Проверка URL'ов, есть ли смысл?

[QUOTE=DVi;267861]Именно об этом и идет речь с самого начала топика. [/QUOTE]
Самое интересное, что с этим никто не спорит. :) Все прекрасно понимают несовершенство линк-чекера, все прекрасно понимают, для чего он нужен. Когда и как работает, а когда и как - не. Все знают, что сервис не стоИт на месте и развивается. Так нет же. Через полгода после самоугасания треда было решено подкинуть дров в огонь. :)
Виталий, чисто из любопытства: если бы Вы сразу получили детект, как показано в [url=http://virusinfo.info/showpost.php?p=267659&postcount=96]#96[/url], неужели бы Вы разместили бы в трех ветках форума скрины? Или искали бы другой недетектящийся Доктором сайт с троянским ифреймом? ;)

[QUOTE=borka;268021]Все знают, что сервис не стоИт на месте и развивается.[/QUOTE]
Как его ни развивай, он все равно будет проверять не те данные, которые скачивает пользователь.

[QUOTE=borka;268021]
Так нет же. Через полгода после самоугасания треда было решено подкинуть дров в огонь. :)
[/QUOTE]
На днях по средствам массовой информации была распространена [URL="http://info.drweb.com/show/3462/ru"]реклама [/URL]ООО "Доктор Веб". Эта реклама содержит недостоверную информацию о ненужности использования антивируса и о гарантии чистоты проверенной ссылки.

[QUOTE=borka;268021]Неужели бы Вы разместили бы в трех ветках форума скрины?[/QUOTE]
1. Я разместил скрин в [URL="http://virusinfo.info/showthread.php?t=26966"]новости[/URL], чтобы показать действительную ценность этой новости.
2. Я разместил скрин в этом топике, т.к. именно здесь обсуждается целесообразность этого сервиса.
3. Я разместил информацию о зараженном сайте в соответствующем топике закрытого раздела.
С рассылкой [URL="http://info.drweb.com/show/3462/ru"]новости[/URL] по новостным каналам это не сравнится.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

[QUOTE=borka;268021]Или искали бы другой недетектящийся Доктором сайт с троянским ифреймом? ;)[/QUOTE]
Вижу, что пример с проверкой адреса [url]http://info.drweb.com/show/3462/ru[/url] в англоязычном Файерфоксе Вас не убедил.

[quote=DVi;268035]Как его ни развивай, он все равно будет проверять не те данные, которые скачивает пользователь.[/quote]
Собственно говоря это и есть отправной пункт, говорящирй о полной бесполезности подобной службы (или даже о ее вреде - юзер получит вердикт "чисто" и поверит ему ). Я же показывал тест [URL]http://z-oleg.com/eicar.php[/URL] - он выдает EICAR всем, кроме WEB проверяльщика :) Желающие могут потестировать - именно так устроено подавляющее большинство всяких зараз. Мне то это точно известно - мои пауки держат на контроле порядка 610.000 сайтов в Рунете ...

[QUOTE=Зайцев Олег;268054]Я же показывал тест [URL]http://z-oleg.com/eicar.php[/URL] - он выдает EICAR всем, кроме WEB проверяльщика :)[/QUOTE]Мне не выдает.

[QUOTE=DVi;268035]Как его ни развивай, он все равно будет проверять не те данные, которые скачивает пользователь. [/QUOTE]
Смотря что проверять.

[QUOTE=DVi;268035]На днях по средствам массовой информации была распространена [URL="http://info.drweb.com/show/3462/ru"]реклама [/URL]ООО "Доктор Веб". Эта реклама содержит недостоверную информацию о ненужности использования антивируса и о гарантии чистоты проверенной ссылки. [/QUOTE]
Вы в очередной раз передергиваете. :) В новости ничего не говорилось о "ненужности использования антивируса", а о ненужности установки антивируса для работы этого сервиса. Это, на мой взгляд, не одно и то же.

