• Стоил ли экранировать вывод Contact Form 7?

    @Refguser
    Решения для бизнеса: от создания ИМ до...
    ведь это насколько я понимаю потенциальная уязвимость, если злоумышленнику удастся попасть в админку сайта?

    Каким образом вывод формы позволит попасть в админку?

    А сам код всех плагинов из оф каталога проверяется на безопасность. Т.е. CF7 настолько же опасен, как и любой другой плагин.

    Так что нет, не стоит заниматься фигнёй.
    Ответ написан
    4 комментария
  • Как осуществить поиск элементов на карте в заданом радиусе?

    larisamoroz
    @larisamoroz
    Курю маны, втыкаю в код, ваяю, починяю.
    Псмотрите здесь: https://tech.yandex.ru/maps/jsbox/2.1/placemarks_i... — фактически готовый код
    Ответ написан
    2 комментария
  • Можно сделать так чтобы расширение chrome отправляло ссылку не в тг бот, а в конкретный чат?

    @maksam07
    Реализовать точно так же, как и сейчас реализовано, только отправлять в другой чат.
    Вот ваш переписанный код:
    ...
    ах, ну да, его же нет, вот беда.
    Ответ написан
    3 комментария
  • Как уберечь аккаунт от бана несовершеннолетнему на Апворк?

    ZERGE
    @ZERGE
    Никак. Правила есть правила.
    Ответ написан
    Комментировать
  • Что может отслеживать конкретный сайт и как с этим бороться?

    @rPman
    Косвенная информация о месторасположении
    - по ip адресу клиента и по времени ответа можно выявить наличие vpn и даже расстояние от клиента до выходной ноды vpn
    - наличие прокси, с теми же возможностями, а если прокси внезапно на том же адресе что и выходной ip и анонимна, то анализ может быть более подробный

    Атака на сеть
    - можно анализировать локальную сеть запросами, подбирая ip адреса и типовые порты можно обнаружить наличие роутера и даже его тип (cors не дает читать содержимое https->http но есть информация о заголовках и самом факте верного ответа), помимо роутера программисты часто в десктопных приложениях поднимают веб сервер (особо криворукие - без авторизации), это можно обнаружить и при наличии ошибок даже на него повлиять (повторяю, пользователь заходит на веб сайт, и его локальная сеть может быть просканирована, уязвимые приложения найдены и атакованы... я наблюдал как сбер онлайн делал такое сканирование, делая запросы к localhost по разным портам), примером таких приложений могут быть remote control медиа плееров.
    - XSS/CSRF. открывая уязвимые веб приложения в прозрачном iframe можно двигать его под мышь пользователя таким образом, чтобы пользователь не ведая того, кликак в этом приложении в нужных местах (уязвимое приложение будет открыто с авторизацией пользователя, это оправдано и такие еще встречаются), доступа к данным не будет но действия пользователя пройдут.
    - можно просто ddos-ить какой-либо сайт запросами, которые будут идти от пользователя но referer так подделать нельзя, т.е. будет видно кто виновник (понятно что в iframe можно открыть заранее сгенерированные мусорные домены)
    Помню в одном веб приложении была ошибка, оно не проверяло результат и случайно ddos-ило гугловский сервис, который в результате отказывал в обслуживании пользователю вне этого веб приложения.
    - используя webrtc можно даже вылезти в локальную сеть (найти соседний браузер без proxy/vpn если там тоже открыта страница сервера)
    Было время, когда при использовании java applet/flash/silverlight и прочих нативных аддонов, можно было еще сильнее вылезать из браузерной песочницы и вытворять в сети пользователя лютую дичь.
    - есть какие то направления в атаке через уведомления (если ты подписываешься на них на сайте, всплывающее окошко с ним открывается в ином контексте безопасности чем оригинальная страница), я не изучал но наверняка тут тоже можно что то вытянуть

