egorinsk

> Тут назревает ещё один вопрос — как просматривать русскоязычный lj c зарубежным ip?

www.livejournal.com/?rating=cyr

Также, возможно есть какие-то настроки в аккаунте, но тут я не в курсе.

Пакеты вполне могут теряться на стороне ЖЖ, может на вашем IP какой-нибудь спамер сидит.

Переконвертировать файл в mp3 на сервере (хотя в новых браузерах можно и на клиенте, но медленно). Ваш вариант не факт, что будет везде работать, зависит от кодеков и ОС.

Регистрация в телевизоре смахивает на маразм. В нем должен быть уникальный хардверный идентификатор.

> Сниффер корпоративный

Желаю вам благополучно провалиться с этой бессмысленной затеей.

Составьте ручками. Компаний же не так много?

Прежде чем обвинять Хром в «неправильном» поведении, стоит посмотреть в RFC, а как должны себя вести браузеры в такой ситуации:

www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.3.2

> Note: When automatically redirecting a POST request after receiving a 301 status code, some existing HTTP/1.0 user agents will erroneously change it into a GET request.

Полчуается, такое поведение соответствует стандарту HTTP. Неудивительно, ведь Хром разрабатывают (в отличие от конкурирующих браузеров) лучшие в мире программисты.

Плюс: скорость, простота и дешевизна разработки, легко найти исполнителей

Минус: низкая производительность, тормоза, дерганья, высокое потребление памяти (первый айфон может не потянуть) и нельзя использовать все возможности платформы, например, графический ускоритель.

А вы не делайте ничего такого, за что вам потом будет стыдно, и проблема исчезнет сама собой.

Подуймайте над такими вариантами получения вашего пароля:

1) Ваш пароль теоретически могли сфишить, например, когда вы с какого-нибудь айфона сидели через вайфай.
2) Или вы ввели свой пароль на фальшивой якобы гуглостранице, например, размещенной на sites.google.com (вызывающий доверие домен).
3) Или все же троян, который, например, прятался в пиратской программе. скачанной с торрента.
4) Или злое расширение браузера, ворующее пароли и куки.
5) Или какое-нибудь андроид-приложение, которому вы дали доступ к гуглоаккаунту.
6) Или вы используете Java/Adobe Acrobat (но зачем???) и ходите по интернету с этими бекдорами, широко распахивающими уже лет десять двери всем хакерам мира.
7) Фальшывй DNS, который переадресовывал запросы к gmail на другой домен.

А двойная авторизация — это же хорошо, при попытке зайти с другого IP сразу у Гугла включается паранойя.

Антивирус помогает только от старых троянов. Сейчас даже школьники-ботоводы проверяют свои связки эксплойтов на необнаруживаемость антивирусами прежде чем запускать их в сеть, и у них есть несколько дней, прежде чем те попадут в руки вирусных аналитиков. По этой причине надеяться на антивирус довольно-таки глупо.

На русском хороших материалов, увы, мало. Вот что надо изучить для веб-разработки:

— HTML, CSS, верстка, позиционирование и флоаты есть тут: htmlbook.ru/ softwaremaniacs.org/blog/category/primer/ chikuyonok.ru/
— Круглые кголки. тени, градиенты, трансформации и анимации CSS3
— Нарезка дизайна, основы фотошоп
— Основы дизайна и типографики
— Javascript: learn.javascript.ru/
— DOM интерфейсы: не знаю где, наверно в MDN (Mozilla Developer Network) можно почитать
— Таблицы совместимости браузеров: www.quirksmode.org/compatibility.html caniuse.com/
— Изучить какой-нибудь серверный ЯП
— Изучить базы данных: MySQL или Postgres или еще какую-то
— NoSQL: Mongo, Memcache
— Изучить ООП и MVC
— Паттерны разработки корпоративных приложений (есть книга от Мартина Фаулера)
— Особенности хайлоад приложений

Кто-то вам скажет, что все это необязательно изучать, что можно взять jQuery и Bootstrap, или поставить вордпресс с готовыми темами, в интернете полно примеров и статей, не слушайте его — с таким подходом вы научитесь лишь копировать увиденный где-то код и устанавливать плагины, а сами создать ничего не сможете. Все эти туториалы годятся только для воспитания обезянок, делающих потом сайты за еду на Друпале с украденным дизайном.