[QUOTE=DVi;268035]С рассылкой [URL="http://info.drweb.com/show/3462/ru"]новости[/URL] по новостным каналам это не сравнится. [/QUOTE]
Это как сказать. :) Кого больше - тех, кто читает новости Доктора, или тех, кто читает форум ВирусИнфо? ;)

[QUOTE=DVi;268035]Вижу, что пример с проверкой адреса [url]http://info.drweb.com/show/3462/ru[/url] в англоязычном Файерфоксе Вас не убедил.[/QUOTE]
Там отдельная история со ссылками на сайте - запросил информацию у Суппорта. :(

[QUOTE=Зайцев Олег;268054]Собственно говоря это и есть отправной пункт, говорящирй о полной бесполезности подобной службы (или даже о ее вреде - юзер получит вердикт "чисто" и поверит ему ). Я же показывал тест [URL]http://z-oleg.com/eicar.php[/URL] - он выдает EICAR всем, кроме WEB проверяльщика :) Желающие могут потестировать - именно так устроено подавляющее большинство всяких зараз. [/QUOTE]
Я знаю одно - если проверяю ссылки anjelina-jolie-nude.avi.exe, то проверяется то, что потом скачивется. Советую посмотреть на приаттаченный файлик. :)

[QUOTE=Зайцев Олег;268054]Мне то это точно известно - мои пауки держат на контроле порядка 610.000 сайтов в Рунете ...[/QUOTE]
Ну, мы этим самым меряться не будем. :)

Ждём комментариев от Олега.

[QUOTE=borka;268069]Это как сказать. :) Кого больше - тех, кто читает новости Доктора, или тех, кто читает форум ВирусИнфо? ;)
[/QUOTE]
Тех, кто читает новостные сайты.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=borka;268075]Ну, мы этим самым меряться не будем. :)[/QUOTE]
10 минут назад он писал, что чист :)
Чувствуется, что аналитики DrWeb читают эту тему и оперативно вбивают черный список урлов :L

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=DVi;268078]Чувствуется, что аналитики DrWeb читают эту тему и оперативно вбивают черный список урлов[/QUOTE]
Беру свои слова обратно - черный список тут ни при чем. Просто в один из заходов линк-чеккер сделал это с незаблокированного IP.
А вот сейчас опять пишет "чисто" :L
[url=http://s58.radikal.ru/i159/0808/81/06e425963283.png][img]http://s58.radikal.ru/i159/0808/81/06e425963283t.jpg[/img][/url]

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=borka;268069]Там отдельная история со ссылками на сайте - запросил информацию у Суппорта. :([/QUOTE]
Борис, суппорт тут ни при чем. Вы просто не хотите понимать того, что по HTTP передаются файлы, сформированные веб-сервером динамически. Если однажды открыть некий URL, и через секунду открыть его же - на ваш компьютер упадут совершенно разные файлы. И эта динамика задается на веб-сервере, Вы никак не сможете предугадать, что за файл Вы получите в следующий раз.

[QUOTE=DVi;268078]10 минут назад он писал, что чист :) [/QUOTE]
А мне и полчаса назад говорил, что заражен. :)

[QUOTE=DVi;268078]А вот сейчас опять пишет чисто :L [/QUOTE]
Может, Вы проверять не умеете? :) Я не знаю, что такое "незаблокированный IP", но мне говорит, что ссылка заражена. :) Файл еще раз постить или поверите мне на слово? ;)

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

[QUOTE=DVi;268078]Борис, суппорт тут ни при чем. [/QUOTE]
Нет, Виталий, тут вопрос немного в другом - при выборе английской новости рандомно открывается последняя новость на русском. :( На это, кстати, обратил внимание коллега [b]1205[/b] в посте #106.

[QUOTE=DVi;268078]Вы просто не хотите понимать того, что по HTTP передаются файлы, сформированные веб-сервером динамически. Если однажды открыть некий URL, и через секунду открыть его же - на ваш компьютер упадут совершенно разные файлы. И эта динамика задается на веб-сервере, Вы никак не сможете предугадать, что за файл Вы получите в следующий раз.[/QUOTE]
Господи, ну никто ж с этим не спорит! :) Просто мне кажется, что Ваш тезис о полной бесполезности нужно немножко ослабить. ;)

[quote=Maxim;268077]Ждём комментариев от Олега.[/quote]
У меня нет динамического закрытия в демо примере (а в большинстве зараз - есть). Первый раз выдается зверь, потом бан IP скажем на неделю и выдача вместо зверя безобидного кода. У проверялки несколько IP, меняются видимо по времени, так как в течении 10-15 минут IP не менялся

[QUOTE=borka;268092]Файл еще раз постить или поверите мне на слово?[/QUOTE]
Лучше запустите проверку этого урла еще несколько раз в течение часа.

[QUOTE=DVi;268104]Лучше запустите проверку этого урла еще несколько раз в течение часа.[/QUOTE]
ОК. На часах 14:50:03 (на Вашем скриншоте). На моем - 15:40:57, детект есть...

