iWhore.ru - кто пробовал? отзывы

[MiksIr]

Если Вам UDP не нужен, то можем его просто отрезать (целиком, или отдельные порты), чтобы он Вас не беспокоил. По умолчанию, у нас висят фильтры от NTP и DNS Amplification. Можем повесить еще какие либо по запросу. Полную защиту с анализом пакетов на L7, пока не предлагаем.

Ну т.е. если пойдет tcp на 80 - только блекхолить, понял. В общем иного не ожидал, так, на всякий случай, вдруг у вас какие партнеры есть. Cloudflare всем хорош в этом плане, если бы не проблемы постоянные с российскими блеклистами =(

 

[MiksIr]

Браузер тут непричем. Проблема в том, что если в пароле решетка, т.е. например https://billing.ihor.ru/manager/billmgr?func=auth&username=xxxxx&password=aaaaa#&checkcookie=no&welcomfunc=&welcomparam= - браузер передает на сервер только https://billing.ihor.ru/manager/billmgr?func=auth&username=xxxxx&password=aaaaa
Ибо # - это якорь. И его нужно кодировать как %23 или просто воспользоваться urlencode

Но лучше все же переделать на POST. Это реально сделать направив форму авторизации с сайта праямо на билинг, и сохранив проверку пароля на сайте через ajax.

 

[Ivan Lungov]

Браузер тут непричем. Проблема в том, что если в пароле решетка, т.е. например https://billing.ihor.ru/manager/bil...aaaa#&checkcookie=no&welcomfunc=&welcomparam= - браузер передает на сервер только https://billing.ihor.ru/manager/billmgr?func=auth&username=xxxxx&password=aaaaa
Ибо # - это якорь. И его нужно кодировать как %23 или просто воспользоваться urlencode

Только что, лично попробовал использовать в своем пароле символы #?%@&, авторизовался без проблем.
Авторизация переведена на одноразовые ключи, также, как это делается при авторизации через соцсети. Теперь, пароль вообще нигде не передается.

 

[Ivan Lungov]

Ну т.е. если пойдет tcp на 80 - только блекхолить, понял. В общем иного не ожидал, так, на всякий случай, вдруг у вас какие партнеры есть. Cloudflare всем хорош в этом плане, если бы не проблемы постоянные с российскими блеклистами =(

Блекхолим только, если будет мешать, работе соседей по серверу. Некоторые, распространенные атаки по TCP, у нас также закрыты на входе в сеть. Обычно, если идет Synflood, то редко, когда трафик бывает большим, и такой можно заблокировать на самом VDS с помощью iptables.

 

[MiksIr]

Только что, лично попробовал использовать в своем пароле символы #?%@&, авторизовался без проблем.
Авторизация переведена на одноразовые ключи

Видимо потому, что переведена на ключи С ключем вменяемый вариант.

Осталось в этой панели найти консоль... где консоль?

Аф, нашел. До этого почему-то панель не коннектилась.

 

[Ivan Lungov]

Передача параметров через адресную строку назвается GET. Так что из формы сайта в биллинг вы перекидываете через GET. https, конечно, спасает. От снифинга. А от пароля в хистори браузера - не очень.

Утверждение, что этот запрос в history попадает - неверно. Редиректные ссылки, обычно не сохраняются в хистори браузеров. Может, конечно и есть какие либо особенные, но пока не встречали.

Но лучше все же переделать на POST. Это реально сделать направив форму авторизации с сайта праямо на билинг, и сохранив проверку пароля на сайте через ajax.

Вообще-то, мы наоборот ушли от этого.

 

[Ivan Lungov]

Аф, нашел. До этого почему-то панель не коннектилась.

Панель коннектится только после активации заказа. Увы, пока так. Не наша разработка.

 

[MiksIr]

Утверждение, что этот запрос в history попадает - неверно. Редиректные ссылки, обычно не сохраняются в хистори браузеров. Может, конечно и есть какие либо особенные, но пока не встречали.

Возможно. У меня была не редиректная, как помните. И кто знает, какие еще ошибки могли бы случиться с логином в билинг на стадии редиректа.

Вообще-то, мы наоборот ушли от этого.

Ушли, полагаю, ибо неверный пароль рисовал некрасивую форму билинга? По-этому и сказал про предварительную проверку аяксом. Но в общем через токены тоже гуд.

Панель коннектится только после активации заказа. Увы, пока так. Не наша разработка.

Активация была еще днем. Тыкал - был долгий коннект и потом какая-то ошибка, типа "не могу подключится". Но через минут 10 все заработало.

 

[Ivan Lungov]

А, пардон, там ребята одного мощного клиента мигрируют из старого кластера в новый, и им позарез надо было перезапустить панель VMmanager-а на новом, вероятно, Вы попали в момент перезапуска. Больше 20 виртуалок топовых тарифов надо перетянуть разом.

 

[Ivan Lungov]

Ввели в работу новый хостинговый сервер под управлением cPanel.
Теперь, как тут и просили, в вашем распоряжении следующий софт:
БД: MariaDB 10.0.20 (c полнотекстным поиском в innodb, как и просили здесь)
PHP: 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, а также, 7.0!

