Проверка URL'ов, есть ли смысл?

[deleted by p2u]

Возвращаясь к теме. :)
Получил письмо как бы с "Одноклассников":
From: "Одноклассники.ru" <[email protected]>
Date: Sat, August 16, 2008 12:07
To: мой адрес
Subject: Новое сообщение для Вас!

Поскольку меня там нет, то совершенно очевидно, что это за письмо. ;)

Тело письма:
Уважаемый пользователь, borka!
Информируем Вас, что Вы получили новое письмо от:
Katya

Чтобы прочитать сообщение перейдите по линку:
хттп://www.odnoklassniki.ru/45?7=OS70P9118919836GDB0NLLW249153U8MJ07J8JM50

--
С уважением,
служба поддержки Odnoklassniki.ru

Ссылка ведет на несколько более другой сайт (хттп://fmfipduqubqy.blogspot.com/). Дай, думаю, проверю - может, там что-то есть? ;) Проверяю:

Версия антивирусного ядра: 4.44.0.9170
Размер файла: 25198 байт, с учётом скриптов и фреймов: 100.8K

fmfipduqubqy.blogspot.com - archive HTML
>fmfipduqubqy.blogspot.com/Script.0 - OK
В файле >fmfipduqubqy.blogspot.com/javascript.1 обнаружен вирус Trojan.Click.19749
>fmfipduqubqy.blogspot.com/Script.2 - OK
>fmfipduqubqy.blogspot.com/Script.3 - OK
>fmfipduqubqy.blogspot.com/Script.4 - OK
>fmfipduqubqy.blogspot.com/Script.5 - OK
>fmfipduqubqy.blogspot.com/Script.6 - OK
...

Можно ссылку не нажимать и на сайт не ходить. ;)

надо бы поэкспериментировать - посохранять как тхт разные страницы на которые ругаются каспер или др.веб и проверить их на виртотале - посмотреть много ли других авлабов также думают и отслеживают скрипты сигнатурно.
:)

[QUOTE=borka;268466]Ссылка ведет на несколько более другой сайт[/QUOTE]
Кстати, хороший пример - "другой сайт" (не тот, что на блогспоте, а следующий, который загружается при заходе на блогспот) при каждом запросе выдает новый скрипт.

P.S. Борис, у Вас ведь есть доступ к закрытому разделу. На Вирусинфо не принято выкладывать ссылки на зараженные сайты в открытом доступе. Обсуждение зараженных сайтов у нас происходит в [URL="http://virusinfo.info/showthread.php?t=3510"]этом[/URL] топике.

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

Кстати, вирус на "третьем сайте" отдается только живым людям. На скриншоте результат проверки линк-чеккером этого сайта. Тут видно, что ему на проверку вообще ничего не отдалось.
[url=http://s42.radikal.ru/i097/0808/6b/8fdd9ab5ad73.png][img]http://s42.radikal.ru/i097/0808/6b/8fdd9ab5ad73t.jpg[/img][/url]

[QUOTE] Кстати, вирус на "третьем сайте" отдается только живым людям.
[/QUOTE]
в двух словах, пожалуйста, опишите что там...
связка сплоетов?... если так - то тут сильно ограничен способ проверки на то человек это или нет - например некоторые смотрят на User-Agent - его можно и подделать - т.е проверяльщику страницы на вирусы забить ослом шестым эту переменную, реферер поставить и т.д - т.е все по правилам, так сказать - и вообще - забить валидными данными все что может извлечь пхп скрипт из браузера.
все это сделать достаточно просто как с той, так и с другой стороны (как накодить такое в связку сплоетов, так и проверялку на вири если делать ее на пхп + сервак с поставленными антивирями для проверки.
всем этим я хотел спросить: [B]как тот "другой сайт" определял живой это человек или проверялка от др.веба?..[/B]

или он действует более примитивно чем описал я? может у него просто реферер доктор веб забит в черный список или айпишники по маске забанены, так сказать??..

