативному веб-дизайну. Книга 4, стр.80

• С помощью программы взлома паролей, которая производит атаку на файл паролей системы.

• За счет выполнения атак на учетные записи по умолчанию, для которых администраторы не изменили пароли.

• Просто спросить имя пользователя и пароль у человека, который имеет

i доступ к системе.



Программное обеспечение для взлома паролей

Взлом паролей — это метод, используемый хакерами для получения доступа к

системе, защищенной именами пользователей и паролями. В телевизионных программах и кинофильмах хакеры часто изображаются великолепными отгадчи — ками, которые могут быстро получить доступ в систему, просто угадав имя пользователя и пароль. К счастью, процесс взлома паролей намного сложнее. Сегодня многие операционные системы имеют возможность блокирования учет — ной записи, если пользователь указал неправильную пару имя пользователя/па- роль определенное количество раз. Например, предположим, что хакер каким-то образом узнал ваше имя пользователя и пытается войти в систему путем угады —

вания пароля. Если хакер введет неправильный пароль, скажем, пять раз, опера — ционная система заблокирует вашу учетную запись и ни вы, ни хакер не сможе —

те воспользоваться учетной записью, пока системный администратор ее не разблокирует. Несмотря на то что подобного рода блокирование вашей собственной учетной записи может показаться неудобным, тем не менее, вы будете знать, что кто-то пытался получить доступ к системе с использованием вашей учетной записи.

Раньше, когда операционные системы не блокировали учетные записи после нескольких неправильных вводов паролей, хакеры могли запускать специальные

программы, называемые программами проверки паролей, которые многократно вводили различные комбинации имени пользователя и пароля. С помощью про —

грамм проверки паролей хакеры имели возможность буквально за несколько ми — нут проверить тысячи комбинаций имени пользователя и пароля.

Большинство операционных систем хранят данные об учетных записях пользователей (включающие имя пользователя и пароль) в файлах. Для исключе —

ния возможности просмотра пользователями данных о паролях, как правило, файл учетных записей шифруется. К сожалению, в сети Internet можно найти не — мало программ, которые дешифруют и выводят на экран содержимое файла учет — ных записей для операционных систем Unix/Linux, Windows NT и даже Windows

Самоучитель по креативному веб-дизайну. Книга 4, стр.81

2000. Самый эффективный метод защиты таких файлов — защита учетных запи- сей администраторов системы.

Как правило, хакер сначала пытается получить доступ к учетным записям ад- министраторов системы. Для обеспечения более эффективной защиты учетных записей администраторов от хакеров на многих сайтах в качестве имен для таких

учеТНЫХ записе й ИСПОЛЬЗУЮТ Не NetworkAdmin ИЛИ RemoteAdmin, а Менее Знача —

61 6 — Глава 12. Безопасность и производительность





щие слова. Это означает, что хакеру будет сложнее получить доступ к ключевым

учетным записям, что само по jce6e может стать достаточно убедительной причи — ной для прекращения хакером попыток взлома сайта.

Защита учетных записей по умолчанию.

При первой установке операционной системы или сложного приложения (на — пример, системы управления базами данных), программное обеспечение предос — тавляет несколько учетных записей по умолчанию, которые можно применять

для выполнения установки, тестирования и т. д. К сожалению, многие пользоваг

тели забывают блокировать эти учетные записи после установки приложений.

Часто хакеры получают доступ к системе именно через такие незаблокированные учетные записи.

Если вы занимаете должность системного администратора, просмотрите спи — сок всех учетных записей сайта. Измените пароли для учетных записей, устанав — ливаемых по умолчанию, или, что еще лучше, вообще заблокируйте неиспользу —

Самоучитель по креативному веб-дизайну. Книга 4, стр.82

емые учетные записи. При просмотре списка учетных записей убедитесь, что вы знаете назначение каждой записи. Более того, во многих случаях защищенность сайта можно повысить за счет блокирования учетных записей большинства пользователей после окончания рабочего дня.

Социотехнические атаки

Один из наиболее простых способов получения доступа в систему заключает —

ся в том, чтобы спросить у пользователя его имя пользователя и пароль. Сетевые администраторы называют такие атаки хакеров социотехническими. Часто быва — ет, что ничего не подозревающему пользователю звонят, и для получения досту —

па в систему ведут разговор примерно следующего характера:



Хакер: Доброе утро. Это Конрад из отдела обработки данных. Сегодня во вто — рой половине дня по электронной почте вы получите письмо с сообщением о

том, что в качестве части проекта повышения защиты сети компании все пользователи должны будут изменить свои пароли завтра в 8:30 утра.

Пользователь: Хорошо.