Если вы знаете английский, все гораздо лучше. Вот статья с Хабра с кучей туториалов: habrahabr.ru/post/156241/

А, еще прочтите в перерыве книгу от 37 signals, забыл как она называется, она маленькая, но дико умная.

Настроить на целевой машине фаерволл, от имени администратора. Обычный пользователь не сможет изменить его настройки.

А маркировка пакетвов — ненадежно, как вы можете гарантировать, что пользователь сам не промаркирует свой пакет? Да и возможно ли это вообще?

С этим беда, все плохо, всюду люди пишут что-то свое, например, на основе Selenium. Если у вас много пользователей, вам проще наладить обратную связь и мониторинг ошибок, пусть они бесплатно вам все тестируют и сообщают о проблемах.

Хочу дополнить, что даже если вы легально выкачаете, к примеру, не защищенный исходный код чужого сайта, вы не получаете авторских прав на него, и не можете его распространять (но можете распространять ссылку). Мне так кажется.

Бросайте яву. На PHP парсер пишется в 10 строк: curl_init(), curl_exec(), preg_match_all(), mysql_connect(), mysql_select_db(), mysql_query(). Параметры функций подставьте сами, исходя из условий вашей задачи.

Повторяю способы защиты, выбирайте любой, который нравится:

Начнем со случая, когад у вас маленький (меньше 100 тыс юников в день/1 млн зарегистрированных юзеров) сайт.

1) Сделать невидимое поле с именем email. 98% ботов-дебилов его заполнят, дальше вы понимаете, что с ними делать и куда вносить их IP. Чтобы не палиться, не пишите style=display:none, а скройте его чуть хитрее.

Этот способ у меня отсеивает практически всех ботов на одном сайте. Правда, там боты, не заточенные под сайт, а просто, которые ходят и заполняют все формы подряд своей рекламой. Типа Хрумера наверно.

2) Заполняемое яваскриптом поле типа hidden. Куча ботов не выполняют яваскрипт. Куки, кстати, наоборот, большинство ботов исправно присылают. Реферер и юзер-агент тоже обычно у них правильный.

3) Более радикальный подход — убрать кнопку submit, заменив ее на div, который по событию onclick собирает значения полей формы и отправляет их аяксом. Аттрибут action тега form сделать указывающим на скрипт-ловушку. Если бот не написан специально под ваш сайт, он тупо не сможет отправить такую форму.

Ок, допустим, вам не повезло, и ваш сайт с миллионами пользователей атакуют спамеры специально написанными скриптами. Что мы можем вам предложить?

4) Добавлять вычисляемые/расшифровываемые яваскриптом поля. Внезапная смена алгоритма шифрования в 2 часа ночи скорее всего сдаст тех ботов, которые смогли через нее пробиться, но не успели переписать алгоритм.

5) Проверять поддержку клиентом Flash (загружать флешку и через нее подписывать форму кодом).

6) Проверять соответствие User-Agent и уровня поддержки технологий HTML5/CSS3 (например, определенные версии браузеров не поддерживают border-radius, другие поддерживают, и тд.)

Более серьезные возможности дают методы статистического анализа. Например, можно вычленять из сообщений несловарные слова (это будут ссылки например) и анализировать источники их отправки. Например, если 1000 пользователей начинает за час отправлять по 100 сообщений не-друзьям с одним и тем же словом super-shop — это явный признак спам-рассылки. Для таких систем надо собирать статистику и писать белые/черные правила, вводить негласные лимиты подозрительных действий, в общем. серьезная работа.

Можно, как вконтакте, привязывать аккаунты к телефонам. это работает.

Еще немного рассуждений на эту тему тут: habrahabr.ru/qa/16920/#answer_70019

А использование капчи в формах говорит о лени/низкой квалификации/урезанном бюджете или непрофессионализме и причиняет неудобства пользователям.

C чего вы взяли, что проседает именно сеть? Попробуйте параллельно со стресс-тестом (на полную) пинговать сервер. Если под нагрузкой пинги идут стабильно, значит с сетью все в порядке. А апач может иметь 100 причин, почему он тормозит.

Посомтрите вывод top под нагрузкой для начала, сколько времени сидит в ядре, какие процессы вверху, как используется свап.