priv8v, По моему там банально дрвеб банят :) тулза от авг видит [MDAC ActiveX code execution (type 165)] ;)
в качестве контр-меры надо сделать так чтобы плагин подключался к проверяемому сайту через анонимный прокси- который сможет выбрать сам пользователь- чтобы уменьшить вероятность попадания IP к плохим хакерам ;)

[QUOTE=DVi;269642]Кстати, хороший пример - "другой сайт" (не тот, что на блогспоте, а следующий, который загружается при заходе на блогспот) при каждом запросе выдает новый скрипт. [/QUOTE]
Проверив [b]этот[/b] сайт (blogspot) и получив детект скрипта, пользователь на следующий сайт не попадет.

[QUOTE=DVi;269642]P.S. Борис, у Вас ведь есть доступ к закрытому разделу. На Вирусинфо не принято выкладывать ссылки на зараженные сайты в открытом доступе. Обсуждение зараженных сайтов у нас происходит в [URL="http://virusinfo.info/showthread.php?t=3510"]этом[/URL] топике. [/QUOTE]
Возможно, я и неправ, но во-первых, ссылка деактивирована (кстати, такого рода ссылок достаточно в разделе "Мошенничество в сети"). Во-вторых, как еще было показать работоспособность линк-чекера? Каждый, кто хочет проверить, сможет это сделать.

[QUOTE=DVi;269642]Кстати, вирус на "третьем сайте" отдается только живым людям. На скриншоте результат проверки линк-чеккером этого сайта. Тут видно, что ему на проверку вообще ничего не отдалось.
[url=http://s42.radikal.ru/i097/0808/6b/8fdd9ab5ad73.png][img]http://s42.radikal.ru/i097/0808/6b/8fdd9ab5ad73t.jpg[/img][/url][/QUOTE]
Это, конечно, хорошо. ;) Но фишка в том, что на такого рода сайты нет (я не встречал) прямых ссылок. Только опосредовано через один-два ифрейма, каждый из которых с достаточно высокой вероятностью детектится как Псюме, ПакФор или просто Даунолудер.


Виталий, ну почему Вы не хотите признать того, что при проверке ссылок не обязятельно детектить конечного зловреда, если промежуточные ифреймы детектятся, и пользователь, получив предупреждение антивируса, туда не пойдет? :worried:

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

[QUOTE=priv8v;269679]в двух словах, пожалуйста, опишите что там... [/QUOTE]
Ифрейм на ифрейме сидит и ифреймом погоняет. ;)

[QUOTE=priv8v;269679]может у него просто реферер доктор веб забит в черный список или айпишники по маске забанены, так сказать??..[/QUOTE]
Пан Зайцев показал, что это вполне возможно. ;) Но не это главное. Главное то, что на взломанных сайтах, в ссылках в почте [b]нет прямых ссылок[/b] на такие сайты. Только на "промежуточные". И если скрипт на "промежуточном" сайте детектится, то пользователь получает сигнал антивируса. Мой пример с линком в почте достаточно показателен - линк якобы "Одноклассников" ведет на самом деле на "Блогспот", а оттуда на защищенный от автоматической проверки китайский сайт. При проверке ссылок до лампочки любая защита на китайском сайте, проверка покажет вирусный скрипт на "Блогспоте"! :)
Вот и все...

[QUOTE=borka;269745]при проверке ссылок не обязятельно детектить конечного зловреда, если промежуточные ифреймы детектятся[/QUOTE]
В случае линк-чеккера фраза "промежуточные ифреймы" должна звучать как "первый ифрейм на сайте, не защищенном от линк-чеккера".
Почувствуйте разницу.

казуистика....