[QUOTE=borka;268092]Господи, ну никто ж с этим не спорит! :) Просто мне кажется, что Ваш тезис о полной бесполезности нужно немножко ослабить. ;)[/QUOTE]
От того, что в некоторых случаях два файла (проверенный антивирусом и реально полученный юзером) совпадают, сама идея сервиса не становится менее бесполезной.
Новостные сайты, например, совершенно легитимно обновляются каждую минуту. А HTML-чаты - каждые 5 секунд. Нет никакого смысла в их проверке линк-чеккером.

[QUOTE=DVi;268110]От того, что в некоторых случаях два файла (проверенный антивирусом и реально полученный юзером) совпадают, сама идея сервиса не становится менее бесполезной. [/QUOTE]
Ну, это Ваша точка зрения. Предлагаю взять рабочую ссылку на кого-нить-там-нуде.avi.exe и мониторить ее линк-чекером в течение часа. :)

[QUOTE=DVi;268110]Новостные сайты, например, совершенно легитимно обновляются каждую минуту. А HTML-чаты - каждые 5 секунд. Нет никакого смысла в их проверке линк-чеккером.[/QUOTE]
Это как сказать. Если сайт взломан, и на сайте живет детектящийся ифрейм, то вряд ли при обновлении станиц он исчезнет. Поэтому при проверке он будет найден, а пользователь предупрежден. Вы достаточно внимательно следите за форумом Доктора, поэтому должны знать, что такие прецеденты были. :)

[QUOTE=Зайцев Олег;268100]У меня нет динамического закрытия в демо примере (а в большинстве зараз - есть).[/QUOTE]Вопрос в том, почему EICAR не выдается мне.

[QUOTE=Maxim;268126]Вопрос в том, почему EICAR не выдается мне.[/QUOTE]
Причин может быть много.
Что Вы видите на экране при открытии этого урла? Покажите скриншот.

@ [b]DVi[/b]:

Принимаю ваши аргументы к сведению, но ещё раз привожу как я сделал отзыв:
[quote]Поэтому для меня NoScript единственный приемлемый вариант он-лайн защиты, и я считаю, что в идеале хорошая антивирусная программа должна предоставить такой модуль [b]хотя бы на выбор юзера[/b].[/quote]
Можно сделать такой модуль в Expert Mode, например. Только профессионалы будут его всё равно оценить ПОЛНОСТЬЮ и по достоинству.
[quote]"DDOS саппорта".[/quote]
P.S.: Не разделаю ваши опасения, кстати - модуль будет из самых успешных новшеств для той компании, которая его как первая предоставит юзерам... Можно в нём тоже набрать список исключений главных доменов.
P.S.: Не знаю, насколько сама идея запатентированна - могут, конечно начинаться юридические перепалки...

Paul

[QUOTE=borka;268121]Если сайт взломан, и на сайте живет детектящийся ифрейм, то вряд ли при обновлении станиц он исчезнет. [/QUOTE]
Исчезнет - для линк-чеккера - если заразить не только статические файлы HTML, но и скрипты PHP. Что и демонстрирует пример Олега.

[QUOTE=DVi;268128]Что Вы видите на экране при открытии этого урла? Покажите скриншот.[/QUOTE]Пожалуйста. С двух браузеров. Обратите внимание, что просмотр исходного кода страницы не доступен.
[URL=http://img99.imageshack.us/my.php?image=capture15082008164458uv6.png][IMG]http://img99.imageshack.us/img99/8417/capture15082008164458uv6.th.png[/IMG][/URL] [URL=http://img99.imageshack.us/my.php?image=capture15082008164511wz8.png][IMG]http://img99.imageshack.us/img99/1963/capture15082008164511wz8.th.png[/IMG][/URL]

[QUOTE=p2u;268130]P.S.: Не разделаю ваши опасения, кстати - модуль будет из самых успешных новшеств для той компании, которая его как первая предоставит юзерам... Можно в нём тоже набрать список исключений главных доменов. [/QUOTE]
Это не Родительский ли контроль?

[QUOTE=Maxim;268139]Пожалуйста. С двух браузеров. Обратите внимание, что просмотр исходного кода страницы не доступен.
[URL=http://img99.imageshack.us/my.php?image=capture15082008164458uv6.png][IMG]http://img99.imageshack.us/img99/8417/capture15082008164458uv6.th.png[/IMG][/URL] [URL=http://img99.imageshack.us/my.php?image=capture15082008164511wz8.png][IMG]http://img99.imageshack.us/img99/1963/capture15082008164511wz8.th.png[/IMG][/URL][/QUOTE]
Там еикар отдается в виде бинарника. который браузер почему-то понимает как GIF :)
Cохраните этот файл на диск и откройте Блокнотом - увидите еикар.

