Александр Ильин

Обзор WYSIWYG редакторов

2008-02-19T12:59:00.002+03:00

Обзор WYSIWYG редакторов находится в открытом доступе и все желающие могут его посмотреть, а так же выбрать редактор для своих целей.

Ruby on Rails 2.0

2007-12-11T11:27:00.000+03:00

Вышла новая версия популярного Open Source-фреймворка для создания Web-приложений на языке программирования Ruby — Ruby on Rails 2.0.
В релизе Ruby on Rails 2.0 появился новый модуль для поддержки базовой аутентификации по HTTP (HTTP Basic Authentication), упрощено структурирование JavaScript- и CSS-файлов, повышена безопасность (особое внимание уделено XSS-атакам), сохранение сессии теперь производится в cookies, упрощено создание Atom-лент (AtomFeedHelper), добавлены десериализация для XML и сериализация для JSON, новые методы в ActiveSupport и расширения к Date, вновь представлен отладчик.
Релиз Ruby on Rails 2.0 можно свободно загрузить с Web-сайта проекта.

bash.org.ru

2007-12-07T13:05:00.000+03:00

Bash.Org.Ru by DarkRider Цитата #393528

ужос...сегодня впервые за пару месяцев на ночь выключил комп.......
еле в этой блядской тишине уснул....

Центр компьютерного обучения "Специалист" при МГТУ им.Н.Э.Баумана

2007-12-06T12:18:00.000+03:00

Если Вы успешно сдали один из тестов, Вы можете получить сертификат сервера Online тестирование и сертификация "SPECIALIST"! Для получения сертификата Вы должны оплатить сертификат.

Стоимость при получении в Центре компьютерного обучения - 300 руб.
Стоимость сертификата при отправке по почте в пределах РФ - 300 руб.
Стоимость сертификата при отправке по почте за пределы РФ - 400 руб.

При заказе нескольких сертификатов, стоимость каждого сертификата остается неизменной.
Для получения сертификата в Центре компьютерного обучения лично, необходимо предварительно сделать заявку.

Оплатить сертификат Вы сможете следующими способами:

в отделении Сбербанка Квитанцию для оплаты можно получить на странице "Заказ сертификата". Ссылка на эту страницу приводится на странице "Пользователь" в случае успешной сдачи одного из приведенных тестов.
Пластиковой картой через систему интернет-платежей Киберплат Подробную информацию по оплате через Киберплат читайте на сервере Центра компьютерного обучения.
При помощи электронной платежной системы WebMoney Подробную информацию по оплате через WebMoney читайте на сервере Центра компьютерного обучения.
Банковским или почтовым переводом Реквизиты для перевода.

Сертификат будет выслан Вам заказным письмом по указанному Вами адресу в течение двух недель после получения оплаты.

SQL-EX

2007-12-06T12:06:00.000+03:00

Имеются сертификаты двух видов. Первый из них (Basic knowledge) может получить каждый, кто решил все упражнения до №67 включительно по оператору SELECT и все упражнения по DML. Второй (All requirements) может быть получен решившим 125 упражнений по оператору SELECT и все упражнения по DML. При этом не учитывается ни время, потраченное на решение, ни рейтинговая позиция. Однако мы оставляем за собой право менять задания, а также необходимый минимум для получения сертификата.

Basic knowledge
(необходимо решить 67 упражнений)

All requirements
(необходимо решить 125 упражнений)

Для заказа сертификата любого типа необходимо решить все упражнения по DML. Стоимость сертификатов может меняться со временем, текущая стоимость:

Basic knowledge - 840 рублей
All requirements - 840 рублей
All requirements при наличии сертификата "Basic Knowledge" - 420 рублей (50%)

Порядок заказа сертификатов

Оформить заявку
Оплатить заказ Оплата производится через Яндекс.Деньги, WebMoney Transfer, систему PayPal или банковским переводом в любом отделении Сбербанка РФ. Возможна оплата организацией за своего сотрудника.
Сообщить об оплате (для ускорения отправки сертификата)
Убедительная просьба сообщить разработчикам об оплате за сертификат. Это необходимо для того, чтобы в кратчайшие сроки изготовить сертификат. Кроме того, при оплате банковским переводом это исключит возможную путаницу, связанную с технической стороной работы Сбербанков. Укажите пожалуйста номер заказа оплаченного сертификата (поле "Вид платежа",строка "За сертификат...№" в квитанции об оплате), номер Сбербанка, в котором вы оплачивали и дату оплаты (по печати кассового аппарата на корешке квитанции). Сохраните квитанцию.

