freepascal.ru

Спасибо всем за ответы, в том числе Ichthyander. Забыл я про эту тему.

Ichthyander писал(а):в итоге меня отговорили это делать на паскале

Вообще на самом деле пофигу на чём писать, если знаешь как оно устроено и должно работать. На пхп - изучить работу сервера проще.

Причем авторизация и ддос? Защита от ддос атак на уровне хостинга действует, если имеется вообще. До бакенда даже не дойдут запросы.

До бакенда даже не дойдут запросы.

Это смотря какой ддос иметь в виду. Например, на сайте нет ограничения по внутреннему поиску по сайту. Тогда:
1. нам надо нанять программиста, который укажет ограничение;
2. с админки указать, что поиск доступен только зарегистрированным.
А вы всё про файрвол на роутере циско...

azsx писал(а):нам надо нанять программиста, который укажет ограничение

На нормальном сервере, есть ограничение. 10 чел единовременно, либо 20 коннектов единовременно, либо не более 100... если число превышается, то сервер возвращает error, системы "сервер недоступен, приходите завтра". При этом, пхп, отрубает висячие соединения, в течении секунды/пяти (зависит от заданных параметров) или по time out отрубает и автоматом освобождает доступ к серверу. Точно также поступает и серверная БД. На паскале всё это придётся писать вручную.

На нормальном сервере, есть ограничение.

Ну просто. Это вообще не нормально.

azsx писал(а):Это вообще не нормально

Наоборот, если этого не будет, то ваш сервер захлебнётся и уйдёт в глубокий ступор, т.к. возможности процессора ограничены.

vitaly_l писал(а):На паскале всё это придётся писать вручную.

И именно этого добиваются DDOSеры (отказа от обслуживания нормальных клиентов). На самом деле, надо на как можно более раннем этапе переводить нелегитимное соединение в пассивный режим (не обрывать, а просто не обрабатывать). До последнего терпеть и писать логи. А потом в них разбираться и по возможности искать откуда пошел сигнал.

vitaly_l писал(а):т.к. возможности процессора ограничены.

Именно на эту вилку и рассчитывают ддосеры. Либо у сервера "очко дрогнет", либо процессор зависнет. Хорошо, если атакуемая система кластер или блейд-стойка. В случае обычного компа без вариантов -- приходится уходить в оффлайн.

Лекс Айрин писал(а):До последнего терпеть и писать логи. А потом в них разбираться и по возможности искать откуда пошел сигнал.

Вы вообще никогда не видели живой сервер? Там фиксируется, каждый чих, любое ваше вхождение прописывается в лог.

Лекс Айрин писал(а):Именно на эту вилку и рассчитывают ддосеры.

это понятно, но есть ещё и штатные ситуации, когда такое возникает от наплыва посетителей или роботов.

azsx, если знаком с php, то лучше на php и делай. Ставь 7 версию, включай строгий режим и будет тебе строгая типизация.

vitaly_l писал(а):Как это из JS напрямую обращаться к БД?

БД позволяют настраивать видимость для конкретных процедур. Вполне без риска можно давать определенным пользователям (пользователям БД) доступ вообще без пароля.

Что касается DDOS атаки, то все зависит от логики клиента. Если клиент будет делать запросы не по фиксированным адресам, а по вычисляемым в зависимости от времени и действий клиента, а сервер будет просто блокировать запросы на "неправильные" адреса, то получится некое подобие шифрования с открытым ключом. Конечно уязвимость останется, но затраты (в том числе на анализ исходного кода) на ее преодоление будут настолько большие, что само по себе может остановить 90% таких атак.

Если сервер не может обработать легитимные запросы, то это уже ошибка планирования/проектирования. Не техническая, соот-но техническими средствами не решается. Генерируемые запросы детектятся и отрубаются у хостера. Либо у себя на фронтенде (не браузерном - серверном!), если нет нормального хостера.
Бакенд вебсервиса ни к чему светить в инет. Он наружу не торчит. Торчит фронтенд - какой-нибудь nginx, который обеспечивает https, быстро отдает статику, и проксирует запросы на бакенд. Это если рассматривать более-менее нормальный подход.
Светить в инет БД вообще нонсенс. Напрашиваться на неприятности.

stanilar писал(а):БД позволяют настраивать видимость для конкретных процедур. Вполне без риска можно давать определенным пользователям (пользователям БД) доступ вообще без пароля.

javascript это клиентская технология и клиент серверные архитектуры с помощью JS - не возможны.

vitaly_l писал(а):Вы вообще никогда не видели живой сервер?

Я его даже в локали ставил. Правда, чисто для своего компа, чтобы сайты проверять. Но совершенно настоящий, просто настроен так. А если физически... то видел. И "суперкомп" и блейд-стойки.

vitaly_l писал(а):Там фиксируется, каждый чих, любое ваше вхождение прописывается в лог.

Насколько мне известно, даже дважды... когда начался и когда закончился.

vitaly_l писал(а):но есть ещё и штатные ситуации, когда такое возникает от наплыва посетителей или роботов.

1) проблема техническая (нужно обновление аппаратуры)
2) как раз это и есть DDOS (не будет же ддосер создавать кучу запросов со своего компа -- он его подвесит быстрее или провайдер сеть отрубит)

vitaly_l писал(а):javascript это клиентская технология и клиент серверные архитектуры с помощью JS - не возможны.

зато нормальная ява вполне серверная. И, кстати, насчет JS ты свистишь поддержка есть... просто это мало кому нужно.

Лекс Айрин писал(а):vitaly_l писал(а): javascript это клиентская технология и клиент серверные архитектуры с помощью JS - не возможны.

Лекс Айрин писал(а): И, кстати, насчет JS ты свистишь поддержка есть... просто это мало кому нужно.

пример кода запроса из JS к БД, в топик привести слабо?

.