    Типовая информация о железе
    - характеристики монитора (разрешение, масштабирование, глубина цвета - хотя все уже 32бит но слабые железки могут быть все еще 16битными)
    Из размера окна можно вытянуть информацию об операционной системе, нестандартном оборудовании и установленных темах, меняющих его размер
    - производительность cpu и gpu замеряя их бенмчмарками
    можно вычислять размер кеша и от сюда косвенно получать информацию о модели процессора и даже о вендоре intel/amd/... arm
    - почти полную информацию о gpu и даже попытку скрыть ее за виртуальной машиной
    - через тайминги и сетевой бенчмарк можно собрать информацию о скорости сети (ethernet или wifi)
    - через storage api можно собрать бенчмарки по скорости жесткого диска, как минимум можно понять hdd или ssd
    - инструмент ввода мышь/тачпад, даже если ты на планшетнике запускаешь мобильный браузер в режиме и в режиме PC, по тому как работает пользователь с тачпадом можно вытянуть информацию (отсутствие mousemove там где оно должно быть)

    Атака на железо
    - до сих пор я вижу сообщения о закрываемых уязвимостях доступа к gpu ram при использовании особенностей gpu, доступные в т.ч. из браузера, т.е. буквально вытаскивают изображение экрана и содержимое окон соседних приложений... это не просто, не гарантированно но при наличии желания и ресурсов, адресные атаки возможны, не удивлюсь если так будут воровать веса приватных нейронок.
    - из производительности кеша процессора вытягивают информацию об оперативной памяти соседних процессов (уязвимости Meltdown/Spectre) но это еще сложнее

    Информацию о софте
    - класс браузера (firefox/chromium и при желании opera/edge/...) по поведению javascript и многим специфическим особенностям и само собой по заголовках запроса по useragent (это само собой подменяется)
    - наличие некоторых плагинов (по тому что они добавляют на странице, например api или специфические изменения)
    например блокировщики рекламы выявляются не сложно, правда лучше прикручивать автоматизацию на основе публикуемых правил

    Доступ к clipboard
    - clipboard api не дает доступа к буферу обмена, но при клике на страницу возможна его подмена, типовой пример - пользователь держит в буфере финансовую информацию (номер счета например) и кликая по 'сайту с инструкциями' может получить подмену содержимого буфера и вставить эту подмену как адрес для денежного перевода.

    Передача сообщений через звук
    - Веб приложения, на клик, могут включить воспроизведение звука на высоких частотах, не слышимых человеческим ухом (ультразвук или инфразвук), но который способно уловить соседнее устройство на котором уже запущено соответствующее приложение или веб с открытым доступом (например у тебя в фоне открыта страница, постоянно передающее звуковые сообщения, тут же ты голосом общаешься в публичном чате, владелец сайта может использовать это чтобы связать тебя в этом чате с открытой веб страницей)

    p.s. а сколько открывается дивных возможностей, когда веб сервис запрашивает доступ к чему то еще и пользователь его разрешает, типа камера, положение по gps, доступ к clipboard,..

    Как бороться - отдельное железо для чувствительных вещей, или наоборот, отдельное железо для развлечения и интернета. Всегда помнить об этом (та же атака через звук).
    Ответ написан
    2 комментария
  • Есть ли в фигме возможность узнать кто просматривал макет и сохранил его себе?

    @sneznyj
    Список всех, кто посмотрел макет, находится тут:
    sMAt82zKNKM.jpg

    Кто не авторизован, не будет отображаться

    sMAJ86ewssj.jpg
    Ответ написан
    Комментировать
  • Как вкатится во фриланс?

    AgentSmith
    @AgentSmith
    Это мой правильный ответ на твой вопрос
    Никак.
    Во-первых, надо выучить ТСЯ/ТЬСЯ
    А во-вторых, фриланс - это самостоятельность.
    С самостоятельностью у тебя большие проблемы.
    Иди на завод
    Ответ написан
    2 комментария
  • Мобильная разработка под iPhone в России жива? Перспективна?

    AgentSmith
    @AgentSmith
    Это мой правильный ответ на твой вопрос
    Теперь разработка под iOS в России невозможна.
    Это те риски, с которыми приходилось мириться, подсаживаясь на иглу Apple.
    И вот эти риски наступили.
    Ответ написан
    1 комментарий
  • Как это сверстать, очень сложный дизайн карточки?