[QUOTE=ALEX(XX);269770]казуистика....[/QUOTE]
+1. Виталий, поясните, пожалуйста. :worried:

Сколько же можно повторять?
[QUOTE=borka;269745]Только опосредовано через один-два ифрейма, каждый из которых с достаточно высокой вероятностью детектится как Псюме, ПакФор или просто Даунолудер.
[/QUOTE]
Линк-чеккер проверяет [B]только первый фрейм[/B]. И только [B]если фрейм не защищается[/B] (не блокирует линк-чеккер по IP, например). Второй, третий и т.д. фреймы линк-чеккер сейчас [B]не проверяет[/B] вовсе.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

[QUOTE=drongo;269726]в качестве контр-меры надо сделать так чтобы плагин подключался к проверяемому сайту через анонимный прокси- который сможет выбрать сам пользователь- чтобы уменьшить вероятность попадания IP к плохим хакерам ;)[/QUOTE]
Систему можно улучшать до бесконечности - вплоть до захода на сайт настоящим непропатченным IE через TOR под виртуальной машиной (но это совсем уже идеальный линк-чеккер получится).

Но все эти улучшения не отменят главного недостатка:
1. Линк-чеккер будет проверять тот файл, который ему отдаст сервер.
2. Пользователь будет скачивать тот файл, который ему отдаст сервер.
3. И эти два файла в общем случае будут разными.

[QUOTE=DVi;269797]Линк-чеккер проверяет [B]только первый фрейм[/B]. И только [B]если фрейм не защищается[/B] (не блокирует линк-чеккер по IP, например). Второй, третий и т.д. фреймы линк-чеккер [B]не проверяет[/B] вовсе. [/QUOTE]
Что это меняет, если первый ифрейм детектится?

[QUOTE=DVi;269797]Но все эти улучшения не отменят главного недостатка:
1. Линк-чеккер будет проверять тот файл, который ему отдаст сервер.
2. Пользователь будет скачивать тот файл, который ему отдаст сервер.
3. И эти два файла в общем случае будут разными.[/QUOTE]
Разве с этим кто-то спорит? :)
Я уже сказал - Ваш тезис о полной бесполезности нужно немножко ослабить. :)

[QUOTE=borka;269806]Что это меняет, если первый ифрейм детектится?[/QUOTE]
Вы только что утверждали, что достаточно детектировать любой из N фреймов. Линк-чеккер этого не делает.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=borka;269806]Разве с этим кто-то спорит? :)
Я уже сказал - Ваш тезис о полной бесполезности нужно немножко ослабить. :)[/QUOTE]
Борис, я на Вас удивляюсь - Вы умеете в двух соседних предложениях сказать две взаимоисключающие мысли.

Если Вы согласны с перечисленными мной тремя пунктами, то на основании чего считаете, что линк-чеккер может гарантировать пользователю безопасность посещения указанного адреса?

[QUOTE=DVi;269812]Вы только что утверждали, что достаточно детектировать любой из N фреймов. Линк-чеккер этого не делает. [/QUOTE]
Теперь я понял, что Вы имели в виду. ;) Если глубина проверки только один внешний линк, то, значит, ставка делается на то, что именно первый скрипт будет определен. Проверять, что там дальше - смысла нет. Что и видно в приведенном мною примере.

[QUOTE=DVi;269812]Борис, я на Вас удивляюсь - Вы умеете в двух соседних предложениях сказать две взаимоисключающие мысли. [/QUOTE]
Что исключает что? Если детектируется первый скрипт дальнейшая проверка теряет смысл. Как правило, это простой ифрейм, без защит и наворотов.

[QUOTE=DVi;269812]Если Вы согласны с перечисленными мной тремя пунктами, то на основании чего считаете, что линк-чеккер может гарантировать пользователю безопасность посещения указанного адреса?[/QUOTE]
Гарантию нынче не дает и страховой полис. :)

[QUOTE=borka;269826]Проверять, что там дальше - смысла нет. Что и видно в приведенном мною примере. [/QUOTE]
Вы только что утверждали, что необходимо проверять N вложенных фреймов - чтобы распознать хотя бы один из них и запретить запуск конечного зловреда. Теперь Вы утверждаете прямо обратное.

