Журнал PC Magazine/RE №11/2009

действительно обеспечивает защиту от самых разнообразных атак.

Любой сколько-нибудь крупный сайт почти непрерывно подвергается нападениям. Это не обязательно злоумышленники-люди, куда больше проблем создают всевозможные «троянские» программы и инструменты автоматического поиска известных «дыр» в программном обеспечении, атаки типа XSS («межсайтовый скриптинг»), поиск путей, по которым в UNIX-системах размещены файлы паролей, попытки SQL-инъекций и т. д. Всевозможная сетевая «живность» пробует сайт «на зуб» тем активнее, чем популярнее ресурс.

Традиционный способ защиты – постоянное обновление ПО, а также ручной мониторинг журналов доступа, с тем, чтобы в предельно короткие сроки заблокировать подобную деятельность. В 99% случаев процедура ответной реакции предполагает вполне фиксированный набор действий: запрет доступа с IP- адреса, откуда ведется атака, реже – коррекция данных, передаваемых в сеансе связи. Работа нудная, рутинная и неплохо поддающаяся автоматизации. Что, собственно, и сделали разработчики «1С- Битрикс».

Модуль «Проактивная защита» включается в обработку обращения на сайт в самом начале процедуры генерации страницы. Анализируется содержимое полей HTTP-запроса, подсистема «узнает в лицо» (руководствуясь набором специальных правил) SQL-инъекции, атаки типа XSS, PHP Including, подделки путей и ряд других.

В случае вторжения вызывается заданная администратором процедура ответной реакции, например, сброс соединения или вставка пробелов в потенциально опасные теги (скажем, тег <script> превращается в <scri pt> – в таком виде он безопасен).

Возможно, особо изощренного хакера проактивная защита и не остановит, но определенно осложнит ему жизнь. Зато стаи малолетних «кулхацкеров» блокируются вполне эффективно. Что более важно – со временем такая санация позволяет уменьшить число атак. Например, сразу после запуска модуля «Проактивная защита» в эксплуатацию на www.pcmag.ru за сутки блокировалось около 3 тыс. злонамеренных запросов. Спустя три месяца среднесуточное число атак снизилось до 200–300 (в основном благодаря динамической блокировке особо злостных роботов, а также автоматизированному пополнению БД хакерских IP-адресов). Незначительное число ложных срабатываний, как выяснилось впоследствии, было связано с некорректными настройками.

Сразу после запуска модуля «Проактивная защита» в эксплуатацию на www.pcmag.ru за сутки блокировалось около 3 тыс. злонамеренных запросов.

Побочный, но полезный эффект – снижение риска проникновения спама. Роботы, транслирующие в блоги и форумы рекламу виагры, порносайтов и прочей пакости, как правило, склонны злоупотреблять, вводя в свои сообщения огромное количество ссылок, характерных конструкций, даже HTML-кода. Специальной процедуры защиты от спама нет, но ее вполне заменяет подсистема защиты от атак типа внедрение PHP или «межсайтовый скриптинг» (XSS). Система закономерно рассматривает наличие в тексте запрещенных HTML-тегов как признак угрозы и реагирует соответственно.

Модуль «Проактивная защита» обеспечивает выявление типичных Web-атак и базовую защиту от них

Модуль «Монитор производительности» позволяет получить детальный анализ быстродействия основных подсистем CMS и сайта в целом

Кроме того, в модуле проактивной защиты реализован набор дополнительных инструментов: защита авторизованных сессий (с хранением сессий в базе данных и регулярной сменой идентификатора, а также привязкой к IP), контроль активности пользователей, инструментарий для защиты административных разделов, даже возможность авторизации с использованием генераторов одноразовых паролей (One Time Password, OTP, реализован на базе электронных ключей Aladdin eToken PASS). Такой пароль действует только в течение одного сеанса связи, а значит, пользователь может не беспокоиться о том, что пароль будет подсмотрен или перехвачен.