    @olser
    Как помочь не знаю, но clip-path подходит для создания сложных фигур
    https://bennettfeely.com/clippy/
    Ответ написан
    1 комментарий
  • Как интегрировать Яндекс Диск?

    @alex1478
    Если у яндекса ещё работает доступ по WebDAV, то вот так: https://mycomp.su/obzory/podklyuchit-yandeks-disk-...
    Ответ написан
    3 комментария
  • Нижнее подчеркивание_ или - в url 2021?

    @galaxy
    Имхо, что в 2005, что в 2025, ответ один - пофиг
    Ответ написан
    Комментировать
  • Как реализовать функцию платной подписки на Wordpress?

    Kozack
    @Kozack Куратор тега WordPress
    Thinking about a11y
    1. Создаёте новую роль для пользователей. Например "Не оплачено".
    2. Открываете регистрацию с ролью "Не оплачено" по-умолчанию для новых пользователей.
    3. Вставляете ссылку на любую угодную вам систему оплаты.
    4. После оплаты, сервис платежей отправляет вам информацию об транзакции, а вы в ответ переводите целевого пользователя в роль "Подписчик".
    5. В теме закрываете доступ к контенту для всех кроме подписчиков.
    Ответ написан
    4 комментария
  • Формирование зарплаты у веб разработчиков?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Хороший вопрос!
    Я интересовался и получил ряд ответов от самих Заказчиков. Так, сказать, их мировозрение в этом плане.

    Со стороны Заказчиков:
    1. Раз ты работаешь на фрилансе - ты лох, потому, что не смог никуда устроиться.
    2. Если ты фрилансер - ты раб, который зарабатывает, чтобы не умереть с голоду. Поэтому, много тебе и платить не за чем.
    3. Нет гарантий для нас, что ты сделаешь всё на совесть. Мы не понимаем как сделать самим и, при этом, хотим хорошо сэкономить.
    4. (Про время) Мы оцениваем не сложность проекта и твоё умение и опыт, а время, которое никак не может быть дороже медианы фриланса по этому направлению.
    5. Нам нужно быстрее, т.к. это получается дешевле для нас, т.к. мы оцениваем время, а не сложность нашего проекта.
    6. Все фрилансеры низкоквалифицированные рабы.
    7. Каждый, кто мнит себя опытным и будет просить больше, будет сидеть без работы, т.к. высокая конкуренция и есть большой выбор исполнителей на рынке за копейки.
    8. Фриланс - это рабы IT сферы для нашего бизнеса.
    9. Мы всегда ищем тех, кого сможем обмануть в плане оплаты за работу и их почти 100%.
    10. Нам ничего не стоит сбросить сумму оплаты в любой момент сославшись на угрозу отрицательного отзыва.
    11. Мы не дорожим репутацией, в отличие от фрилансеров.
    12. Вы сами ничего не делаете: всё берёте с гитхаба уже готовое. За что вам платить?!

    (и ещё можно продолжать и продолжать...)

    И сразу возникает вопрос:
    Ждать ли роста дохода фрилансеров IT-сферы и когда?
    Ответ прост: когда все IT-шники поймут, что нужно ценить труд друг друга, что они не конкуренты друг другу, а единый целый "организм", который может сам за себя постоять и накормить вне зависимости от места работы и размера дохода.
    Итог: Не нужно работать и "ломать" глаза на тех, кто этого не понимает, а значит, и НЕ ЦЕНИТ!

    А пока разделяйте качество своих трудозатрат на "хлеб" и на "работу" и сразу озвучивайте 2 суммы заказчикам.
    Ответ написан
    10 комментариев
  • Как сделать, чтобы Contact Form 7 подставлял классы к незаполненным полям при валидации?

    SpiderPigAndCat
    @SpiderPigAndCat
    занимаюсь салообразованием
    он ставит wpcf7-not-valid
    Ответ написан
    Комментировать
  • Покритикуете верстку?

    Как человек с 12 летним опытом производства сайтов и эксперт по UI и лендингам могу сказать одно: забейте на трансформации и прочие ненужные эффекты...