[QUOTE=borka;269826]Гарантию нынче не дает и страховой полис. :)[/QUOTE]
Как раз наоборот.
Страховой договор гарантирует исполнение сторонами своих обязательств. В нем, в частности, регламентируются, при каких условиях и в каком размере будет выплачено страховое возмещение при наступлении страхового случая.

[QUOTE=DVi;269812]
Если Вы согласны с перечисленными мной тремя пунктами, то на основании чего считаете, что линк-чеккер может гарантировать пользователю безопасность посещения указанного адреса?[/QUOTE]

[b]DVi[/b], извините, что вмешиваюсь в ваш разговор, но....(взгляд со стороны) как Вы не поймете, что link-checker дает НЕ ГАРАНТИЮ безопасности посещаемого сайта, а гарантию НЕБЕЗОПАСНОСТИ такого мероприятия (если определит вредоносный скрипт). И этого вполне достаточно от него (link-checker-a).

...а можно ли узнать механизм по которому Др.Веб проверяет урл?..
просто [B]мне не верится[/B], что он действует таким вот тупым методом:
[PHP]
скачивает себе страницу по указанному урлу и затем проверяет ее Др.Вебом - и исходя из этого выносит вердикт
[/PHP]
просто из спора тут спорящих получается так...

если Др.Веб действует именно так, то это просто неимоверно тупо.
даже при эвристических способах не будет 100% гарантии в чистоте сайта, НО ... :)

Понимая как заражаются сайты можно придумать и эвристические методы - это не столь сложно.

[quote=priv8v;269882]...а можно ли узнать механизм по которому Др.Веб проверяет урл?..
....
если Др.Веб действует именно так, то это просто неимоверно тупо.
[/quote]
Вот именно так он и работает ...
Что пишет эта служба, проверяя [URL]http://z-oleg.com/eicar.php[/URL] ? Пишет "вирусов нет", а там сидит злобный EICAR. Я не публикую исходник этой PHP, так как придерживаюсь неписанного "кодекса чести", но могу сказать, что он весьма и весьма несложный.

[QUOTE=santy;269872][b]DVi[/b], извините, что вмешиваюсь в ваш разговор, но....(взгляд со стороны) как Вы не поймете, что link-checker дает НЕ ГАРАНТИЮ безопасности посещаемого сайта, а гарантию НЕБЕЗОПАСНОСТИ такого мероприятия (если определит вредоносный скрипт). И этого вполне достаточно от него (link-checker-a).[/QUOTE]
Я это отлично понимаю.
Но пресс-релиз ООО "Доктор Веб" утверждает обратное: [url]http://info.drweb.com/show/3462/ru[/url]
[QUOTE]Для использования Dr.Web LinkChecker нет необходимости устанавливать антивирус Dr.Web. ... По результатам проверки пользователь Mozilla Firefox может принять решение о ... посещении интересующей страницы, [B]не опасаясь вирусной атаки[/B]. [/QUOTE]

[QUOTE]
Пишет "вирусов нет", а там сидит злобный EICAR.
[/QUOTE]
скажите принцип работы Вашей странички. набрать в пхп я смогу и сам.
или там просто идет бан по айпи (по маске или по стране)?

priv8v, у Олега просто бан по IP.

Таких техник защиты от антивирусов существует великое множество. Часть из них была перечислена мной и Олегом странице на 3-4 этого топика. Очень показательным является техника сайта, описанного здесь: [url]http://virusinfo.info/showpost.php?p=269642&postcount=163[/url]
1. В зависимости от "User-Agent", отдаются разные данные.
2. При нужном "User-Agent" (т.е. для IE) при каждом заходе отдается новый вариант вредоносного скрипта.

В общем линк чекер может быть полезен в определенных ситуациях, но не соответствует тому что было написано в пресс релизе.

