Рейтинг
0.00

Beget Хостинг

5 читателей, 30 топиков

Блокировка PHP сессий


Технология сессии в PHP являются простым способом хранения информации для отдельно взятого пользователя сайта. Например: товары, добавленные в корзину магазина, настройки уведомлений и т.д. При первом запросе сайта к серверу, в браузере сохраняется в cookies уникальный идентификатор сессии пользователя. Затем идентификатор или связка идентификатора с IP адресом идентифицирует пользователя. Это может использоваться для сохранения состояния между запросами страниц. Идентификаторы сессий обычно отправляются браузеру через сессионный Cookie и используются для получения имеющихся данных сессии.

Сессии используют простую технологию: PHP будет либо получать данные существующей сессии, используя переданный идентификатор (обычно из сессионного cookie), или, если ничего не передавалось, будет создана новая сессия. PHP заполнит суперглобальную переменную $_SESSION сессионной информацией после того, как будет запущена сессия. Когда PHP завершает работу, он автоматически сериализует содержимое суперглобальной переменной $_SESSION и отправляет для сохранения, используя сессионный обработчик для записи сессии.

По умолчанию PHP использует внутренний обработчик files для сохранения сессий, который установлен в INI-переменной session.save_handler. Этот обработчик сохраняет данные на сервере в директории, указанной в конфигурационной директиве session.save_path.

Самый простой пример использования сессии, например, вывод количества обращений к странице для каждого пользователя:
<?php
 
session_start();
if (!isset($_SESSION['count'])) {
    $_SESSION['count'] = 0;
} else {
    $_SESSION['count']++;
}
 
echo $_SESSION['count'];


beget.com/ru/articles/redis_session

Хорошие новости от Координационного Центра

4 марта после прохождения технических испытаний приступил к работе аккредитованный регистратор российских доменов — ООО «Бегет» из Санкт-Петербурга.
Соглашение об аккредитации в доменах .RU и.РФ с ООО «Бегет» было подписано 21 октября 2016 года. Это четвертый аккредитованный регистратор российских доменов из Северной столицы. Всего на российском доменном рынке аккредитовано 45 регистраторов.
cctld.ru/ru/press_center/news/news_detail.php?ID=11403

Вознаграждение за найденные уязвимостей

С каждым годом наши продукты становятся более качественными и функциональными. Мы всегда уделяли большое внимание безопасности данных и информации, которую нам доверили пользователи. Примерно раз в полгода заказываем аудит наших систем у сторонних организаций — данное сотрудничество всегда положительно сказывалось на наших продуктах.

А сейчас мы запускаем программу поиска уязвимостей и багов за вознаграждения для всего интернет-сообщества.

Описание программы
Для участия в программе принимаются уязвимости/ошибки в работе панели управления хостингом cp.beget.com, а также любые способы получения данных, располагающихся на хостинговых серверах. Текущие цены за найденные уязвимости актуальны до 15 апреля 2017 года.

Выплаты и размеры наград
Вознаграждение выплачивается в том случае, если Вы первый, кто сообщил о данной уязвимости, если вы не использовали её для причинения вреда нашей инфраструктуре или пользователям и не публиковали данные об этой уязвимости. До 15 апреля 2017 года предусмотрен следующий уровень вознаграждения за найденные уязвимости:
Получение доступа с правами пользователя root на хостинговом сервере — 150 000 рублей.
Получение доступа с правами пользователя root на системном сервере (серверы, где непосредственно не располагаются данные пользователей) — 200 000 рублей.
Получение доступа к БД с системной информацией — 50 000 рублей.
За возможность навредить другому пользователю (кроме XSS) или получить доступ к его данным — от 1000 до 50 000 рублей. В данном случае подразумеваются способы причинить вред или получить доступ данным другого пользователя хостинга через панель управления хостингом или через другие аккаунты на сервере.

Но, безусловно, вы можете сообщать нам о любых других типах уязвимостей, и мы всегда найдём время рассмотреть их и способ отблагодарить вас.

Взаимодействие по найденным уязвимостям
Необходимо отправить отчет о найденной уязвимости по адресу bugbounty@beget.com или через тикет систему панели управления хостингом.

В отчете должно содержаться:
  • Подробное описание найденной уязвимости
  • Худший сценарий её использования (желательно)
  • Подробное и понятное описание шагов, необходимых для воспроизведения найденной уязвимости или рабочее подтверждение своей концепции

Срок рассмотрения уязвимости составляет 10 рабочих дней. В ходе оценки мы представляем себе наиболее худший сценарий эксплуатации уязвимости, и выплачиваем вознаграждение, исходя из этого.

Отличная новость для юридических лиц и ИП

Два месяца назад мы ввели систему электронного документооборота на базе системы СБИС. К концу года мы подготовили базу для автоматизации обмена первичными документами с юридическими лицами, существенно переработав раздел «Документы» в панели управления хостингом.
В обновленном разделе «Документы» теперь можно:
Самостоятельно заказать отправку необходимых документов (выбрать из списка). Документы будут отправлены в течение пяти рабочих дней заказной бандеролью с трек-номером, который будет отображаться во вкладке «История заказов».
Указать периодичность отправки первичных документов — месяц, квартал, год. При этом письма также будут отправляться заказной бандеролью с трек-номером для отслеживания отправлений.
Посмотреть статус документов, отправленных через ЭДО — отправлены, подписаны, отклонены. А также получить ID каждого документа.
Скачать электронные копии документов (с печатью и без) в формате PDF.
Стоимость одной отправки документов составляет 100 рублей вне зависимости от количества заказанных документов. Отказ от отправки обычных писем позволит минимизировать количество проблем, связанных с доставкой писем «Почтой России». Каждое письмо будет иметь свой трек-номер, и вы сможете отследить его местоположение и статус. Также существенно снизится время отправки оригиналов документов. После заказа из панели управления оригиналы документов будут высланы в течение пяти рабочих дней.

Не так давно, когда мы выкладывали функционал вечных резервных копий

Не так давно, когда мы выкладывали функционал вечных резервных копий, был написан очень интересный комментарий:


Мы рады представить функционал скачивания резервных копий по прямой ссылке. При выборе данных для выгрузки из бекапов предлагается на выбор скачать по прямой ссылке или выложить их на аккаунт. После формирования ссылки приходит письмо на почту и появляется запись в «истории заданий» в разделе " Резервное копирование".


Syncookied

Так или иначе любой провайдер сталкивается с проблемами DDOS атак на свои ресурсы. Когда в нашей компании BeGet.com встала задача прозрачной фильтрации трафика на конечные сервера, мы написали свое решение Syncookied, которое изначально предполагалось только для защиты от syn, ack, data flood, но потом переросло в достаточно большую и обширную систему по защите от разного типа атак. Данным решением мы бы хотели поделиться со всем сообществом, так как на текущий момент открытых аналогов ему мы не нашли (или мы о них не знаем).

Главная посыл описания состоит в:
Фактически 10 ядер процессора Intel Xeon E5-2680v3 могут обрабатывать до 10 гигабит трафика. Один физический сервер способен обрабатывать более 40 гигабит трафика.

Ссылка на статью:
beget.com/ru/articles/syncookied

Ссылка на исходный код:
github.com/LTD-Beget/syncookied