Обновленная cPanel, одно из основных нововведений - клиентам стало доступно управление резервными копиями.
Можно:
Скачивать автоматически созданные резервные копии.
Закачивать и восстанавливать, как полностью так и частично (только сайт или почта или БД).
Также, в наличии CloudLinux, с технологией CernelCare, которая позволяет применять все критические обновления ядра системы на лету, без необходимости перезагрузки сервера.
Все это значительно повысит аптайм и безопасность сервера.
И конечно же - SSD.

Но и это еще не все!
На всех тарифах был увеличен максимальный объем доступного скриптам ОЗУ:
ЭКОНОМ - 512 МБайт
БИЗНЕС - 1024 Мбайт
ЭКСПЕРТ - 1536 Мбайт

Цены остались без изменений!
ЭКОНОМ - 60 руб./мес - 600 руб./год
БИЗНЕС - 100 руб./мес - 1000 руб./год
ЭКСПЕРТ - 150 руб./мес - 1500 руб./год

 

[fixxxer]

В форме логина (!) XSS

Иван, введите "><script>alert("XSS")</script> в поле логина. В фаерфоксе лучше - в хроме и ИЕ защита от xss окошка не покажет. Это вовсе не так безобидно, как кажется - в комбинации с CSRF (защиты от которого тоже не вижу) так можно воровать куки клиентов.

Учитывая, что я вижу куку laravel_session - это как же надо было умудриться.

 

[AnrDaemon]

введите "><script>alert("XSS")</script> в поле логина

Я всегда удивлялся, как такое ВООБЩЕ возможно?… Т.е. в принципе?

 

[fixxxer]

Ну как-как, как будто ты не знаешь как.

Я как-то давным-давно на одном говнохостинге дошел до рутового доступа, притом что там вообще из доступного снаружи была чистая псевдостатика - SQL injection был прямо на request uri (обнаружил совершенно случайно, промазав мимо ентера по '), пароли от админки (прикрытой по списку IP, хаха) был в plain text и совпадал с паролями на ssh, причем на все сервера =)

 

[grigori]

Я лишь, обратил Ваше внимание, на Вашу неосведомленность относительно размещенной на нас ссылки, а не на политику партии.

это уже наезд с вашей стороны, буду пресекать: например, начну с демонстрации вашей некомпетентности, а когда вы поднимите ставки и перейдете на личности - закрою тему за нарушение правил

По вашим словам о Робокассе можно сделать вывод о том, что вы - неопытный новичок. Воздержусь от эпитетов

Робокасса работает как минимум неудобно.

Есть платежи, по которым уведомления просто дублируются, есть такие, по которым уведомления приходят через неделю-две, а есть те, которые надо проверять самостоятельно через API.
Когда пользователь отменяет платеж, мерчанту приходит уведомление об отмене. Однако, если пользователь выбирает другое средство платежа (карточку вместо webmoney) - приходит уведомление о платеже с ID отмененной транзакции. Понять отменена транзакция или нет - невозможно.
Это очень сложно автоматизировать. Платежи зависают.
Комиссия по транзакции зависит от способа платежа, и доходит до 50%. Через терминалы платеж может идти неделями.
Робокасса не позволяет отключить ненужные способы, и заставляет в телефонном режиме разруливать вопросы клиентов "где мои деньги?".
Это ждет ваших клиентов, обвинять будут вас, и тем ближе вы к имиджу говнохостинга.

 

[Absinthe]

Но при передаче параметров в GET junior-ы никогда не используют urlencode.

Ты несправедлив к джуниорам.

 

[c0dex]

@grigori, зря ты так, это на мой взгляд первый адекватный хостер, который реально работает над ошибками)

 

[grigori]

@c0dex, может быть, на фоне очень плохих они и получше, но я привык к хорошим.
Не могу представить, чтобы представитель линоды написал фразу "Я обратил Ваше внимание, на Вашу неосведомленность" - с ошибками, с ЧСВ, с непонятной отсылкой на Сашу, будто его здесь нет.

Я объясняю, обосновываю и предупреждаю.

 

[c0dex]

@grigori, да спокойней, ведь отвечающий один, а нас нападающих - много, делай скидку Правда же работают парни, а линодцы просто думаю проигнорили бы. У меня к ним как-то не особое отношение. Саппорт там не золотой.

 

[grigori]

давай сверим систему координат
1. они не open source делают, это бизнес ради денег, это его работа
2. ничего полезного для общества они не делают - они продвигают свой платный сервис
3. наши отзывы им нужны для получения конкурентного преимущества
4. никаких купонов, как на DO, бонусов, etc для клуба нет

я отношусь к ним никак, на проявление ЧСВ реагирую немного агрессивно, с обоснованием, как к любым агрессивным новичкам.
уточни пожалуйста, за что именно стоит "делать скидку"?

 

[c0dex]

@grigori, ну хотя бы за то, что они фиксят как он говорит те "дырки", что народ тут нашел, с редиректом пароля и т.д. И вполне адекватно отвечают.
Они же не так давно запустились? Этап набора клиентов и отработки бизнес-процессов одна из самых геморных частей расширения. А ребятам я бы мог сделать встречное предложение - отписать Саше и захостить клуб нахаляву на ххх дней-месяцев, чтобы протестить их