Uruchomiony przeze mnie serwis Linux Videos zbliża się do oficjalnej wersji. Szkic nowej oprawy jest gotowy od zeszłego roku, niedługo nowa wersja strony, tym razem zasilana przez wego.
Projekt graficzny autorstwa nbw.
Archiwalia dla 01.2007
W końcu (lenistwo) pozbyłem się prefiksu www
przed domeną. Przekierowanie powinno nastąpić automagicznie, ale na wszelki wypadek informuję.
Nie wiem, jak poradzą sobie z tym poszczególne czytniki RSS, będę wdzięczny za informacje, jeśli wystąpią jakieś problemy.
Reklamy kontekstowe to nie żadna nowość i wydawało mi się, że każdy potrafi je zrobić rozsądnie. Onet przekonał mnie, że nie do końca.
Co jest na powyższym obrazku nie tak? Po pierwsze — reklama zasłania treść strony. Pierwsze, co chciałem zrobić po wejściu na serwis (a jest to serwis informacyjny Onetu, a nie darmowa strona sąsiada-hobbysty), to z niego wyjść.
W połowie drogi do przycisku zamknij zakładkę
zwrócił moją uwagę brak jakiejkolwiek metody zamknięcia reklamy. Przecież musieli o tym pomyśleć!
Co więc poszło nie tak? Krótka wycieczka do kodu źródłowego pokazała, że przycisk do zamykania reklam znajduje się w tym samym katalogu, skąd serwowane są reklamy portalu. Zablokował go Adblock Plus.
Jaki z tego morał? Nie trzymać grafik funkcjonalnych razem z reklamowymi? Też. Przede wszystkim reklama nie powinna uniemożliwiać przeczytania treści strony. Dotyczy to również wszelakich toplayerów
i innych ustrojstw, które nie tylko zniechęcają do marki reklamowanego produktu, ale w równym stopniu denerwują użytkowników serwisu, a na tych powinno ci zależeć.
Skończyłem testy i blog obsługuje już podpisywanie komentarzy wizytówkami cyfrowej tożsamości.
Minie jeszcze pewnie trochę czasu, zanim Grill IT udostępni nagranie mojej prezentacji o OpenID, ale już teraz namawiam gorąco do uruchomienia na swoich blogach wsparcia dla tej technologii. Jeśli rozpowszechni się w blogosferze, to prędzej czy później, portale będą zmuszone wprowadzić to do swojej oferty.
Wsparcie w najbliższej przyszłości deklarują Traduko, 7thGuard i Spinacz. Z czasem dołączą kolejni. W przypadku Wordpressa, wystarczy instalacja wtyczki VerseLogic i ewentualne dostosowanie szablonu.
Są też realne szanse, że niebawem ruszy MyID.pl. W momencie, kiedy powstawał, miał być pierwszym polskim dostawcą tożsamości, w praktyce wyprzedził nas Marcin Jagodziński z OpenID.pl. My ciągle nie mamy logo (jesteś grafikiem — pomóż).
Właśnie weszliśmy z nbw do domu, prosto z trzeciej minikonferencji bez krawatów — Grill IT. Z notką o prawie dwie godziny wyprzedziło mnie yashke.com, więc pozostaje mi tylko powiedzieć, że było miło spotkać się z resztą kreatywnych ludzi z branży — jak zwykle.
Udało mi się też przeprowadzić mniej lub bardziej udaną prezentację OpenID, którą udostępniam w celach archiwalnych — bez komentarza raczej wiele się z niej nie można dowiedzieć :)
OpenID w praktyce (127 kB, PowerPoint)
Paweł szaleje. Kiedy zasugerowaliśmy mu, że sam nic nigdy nie opublikował na Secunii ani na Bugtraq, a tytułuje się ekspertem pod kątem
bezpieczeństwa, postanowił, że dłużej tak być nie może i sprawę trzeba czym prędzej ruszyć do przodu.
Jak postanowił, tak uczynił… i przekleił na bloga cały traffic z list bezpieczeństwa z ostatniego tygodnia.
A to wszystko przez to, że w wolnej minucie pozwoliłem sobie na żart.
bblog.pl i CSRF
Jeden z rodzajów złośliwych ataków na systemy informatyczne to właśnie podrabianie zapytań,
czy jak bardziej obrazowo określił to nasz specjalista:
Widać jakimi metodami posługuje się ta samozwańcza “elita”, która odziwo ma zawsze najwięcej do powiedzenia o poziomie wiedzy innych, podczas gdy sobą reprezentuje totalne dno i czyni jakże kompromitujące manewry.
Zgadza się, znaleźliśmy podatność na CSRF w systemie bblog.pl. Wymagało to założenia darmowego konta i kliknięcia myszką (sztuk pięć). Idea jest prosta — na dowolnej stronie w Internecie wystarczy umieścić odnośnik do zewnętrznych danych, o formacie takim, jak te zacytowane na blogu Pawła:
http://paweljablonski.bblog.pl/adm/edit_post,rm,1183.html
Jest to atak o tyle ciekawy, że skierowany na konkretnego użytkownika. Schematów przeprowadzenia jest wiele. Mój żart był jedną z najtrywialnieszych możliwości i stosował odnośniki umieszczone jawnym tekstem. Poświęcając minutę więcej, możnaby skorzystać z mod_rewrite i przekierować na przykład zdjecie.jpg na odpowiedni adres dopiero po stronie serwera, zaś w jawnym tekście umieścić tylko odwołanie wyglądające na niewinny obrazek.