[QUOTE=borka;268140]Это не Родительский ли контроль?[/QUOTE]
Нет. Родительский контроль следит за содержанием текста и картнинок - голые, не голые, грубый язык, не грубый. Это для того, чтобы защищать детей.

Я говорю о NoScript, который по умолчанию блокирует ВСЕ скрипты, причём разрешить можно в нём главному домену выполнить скрипт, и блокировать всех третьих сторон (откуда обычно угрозы и приходят).

Paul

[QUOTE=DVi;268136]Исчезнет - для линк-чеккера - если заразить не только статические файлы HTML, но и скрипты PHP. Что и демонстрирует пример Олега.[/QUOTE]
Если взламывается сайт, то там не до изысков. Как правило, у сайтов есть неизменяемая часть (шапка, подвал, боковые фреймы и т. д.). которые не меняются или меняются реже, чем основной контент. Кроме того, нередки случаи, когда Псюме-подобные скрипты прописывается после </html> и успешно выполняются браузерами.
Насчет php согласен, Эйкар на сайте Олега сейчас не детектится...

[QUOTE=Maxim;268139]Пожалуйста. С двух браузеров. Обратите внимание, что просмотр исходного кода страницы не доступен. [/QUOTE]
На эту страницу разрешите скрипты. Результаты такие же?

Paul

[quote=Maxim;268139]Пожалуйста. С двух браузеров. Обратите внимание, что просмотр исходного кода страницы не доступен.
[URL="http://img99.imageshack.us/my.php?image=capture15082008164458uv6.png"][IMG]http://img99.imageshack.us/img99/8417/capture15082008164458uv6.th.png[/IMG][/URL] [URL="http://img99.imageshack.us/my.php?image=capture15082008164511wz8.png"][IMG]http://img99.imageshack.us/img99/1963/capture15082008164511wz8.th.png[/IMG][/URL][/quote]
Это глюк - нужно сохранить как сделать ... я поправил тип контента, теперь как бинарник отдается

[QUOTE=p2u;268145]Я говорю о NoScript, который по умолчанию блокирует ВСЕ скрипты, причём разрешить можно в нём главному домену выполнить скрипт, и блокировать всех третьих сторон (откуда обычно угрозы и приходят). [/QUOTE]
Ага, ясно. :)

[QUOTE=Зайцев Олег;268148]Это глюк - нужно сохранить как сделать ... я поправил тип контента, теперь как бинарник отдается[/QUOTE]Понятно. Я ожидал увидеть EICAR в коде страницы.

[QUOTE=Зайцев Олег;268054] Собственно говоря это и есть отправной пункт, говорящирй о полной бесполезности подобной службы (или даже о ее вреде - юзер получит вердикт "чисто" и поверит ему ). Я же показывал тест [URL]http://z-oleg.com/eicar.php[/URL] - он выдает EICAR всем, кроме WEB проверяльщика :) Желающие могут потестировать - именно так устроено подавляющее большинство всяких зараз. Мне то это точно известно - мои пауки держат на контроле порядка 610.000 сайтов в Рунете ...[/QUOTE]
Возможно вам интересно, [b]Олег[/b]. Без защиты, в режиме админа, но с настроенным браузером Firefox получаю такую картину:

[URL=http://www.radikal.ru][IMG]http://s47.radikal.ru/i117/0808/0d/d543aad97b50.jpg[/IMG][/URL]

Другое, чем 'Save' Firefox даже не предлагает, так как у меня Windows просто НЕ ЗНАЕТ как открыть то или другое приложение или файл. Нажимаем 'Cancel' и всё... Сюрпризов не люблю... ;)

Paul

[QUOTE=p2u;268160]Возможно вам интересно, [b]Олег[/b]. Без защиты, в режиме админа, но с настроенным браузером Firefox получаю такую картину:
[/QUOTE]
Так и должно быть - внутри этого файла лежит еикар

[QUOTE=DVi;268165]Так и должно быть - внутри этого файла лежит еикар[/QUOTE]
Так должно быть с каждым файлом, который отдельно предлается в он-лайне, но 'для удобства' по умолчанию Windows или сам браузер хочет постоянно открывать файлы, которые предлагаются. Оттуда и наша беда... Так мы заражаемся он-лайне...