[QUOTE]В зависимости от "User-Agent", отдаются разные данные.
[/QUOTE]
немного поясню возможности этой опции в большинстве связок.
но для начала вообще поясню методику "пробива" браузера эксплоитами и поясню терминологию по вариантам:
1). браузер заходит на страницу и его пробует "пробить" какой-то один эксплоит - т.е сделано так, что любого кто зайдет на страницу будет пробовать пробивать один и тот же эксплоит (обычно это какой-то свежи с милворма или еще откуда-нибудь) - это самый тупой пример. такая тупость - редкость. т.к несмотря на тупость это сделать относительно сложно - это требует определенных знаний, как минимум немного пхп и яваскрипта.
2). на хосте лежит целая куча разных эксплоитов и при заходе браузером на определенную страницу браузер пытаются пробить сразу кучей эксплоитов одновременно/по очереди - это уже называется связкой эксплоитов - потому-что их несколько, связка эта неинтеллектуальная - т.к никаких зачатков интеллекта тут не наблюдается - просто втупую пробует все что умеет.
3). и наконец - десерт. интеллектуальная связка эксплоитов. опишу наиболее частые их функции - обладают/поддерживают: развитой статистикой, отдельными скриптами для отстука для определения сколько пробито браузеров, базой данных мскл, возможностью выдачи разных зловредных файлов в зависимости от страны (это к примеру), в зависимости от страны/браузера/версии браузера/ОС - пытаются "пробить" браузер разными эксплоитами.
Для того что бы эта вся прелесть заработала нужно зайти браузером на определенную страницу (чаще всего это index.php (хотя это совершенно не важно) - т.е на страницу для которой и "служит" весь могучий функционал).

Теперь немного о методике заражения сайтов:

1). Сайты могут взламываться "руками" - т.е злоумышленник заходит на сайт и начинает искать уязвимости (активные хсс, мскл-инъекции и т.д и т.п)
2). Могут взламываться эксплоитами - т.е кто-то более умный взломал какой-то движок "руками" и написал скрипт, который автоматизирует его работу - т.е делает тоже самое, что и он, но все сам - требуется его только запустить и указать адрес сайта с таким-же движком и версией
3). Взлом посредством трояна - троян тащит пароли на админку из браузера или (что еще хуже) от фтп.
4). Взлом хостинга
5). Брут фтп (подбор паролей по словарю или тупым перебором)
6). Брут доступа в админку
7). Основные способы уже рассмотрены и дальше изыскивать и вспоминать другие способы нерационально:)


А теперь самое главное:
[B]Что же делается при взломе сайта?[/B]
Есть несколько вариантов (приведу некоторые):
1). Ничего не делается - злоумышленник выключает компьютер и идет спать;)
2). Администратор сайта оповещается о уязвимости
3). Делается дефейс (какая-либо надпись на главной (чаще всего) странице сайта или ее полная замена, при этом считается хорошим тоном не удалять главную страницу полностью, а переименовать ее, что бы было понятно, что это она и оставить на месте (в корне сайта))
4). Происходит заражение сайта с целью заражения заходящих на этот сайт пользователей.

Нас интересует в данный момент только четвертый вариант, рассмотрим его:

На сайт внедряется ифрейм (он может быть зашифрован средствами яваскрипта, но он все равно остается ифреймом и выполняет свои функции) на index.php (допустим) связки эксплоитов - что за связка такая мы рассматривали выше. Т.е будет получаться, что пользователь зашедший на этот сайт одновременно еще зашел и на связку эксплоитов.
Ифрейм чаще всего невидим - он является точкой - заданы нулевые параметры.
Зашифрованный ифрейм может занимать более 200 символов - при этом его очень просто добавить в базу антивируса и "палить" сигнатурно.

При этом работа линк чекера должна сводится не только к проверке страницы на наличие уже знакомого зашифрованного ифрейма (или незашифрованного) но и должна быть эвристика:
обнаружение ифреймов, определение их вредоностности, анализ где именно ифреймы стоят, автоматическая расшифровка ифреймов (зашифрованных), проверка сайта который в ифрейме открывается (если несколько последовательно ифреймов - проверка всех вложенных и докапывание до связки), попытка найти по конечному сайту зловредные файлы по именам (они вшиты в связку и редко меняются), и т.д и т.п.