Zabezpieczenie
Mam nadzieję, że bblog.pl załata swoją aplikację, bo atak zalicza się do grupy man in the middle
i jest o tyle złośliwy, że fizyczne skasowanie notki odbywa się przez zalogowanego prawowitego właściciela bloga. Znany powszechnie koń trojański.
Jako najprostszą metodę zabezpieczenia polecam wygenerowanie unikalnego klucza dla każdej sesji i umieszczenie go w sesji, gdzie nie może zostać podejrzany nawet przez przeglądarkę zalogowanego użytkownika, następnie klucz taki należy dołączyć do wszystkich odnośników, które wyzwalają nieodwracalne akcje (usunięcie notki, zmiana kategorii itp.). Zwykłe porównanie otrzymanego klucza z tym zapisanym wcześniej pozwoli zapobiec wszelkim wywołaniom CSRF.
Na zakończenie proponuję przeczytać sobie cały tekst człowieka, któremu zarzucano wiele razy zbyt elokwentne pisanie
(cytat z jego bloga), widać po nim wyraźnie, że Paweł cały czas pracuje nad swoją formą i na szczęście wspomniana elokwencja już nie powróci. Gratuluję także wylistowania zawartości katalogu z prawami do publicznego czytania, telewizja z pewnością będzie zobowiązana, mogąc Pawła gościć ponownie.
Update: tytuł notki powstał dzięki inspiracji osoby o pseudonimie roztytybaleron. Serdecznie dziękuję.
Co może być lepsze niż feudalna Japonia? Feudalna Japonia w rozkwicie cyberpunku, skrzyżowana z Brooklynem!
Afro Samurai zabiera nas do świata, gdzie miecz krzyżuje się z rewolwerem, mnisi strzelają z RPG, a główny bohater jest Murzynem z ogromną czupryną i nieodzwonym skrętem w zębach.
Co mogę powiedzieć — kreska jest świetna, muzykę zapewnia RZA, krew wylewa się z ekranu na klawiaturę wiadrami. Po pierwszym odcinku mam ochotę zobaczyć pozostałych pięć w tym momencie.
W ramach eksternistycznego zaliczenia kursu PHP na studiach, prowadzący zaoferował mi przygotowanie krótkiej prezentacji o języku. Prezentacje nie są tym, co programiści lubią najbardziej. Zamiast prezentacji wyszedł krótki tekst, a zamiast możliwości języka są błędy ludzi.
Całość zamieszczam i tutaj, może się komuś na coś przyda. O ile wierzę w swoją wiedzę, to zastrzegam z góry, że praca nie była jeszcze oceniana. Przepraszam też za wielkość, ale to AbiWord taki duży plik wygenerował :)
Pobierz PHP i aplikacje WWW (290 kB, PDF)
Oto bowiem nasz ekspert do spraw zabezpieczeń postanowił obalić mroczne rządy Gadu-Gadu i zbudował własny… program na zaliczenie laboratorium z C++ (jednak C++, jak to zostało sprawdzone poniżej, ja nie pobierałem binarek).
Wynalazł on bowiem całkowicie niespotykaną dotąd rzecz — komunikator bez centralnego serwera. Każdy użytkownik marzy bowiem o odpalaniu własnego serwera. Jest tylko jeden kruczek, żeby skorzystać z nowego komunikatora,
trzeba zainstalować klienta Jabbera, bo jak inaczej przekazać komuś swój adres IP?
Jeśli jednak mamy już klienta Jabbera, który jest zdecentralizowany, obsługuje szyfrowanie połączeń, kodowanie i podpisywanie wiadomości (w tym podpisywanie bez możliwości późniejszej identyfikacji nadawcy, off the record
), jest darmowy i korzystają z niego nawet w Google, to po co nam program, który wygląda jak emulator terminala VAX?
Jako, że mam dobry humor, pozwolę sobie wyobrazić sytuację, w której odbieram telefon z nieznanego numeru i w słuchawce słyszę radosny dziecięcy głos: Poklikash? Mój IP to 82.14…
Wczoraj tego bloga odwiedziły 2 osoby.
Pawle, czy w odpowiedzi na pytanie ‘na jaki serwer się włamałes?’ zaznaczamy odpowiedź B, ‘komenda wojewódzka w Katowicach?’ Przypominam, że pozostało ci jeszcze jedno koło ratunkowe, pytanie do publiczności.
Oczywiście, nie dla istniejących klientów. W notce o postanowieniach noworocznych, załoga DreamHost poinformowała, że w trosce o dobre imię hostingu, będą codziennie obniżać dostępne miejsce i pasmo dla nowych kont.
Chłopaki twierdzą, że chodzi o zniesienie oskarżeń o overselling, ale wszyscy doskonale wiemy, że cel jest inny — teraz już nie masz czasu, żeby się zastanawiać nad wyborem hostingu, jutro parametry będą niższe, a cena ta sama. Bardzo sprytny zabieg.
Póki co, zmiana jest znikoma, więc zakładajcie konta, zanim oferta się skurczy za bardzo :) (rejestracja przez ten link wspiera hosting projektów Generated Content, nie ma żadnej zniżki).
Ostatnie komentarze