Второй модуль – «Монитор производительности». Этот инструмент, не менее полезный, чем «Проактивная защита», предназначается не для специалиста по безопасности, а для разработчика и администратора. «1С-Битрикс: Управление сайтом 8.0» в процессе подготовки информации для отправки ее в браузер посетителя генерирует довольно много статистики. Обычно она не видна посетителю, а администратору была доступна для каждой отдельной Web-страницы. Теперь она собрана воедино с одновременным увеличением спектра статистических данных. В работе подсистема предельно проста: достаточно включить модуль в административном интерфейсе, запустив процедуру сбора информации. При этом время сбора статистики контролируется автоматически, по завершении сеанса режим мониторинга отключается.

Подсистема предоставляет довольно много отчетов: о загруженных страницах с группировкой по адресам и без таковой, обращениях к серверу БД, расходе памяти. Предоставляется также отладочная информация PHP и ряд других данных. Эти отчеты позволяют косвенно судить о качестве исполнения Web- сайта: понятно, что чем меньше, например, расход памяти, тем лучше. (Кстати, в ходе сравнения отчетов, полученных на разных сайтах, было замечено, что применение технологии «Компоненты 2.0» в «1С-Битрикс: Управление сайтом 8.0» хотя и считается «наилучшей практикой» разработки, но сопряжено с бОльшим расходом ОЗУ, нежели у «Компонентов 1.0»).

Самое интересное – возможность рассчитать сводный индекс производительности (идея примерно та же, что и Windows Vista с ее Windows Perfomance Index). Оценка формируется довольно замысловатым образом, но это не очень важно – важно, что она единая. Одинаковая для всех. Как известно, на «1С- Битрикс» часто ссылались недобросовестные разработчики или поставщики услуг Интернета, мол, если сайт тормозит, «чего же вы хотели, это же Битрикс». Раньше клиенту только оставалось смириться, теперь можно посмотреть и однозначно установить, чьи недоработки стали причиной снижения быстродействия.

Получить всю эту информацию можно было бы и с помощью других инструментов профилировки, но делать это, пользуясь «родным» для системы инструментарием, несравненно удобнее. И что особенно важно – на основании собранных данных можно не только делать выводы о текущей загрузке серверных мощностей, но и намечать пути оптимизации и улучшения сайта.

Corel Home Office: компактная замена Microsoft Office

Эдвард Менделсон

Corel Home Office – рабочий аналог Microsoft Office для владельцев нетбуков и домашних пользователей

Corel Home Office

В США цена при прямых поставках: 69,99 долл.

Corel Corporation, www.corel.ru

Оценка: приемлемо

Достоинства. Программы в составе пакета выглядят и функционируют, как их аналоги в Microsoft Office; их можно настроить на использование форматов Microsoft Office по умолчанию. Пользователь имеет возможность выбора между традиционным интерфейсом (с меню и панелью инструментов) и современным интерфейсом-лентой.

Недостатки. Слишком много ошибок. По умолчанию используется особый формат файлов (к счастью, его можно заменить при настройке). Серьезные ошибки в сложных файлах, импортируемых из Microsoft Office и сохраняемых в форматах этого пакета.

Технические требования:

Версии: Professional

Совместимость с ОС: Windows Vista, Windows XP

Техническая поддержка: консультации по электронной почте

Мир нуждается в прикладном комплексе, который был бы похож на Microsoft Office внешним видом и функциональными возможностями, но меньше стоил и более подходил для маломощных нетбуков, работающих под управлением Windows. При этом он должен быть не столь медлителен и неуклюж, как бесплатный OpenOffice.org. Комплекс Corel Home Office (в США цена при прямых поставках 69,99 долл.) выглядит превосходно, совместим с большинством файлов Microsoft Office, а пользователи могут выбирать между традиционным и ленточным интерфейсом. Потребители с нетерпением ждут выпуска столь нужной им облегченной недорогой замены Office, и это событие неустанно приближается благодаря частым