PS: я описал лишь наиболее распространенную методику взлома и заражения. На полный обзор не претендую - это лишь один пост на форуме в ветке обсуждения данной проблемы. (с) :-)
Ногами не пинать. Старался для людей.
:)

[QUOTE=DVi;269920]Я это отлично понимаю.
Но пресс-релиз ООО "Доктор Веб" утверждает обратное: [url]http://info.drweb.com/show/3462/ru[/url][/QUOTE]

Проверил линк-чеккером данную ссылку, принял решение что она безопасна и зашел. возможно, то, что Вы отметили и является единственным нюансом, но для тех, кто пользуется линк-чеккером этот нюанс отлично разрешается и различается.

[QUOTE=Geser;269941]В общем линк чекер может быть полезен в определенных ситуациях, но не соответствует тому что было написано в пресс релизе.[/QUOTE]
Именно так. О том и речь.

[B]priv8v[/B], отличная статья получилась. Можно выделить ее отдельным топиком и положить в раздел [URL="http://virusinfo.info/index.php?page=articles"]"Наши статьи"[/URL].

[QUOTE]priv8v, отличная статья получилась. Можно выделить ее отдельным топиком и положить в раздел [URL="http://virusinfo.info/index.php?page=articles"]"Наши статьи"[/URL]. [/QUOTE]

DVi, спасибо:)
Еще немного доработаю тогда, исправлю "очепятки" и выложу.

[QUOTE=DVi;269835]Вы только что утверждали, что необходимо проверять N вложенных фреймов - чтобы распознать хотя бы один из них и запретить запуск конечного зловреда. Теперь Вы утверждаете прямо обратное. [/QUOTE]
Я опять не по-русски? ;) Тогда еще раз: необходимо проверять на всю глубину вложенности (однако Вы утверждаете, что линк-чекер этого не делает), но если по дороге встретится детектируемый скрипт, то дальше (после него) проверять смысла нет. :) Так понятнее?

[QUOTE=DVi;269835]Страховой договор гарантирует исполнение сторонами своих обязательств. В нем, в частности, регламентируются, при каких условиях и в каком размере будет выплачено страховое возмещение при наступлении страхового случая.[/QUOTE]
:P

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=santy;269985]Проверил линк-чеккером данную ссылку, принял решение что она безопасна и зашел. возможно, то, что Вы отметили и является единственным нюансом, но для тех, кто пользуется линк-чеккером этот нюанс отлично разрешается и различается.[/QUOTE]
Думаю, Виталий все прекрасно понимает. :) И когда линк-чекер сработает, и когда не. :)

[B]santy[/B], этот нюанс сводит на нет всю рекламу этого линк-чеккера.

[QUOTE=santy;269985]для тех, кто пользуется линк-чеккером этот нюанс отлично разрешается и различается.[/QUOTE]
Именно поэтому линк-чеккер может быть использован только внутри вирлаба и только по одному назначению: [B]в случае обнаружения[/B] вируса сделать вывод о зараженности сайта. В [B]случае же необнаружения[/B] [U]нельзя делать никаких выводов[/U].


[QUOTE=borka;270558](однако Вы утверждаете, что линк-чекер этого не делает)[/QUOTE]
- Потому что он этого не делает.
- Он проверяет только первый URL.
- И даже на первом URL'е он не гарантирует, что проверяет именно тот файл, который будет отдан сервером пользователю.

[QUOTE=DVi;270562]- Потому что он этого не делает.
- Он проверяет только первый URL. [/QUOTE]
Ну не спорю я с Вами, не спорю! :)

[QUOTE=DVi;270562]- И даже на первом URL'е он не гарантирует, что проверяет именно тот файл, что будет отдан сервером пользователю.[/QUOTE]
Про гарантии я уже сказал. ;)

Резюмируем.
1. Линк-чекер проверяет тот файл, который отдаст сервер.
2. Пользователь скачивает тот файл, который отдаст сервер.
3. Эти два файла в общем случае могут быть разными.
4. Если страница не содержит скриптов защиты от антивируса, то она будет проверена.
5. Одиноко лежащий вирус, ;) на который ссылается линк (например, в письме), будет найден при проверке.
6. Файл (архив), выложенный на странице без скриптов защиты от антивируса, будет проверен.