    1. Примитивизируйте максимально
    2. Облегчайте
    3. Информация: четко, просто, как для 5-летнего

    И запомните - Ваш клиент в 80% заходов - это человек у которого медленный интернет в смартфоне, у него неуклюжие большие пальцы, маленький экран и смартфон старый и лагает... Если под такого посетителя сделаете чтобы "летало" и было разжевано - продаваться будет даже с хренового дизайна.
    Ответ написан
    Комментировать
  • Укрепить знания PHP велосипедом или через фреймфорк?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Если есть время (магазин Ваш или заказчику не к спеху), я бы посоветовал начать с самообучения построения архитектуры (без кода!).
    Потом - пробуйте её масштабировать, увидите свои "косяки" и будете снова править. И т.д. пока не поймёте логику.

    Всё это - без единой строчки кода!

    Потом, по каждому блоку - делаете также.
    И только потом, когда готова вся логика - пишите код!
    Ответ написан
    8 комментариев
  • Upwork: ИП или самозанятый?

    @Stalinko
    PHP'шник и фрилансер до мозга костей
    За самозанятых не скажу, но могу расписать про ИП.

    Большинство, как я понимаю, работает с “Модулем” и “Точкой”. Какой банк будет лучше в моем случае? Стоит ли смотреть в сторону “Тинькова”?

    Все три указанных банка нормально работают с Upwork.
    Стоимость обслуживания для вывода $1500 (~105000руб):

    1. Модуль тариф Оптимальный: 390 (стоимость месяца при оплате за год) + 19 (платёжка) + 300 (валютный контроль) + 10 евро (~770р) комиссия банка-корреспондента) = 1479р
    2. Точка тариф Ноль: 300р (валютный контроль) и больше никаких плат вроде как :)
    3. Точка тариф Начало: 700 (абонплата месяц) + 300р (ВК) = 1000р
    4. Тиньков тариф Простой: 490 (абонплата месяц) + 588 (ВК) = 1078р

    Читал, что обязательные страховые и пенсионные взносы для ИП можно вычесть из уплаченных налогов, если платить их раз в квартал. Так ли это?

    Верно. Только если выберете УСН 6%.
    Но для программистов много где доступен дешёвый патент, который может быть выгоднее УСН. Стоимость патента для своего региона проверьте здесь: https://patent.nalog.ru/ (вид деятельности искать по слову "ЭВМ"). Стоимость патента не уменьшает количество обязательных платежей!

    Во сколько обходится бухгалтерия для ИП? Наверное, оптимален вариант, когда за меня все заполнит специально обученный человек (или обычный смертный тоже разберется?).

    Есть сервисы Эльба и Моё Дело. Второй чуть посложнее и подороже. Эльба справляется на ура. Стоимость посмотрите сами.
    Также многие банки предлагают своих бухгалтеров. Но для работы с валютой это будет стоить дороже Эльбы.
    Разобраться самому - никаких проблем. Главное начать.
    Ответ написан
  • Планировщик задач для программистов и не только. Что порекомендуете?

    @loonny
    ТРУ Программисты пишут свой планировщик, который будет отвечать их нуждам) Это быстрее чем перебирать и искать подходящий. А вообще вам все же придется потратить время что бы найти подходящий. Так как функционал вас может и устроит, но вот UX будет не удобен.
    Я знаком с этими, может один из них приглянется и вам:
    • Trello
    • Asana
    • Basecamp
    • Podio
    • Teamwork
    • Insightly
    • Jira
    • Wrike
    • Dapulse
    • Proworkflow


    Гуглите на английском, вероятность найти то что надо повышается в разы
    Task Manager
    Task Manager for web-developer
    и тд.
    Ответ написан
  • Как защитить код?

    hottabxp
    @hottabxp Куратор тега Python
    Сначала мы жили бедно, а потом нас обокрали..
    Но как защитить сам код?
    - как вариант, переписать бота на C/C++.
    Упаковываем ботов правильно: файлы .ini и .pyz

    Я даже боюсь представить, что там за секретный код, судя по вашим предыдущим вопросам)):
    Как в telebot отправлять сообщение определенному пользователю?

    Как спарсить json ответ?

    Как добавить объект в список json?

    Как сделать кнопку с ссылкой в telebot python?
    Ответ написан
    Комментировать