Paul

[QUOTE=p2u;268171]Так должно быть с каждым файлом, который отдельно предлается в он-лайне, но 'для удобства' по умолчанию Windows или сам браузер хочет постоянно открывать файлы, которые предлагаются. Оттуда и наша беда... Так мы заражаемся он-лайне...
[/QUOTE]
Пол, если Олег захочет - он вместо еикара положит туда картинку с эксплоитом и вернет значение "Content-Type" обратно. И этот иксплоит исполнится у Вас непосредственно в браузере. NoScript Вам не поможет.
Отчасти поможет DropMyRights - и то, это будет зависеть от эксплуатирующего кода.

[QUOTE=DVi;268176]Пол, если Олег захочет - он вместо еикара положит туда картинку с эксплоитом и вернет значение "Content-Type" обратно. И этот иксплоит исполнится у Вас непосредственно в браузере. NoScript Вам не поможет.[/QUOTE]
Любопытно, чем эта картника будет открываться. В самой системе нет ассоциаций с картинками. Всё, что предлагается Show Alert + предлагать Save. Я это так задал... :)

Paul

[QUOTE=p2u;268178]Любопытно, чем эта картника будет открываться. В самой системе нет ассоциации с картинками. [/QUOTE]
Картинки показывает сам браузер.
Покажите, пожалуйста, скриншот этого форума?
У Вас показывается хоть одна картинка?

[QUOTE=DVi;268185]Картинки показывает сам браузер.
Покажите, пожалуйста, скриншот этого форума?
У Вас показывается хоть одна картинка?[/QUOTE]

[URL=http://www.radikal.ru][IMG]http://s46.radikal.ru/i112/0808/30/661aa2daa878.jpg[/IMG][/URL]

[URL=http://www.radikal.ru][IMG]http://s53.radikal.ru/i139/0808/de/8613f277c681.jpg[/IMG][/URL]

Эти же исключения заданы в Adblock Plus. У меня там маска по умолчанию [b]*[/b] = ничего не должно грузиться если не задано как исключение (вторая линия обороны, так сказать).
Для убедительсности ещё как выглядит z-oleg.com (и любой другой неизвестный мне сайт) у меня:

[URL=http://www.radikal.ru][IMG]http://s55.radikal.ru/i148/0808/04/3626f47364b6.jpg[/IMG][/URL]

То есть - простой текст.

Paul

Все ясно. Т.е. картинка с эксплитом с постороннего сайта у Вас не будет отображаться. Но если я прикреплю такую картинку к своему сообщению в форуме - эксплоит будет успешно исполнен :)

Впрочем, такое маловероятно. Я бы Вам порекомендовал аддон ImgLikeOpera - он позволяет грузить отдельные картинки на странице.

[QUOTE=DVi;268221]Все ясно. Т.е. картинка с эксплитом с постороннего сайта у Вас не будет отображаться. Но если я прикреплю такую картинку к своему сообщению в форуме - эксплоит будет успешно исполнен :)[/quote]
Доверие к данному форуму мне говорит о том, что вы этого не сделаете. Поэтому я и разрешил данному форуму показать картники. Картинки Максима от imageshack.us, например, НЕ показываются. Как правила сижу не под админ, а как юзер... ;)

[quote]Впрочем, такое маловероятно. Я бы Вам порекомендовал аддон ImgLikeOpera - он позволяет грузить отдельные картинки на странице.[/QUOTE]
Насколько я знаю, этот адд-он с FF3 несовместим.

Paul

[QUOTE=p2u;268224]вы этого не сделаете[/QUOTE]
Я - нет. Спасибо за доверие.
Но доверие не помешает сделать это любому другому человеку. Например. обратившемуся за помощью в раздел "Помогите" - у него на компьютере может сидеть зверек, автоматически вставляющий себя во все сообщения на форуме. Прецеденты уже были (хотя там речь шла не о картинках, а о ссылках на зараженный сервер в конце каждого сообщения).

[QUOTE=DVi;268225] (хотя там речь шла не о картинках, а о ссылках на зараженный сервер в конце каждого сообщения).[/QUOTE]
А разве они будут выполняться если данного домена (virusinfo.info) НЕТ в доверенных в NoScript? У меня whitelist - пуст; то есть: доверенных нет совсем.

Paul

[QUOTE=p2u;268224]Насколько я знаю, этот адд-он с FF3 несовместим.[/QUOTE]

[url]http://forum.mozilla-russia.org/viewtopic.php?pid=249597#p249597[/url]

Спасибо [b]DVi[/b] + [b]Shu_b[/b]! Теперь могу управлять действительно как хочу... :)
Политика по умолчанию (4) = ничего не грузить.

Paul