Все верно? :worried:

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=DVi;270562]Именно поэтому линк-чеккер может быть использован только внутри вирлаба и только по одному назначению: [B]в случае обнаружения[/B] вируса сделать вывод о зараженности сайта. В [B]случае же необнаружения[/B] [U]нельзя делать никаких выводов[/U].[/QUOTE]
А какой нужно сделать вывод в случае обнаружения вируса, но не внутри вирлаба? :)

Верны первые три пункта.
4й, 5й и 6й пункты являются уточнением первого пункта. Следовательно, Ваше резюме выглядит так:

[B]1.[/B] Линк-чеккер проверяет тот файл, который ему отдаст сервер. Это может быть файл (в том числе архив либо веб-страница). Линк на этот файл может быть размещен где угодно (в том числе в письме).
[B]2.[/B] Пользователь скачивает тот файл, который ему отдаст сервер.
[B]3.[/B] Эти два файла в общем случае могут быть разными.
[B]4.[/B] Эти два файла будут одинаковыми только если:
[B]4.1.[/B] На сервере нет защиты от антивируса.
[B]4.2.[/B] Находящийся на проверяемом адресе файл не обновляется постоянно (не является, например, баннером или новостной страницей).

Дополнения:
[B]а.[/B] Линк-чеккер проверяет этот файл с до той глубины вложенности, до которой его запрограммировал разработчик. На сегодняшний момент (судя по описанию линк-чеккера на сайте) это всего один уровень для скриптов и два уровня - для фреймов.
[B]б.[/B] Линк-чеккер физически не может проверять даже статичные файлы, лежащие в области авторизации. Т.е. проверить вирус, пришедший к Вам личку на форуме, линк-чеккер не сможет - он в любом случае скажет "файл чист", т.к. будет проверять страницу авторизации :)


[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=borka;270574]А какой нужно сделать вывод в случае обнаружения вируса, но не внутри вирлаба? :)[/QUOTE]
Тот же самый: в случае обнаружения вируса сделать вывод о зараженности сайта. В случае же необнаружения нельзя делать никаких выводов.
Проблема в пресс-релизе, который утверждает обратное - и люди ему верят. Согласно этому пресс-релизу, линк-чеккером пользуется не менее 8 миллионов человек. Вирусными аналитиками, понимающими цену результата сканирования урла линк-чеккером, являются не более 100 человек. Остальные даже не подозревают о подвохе. Даже Вас мне пришлось убеждать 10 страниц. А Вы отнюдь не "простой пользователь".

[QUOTE=DVi;270594][B]1.[/B] Линк-чеккер проверяет тот файл, который ему отдаст сервер. Это может быть файл (в том числе архив либо веб-страница). Линк на этот файл может быть размещен где угодно (в том числе в письме).
[B]2.[/B] Пользователь скачивает тот файл, который ему отдаст сервер.
[B]3.[/B] Эти два файла в общем случае могут быть разными.
[B]4.[/B] Эти два файла будут одинаковыми только если:
[B]4.1.[/B] На сервере нет защиты от антивируса.
[B]4.2.[/B] Находящийся на проверяемом адресе файл не обновляется постоянно (не является, например, баннером или новостной страницей). [/QUOTE]
Принимается. :)

[QUOTE=DVi;270594]Проблема в пресс-релизе, который утверждает обратное - и люди ему верят. Согласно этому пресс-релизу, линк-чеккером пользуется не менее 8 миллионов человек. [/QUOTE]
Проблема отнюдь не в пресс-релизе. ;) Проблема в сабже. Ваше утверждение о полной бесполезности сервиса неверно - Вы сами только что подтвердили, что в определенных случаях (на мой взгляд - в большинстве) сервис работает. :)