Хакер: Для контроля процесса смены пароля мне нужно знать ваше текущее имя и пароль.

Пользователь: Хорошо.

Хакер: Какое у вас имя пользователя?

Пользователь: Smith.

Хакер: Ваш пароль?

Пользователь: toobusy.

Хакер: Великолепно, не забудьте завтра сменить свой пароль.



После того, как хакер узнал имя пользователя и пароль, он может получить доступ в систему. Для защиты вашего сайта от атак подобного рода вы должны научить пользователей никому не выдавать свои имена и пароли. Скажите им, что никто из отдела обработки данных не будет интересоваться паролями, и нико —

Самоучитель по креативному веб-дизайну. Книга 4, стр.83

му, даже сотруднику компании, нельзя сообщать свое имя, пользователя и пароль.

Глава 12. Безопасность и производительность 61 7



Каким образом хакеры блокируют доступ

к вашей системе?

Если хакер не может получить доступ к вашей системе, он может попытаться заблокировать доступ к системе других пользователей за счет проведения атаки

типа «отказ в обслуживании» («denial-of-service», «DoS»), которая потребляет ре — сурсы системы частично (снижая производительность) или полностью (вообще

блокируя доступ пользователей). Например, несколько лет назад хакеры блоки- ровали службу электронной почты Белого дома, бомбардируя адрес электронной почты десятками тысяч больших сообщений. Несмотря на то что хакеры не смогли проникнуть на сайт Белого дома, тем не менее, их действия привели к тому, что сайт не мог оказывать услуги другим пользователям.

В следующем простом HTML-файле, ReioadForever. html, используется деск — риптор , который приводит к тому, что браузер загружает графическое изображение большого объема с сайта www. somevictim. com каждые 30 секунд. Запрещая кэширование, HTML-файл заставляет Web-браузер передавать содержи- мое запрашиваемой страницы каждые 30 секунд. При обслуживании этого запро —

са сервер не сможет работать с другими пользователями. Хакер, например, может открыть 10 или более окон браузеров, в которые загружается страница

ReioadForever. html. Чем больше количество окон с открытым файлом, тем больше снижается производительности сервера при обслуживании других пользо —

вателей.





content=»30″ />





Для защиты сайта от DoS-атаки можно воспользоваться брандмауэром, кото —

рый отслеживает идентичные или подобные HTTP-запросы. Кроме того, можно

просмотреть файлы журнала посещения сайта. В советах этой главы будет рас —

сказано об установке и настройке брандмауэра и о создании и анализе файлов системного журнала.



Каким образом хакеры атакуют CGI-сценарии?

В главе 3 вы научились создавать HTML-формы, которые посетители могут

заполнять и передавать приложению, запущенному на Web-сервере. Как правило, программисты пишут серверные приложения для обработки результатов заполне —

ния форм на таких языках программирования, как Perl или РНР. Многие годы хакеры считали CGI-сценарии удобным местом для взлома сайтов. Это было вызвано тем, что серверные сценарии часто используют доступ к данным, кото — рые хранятся на жестком диске. В зависимости от типа выполняемой сценарием обработки, хакер может использовать сценарий в своих собственных целях, вы- полняя его со значениями, передаваемыми извне процесса передачи данных формы. Более того, если хакер может получить доступ к жесткому диску Web — сервера, для него открывается возможность замены файла сценария своим соб —



Полезные ссылки
Случайные записи
  • 16.03.2011">Руководство по actionscript. часть 3, стр. 014
  • 09.03.2011">Руководство по actionscript. часть 4, стр. 053
  • 01.03.2011">Руководство по actionscript. часть 5, стр. 112
  • 19.05.2010">Самоучитель по креативному веб-дизайну. Книга 2, стр.1
  • 04.03.2011">Руководство по actionscript. часть 5, стр. 040
  • 23.01.2011">Руководство по actionscript. часть 1, стр. 038
  • 14.06.2010">Самоучитель по креативному веб-дизайну. Книга 4, стр.81
  • 26.02.2011">Руководство по actionscript. часть 6, стр. 075
  • 15.03.2011">Руководство по actionscript. часть 3, стр. 035
  • 25.02.2011">Руководство по actionscript. часть 6, стр. 088
  • 26.08.2010">Классификация сайтов для дизайнера.
  • 22.01.2011">Руководство по actionscript. часть 1, стр. 106
  • 15.07.2012">Англоязычные статьи Wikipedia можно будет комментировать
  • 03.06.2010">Самоучитель по креативному веб-дизайну. Книга 3, стр.67
  • 22.01.2011">Руководство по actionscript. часть 1, стр. 111
Опрос

Какие цвета вы предпочитаете?

View Results

Loading ... Loading ...