[QUOTE=DVi;270594]Вирусными аналитиками, понимающими цену результата сканирования урла линк-чеккером, являются не более 100 человек. Остальные даже не подозревают о подвохе. Даже Вас мне пришлось убеждать 10 страниц. А Вы отнюдь не "простой пользователь".[/QUOTE]
Меня? Убеждать? В чем - в том, что сервис работает? Так это я и сам знаю. :) Или в том, что он работает не всегда правильно? Так и с этим никто не спорил. :)

[QUOTE=borka;270610]Вы сами только что подтвердили, что в определенных случаях (на мой взгляд - в большинстве) сервис работает.[/QUOTE]
Просто, исходя из своего опыта, Вы считаете, что пункт [B]4[/B] доминирует над всеми остальными :)
Я же точно знаю, что два файла оказываются одинаковыми лишь по счастливому совпадению. И на это счастливое совпадение еще накладываются ограничения реализации (дописанное мное в предыдущем посте "Дополнение [B]а[/B]"), что еще больше ограничивает область использования линк-чеккера.

[QUOTE=DVi;270623]Просто, исходя из своего опыта, Вы считаете, что пункт [B]4[/B] доминирует над всеми остальными :) [/QUOTE]
Вы предлагаете мне опираться на Ваш опыт? ;)

[QUOTE=DVi;270623]Я же точно знаю, что два файла оказываются одинаковыми лишь по счастливому совпадению. И на это счастливое совпадение еще накладываются ограничения реализации (дописанное мное в предыдущем посте "Дополнение [B]а[/B]"), что еще больше ограничивает область использования линк-чеккера.[/QUOTE]
Везет же мне! :)
Резюмируем: заявление о полной бесполезности сервиса несколько преувеличено. :)

Резюме неверное.
Для простого пользователя, поверившего рекламе ООО "Доктор Веб", этот сервис вреден, т.к. дает ему ложное чувство защищенности.
Для профессионала этот сервис является подспорьем в работе, и не более того.

про чувство ложно защищенности сказано отлично.
хочется от себя посоветовать тем, кто из-за секьюрных новостей на новостн. сайтах считает себя полностью защищенным:

что бы не было ложного чувства защищенности нужно читать (во всяком случае слепо доверять тому, что там пишут) не новостные сайты, а обсуждения этих продуктов знающими людьми (секьюрные форума, например этот).
на форуме скорее снизят достоинства продукта, чем завысят.
достаточно почитать форум ЛК - чего там только "лестного" не вычитаешь...

priv8v, а еще лучше изучать первоисточники.

[QUOTE]а еще лучше изучать первоисточники.
[/QUOTE]
офиц. сайты?..
начинать их изучать можно только имея за плечами хотя бы базовые знания.
иначе тоже можно быть введенным в заблуждение или просто ничего не понять.

[QUOTE=DVi;271057]Резюме неверное.
Для простого пользователя, поверившего рекламе ООО "Доктор Веб", этот сервис вреден, т.к. дает ему ложное чувство защищенности.
Для профессионала этот сервис является подспорьем в работе, и не более того.[/QUOTE]
:)
Я надеюсь, Вы не станете утверждать, что Вы меня убедили? ;)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=DVi;271073]priv8v, а еще лучше изучать первоисточники.[/QUOTE]
Марксизма-ленинизма? :P

[QUOTE=priv8v;271083]офиц. сайты?..[/QUOTE]
Нет. Я имел в виду именно получение базовых знаний о целях и методах проникновения злоумышленников на компьютер. Все остальное - вторично.

[QUOTE]Нет. Я имел в виду именно получение базовых знаний о целях и методах проникновения злоумышленников на компьютер. Все остальное - вторично.[/QUOTE]
Ааа... ну про такое я и не подумал - это как само собой разумеющееся:)