После получения суммы на расчетный счет, в недельный срок мы вышлем заказным письмом по указанному адресу Ваш сертификат.

RetraTech

2007-12-06T12:00:00.000+03:00

Сертификаты RetraTech - это доказательство прохождения экзаменов RetraTech и подтверждение профессионализма специалиста. Сертификаты выдержаны в строгом соответствии с правилами составления официальных документов. Их эстетичный дизайн притягивает взгляд посетителей Вашего офиса. Сертификаты солидно и приятно смотрятся в рамке на стене.

Сертификаты Ретратэк защищены от подделки - в углы всех сертификатов наносятся крупные надписи «RetraTech Certified» бесцветным объемным лаком. Под прямым углом эти надписи практически незаметны, но когда угол зрения меняется, сразу же бросается в глаза их глянцевый блеск.

Русский сертификат выполнен на мелованной матовой бумаге плотностью 150 г/м2. В центре сертификата расположено изображение, которое сразу притягивает к себе взгляд. Дизайнерское решение сертификата подчеркивает динамизм и склонность к инновациям специалиста.

Английский сертификат выполнен на мелованной матовой бумаге плотностью 150 г/м2. Стилевые и композиционные особенности сертификата придают ему строгий официальный вид. Особое внимание уделено защите от подделки: на сертификате нанесен узор из тонких линий с внедренным в него изображением логотипа RetraTech, а также поставлена бронзовая печать RetraTech. Английский сертификат выделяет надежность и сосредоточенность в характере сертифицированного специалиста.

RetraTech неслучайно рекомендует приобретение русского и английского сертификатов одновременно. Как правило, интервьюер при приеме на работу, оценивая взглядом сертификаты, останавливается на том из них, который больше соответствует корпоративной культуре и этике компании.

Представление обоих сертификатов открывает перед работодателем все сильные стороны характера специалиста. А это дополнительный шанс попасть в команду компании.

Регтайму действительно не стоит доверять

2007-12-05T23:36:00.001+03:00

Не далее как 12 ноября регистратор доменных имен Регтайм (http://webname

s.ru) объявил о том, что с 3 декабря начнется регистрация доменов в зоне SU по новым, сниженным ценам. При этом в заявлении Регтайма обещалось следующее: "Цена Регтайма будет не более 500 руб + gTLD домен в подарок."

Очевидно, именно в ответ на это заявление Регтайма другой регистратор, Ру-Центр, 15 ноября вывесил на своем сайте пресс-релиз, в котором объявил о том, что с 19-го ноября Ру-Центр начнет прием заявок на предварительную регистрацию доменов SU по 600 рублей. При этом в пресс-релизе Ру-Центра подчеркивалось: "Согласно правилам Фонда развития Интернет, 600 руб. - это минимально возможная цена аккредитованных регистраторов для конечных пользователей!" Эта фраза, по всей видимости, являлась камнем в огород Регтайма, пообещавшего, что он будет регистрировать домены SU по цене не более 500 руб. На эти факты вчера уже обращал внимание Софтодром.

Как выяснилось сегодня, мы ошибались, полагая, что Регтайм сдержит свое обещание. Сегодня Регтайм опубликовал сообщение о том, что он, также как и Ру-Центр, начинает прием заявок на регистрацию доменов SU, причем делает это на три дня раньше - не с 19-го, а с 16-го ноября. При этом в сообщении Регтайма указывается и цена, выделенная жирным шрифтом: "Стоимость регистрации домена на 1 год составит 508 рублей 50 копеек".

Почти 500 рублей, как и обещали? Нет, оказывается, это цена без учета НДС (в сообщении Регтайма эта фраза, естественно, жирным шрифтом не выделена). Ну разве это не наглый обман?

news.softodrom.ru

Генпрокуратура РФ предлагает контролировать Интернет

2007-12-05T23:34:00.001+03:00

Как сообщает РИА "Новости", заместитель генерального прокурора РФ Иван Сыдорук высказался за необходимость выработки системы контроля за материалами, появляющимися в сети Интернет.

"Когда в Интернете дается полное описание изготовления взрывчатого вещества или указания, как нужно организовать теракт - тут надо что-то делать," - заявил Сыдорук, выступая в понедельник на заседании комитета Совета Федерации по правовым и судебным вопросам, на котором заместитель генерального прокурора обратил внимание на то, что в последнее время в СМИ и Интернете получили широкое распространение

материалы экстремистского характера.

news.softodrom.ru

Число веб-сайтов достигло 150 млн.

2007-12-05T23:26:00.000+03:00

Мониторинговая компания Netcraft опубликовала результаты очередного подсчета сайтов, существующих в Интернете.

Как сообщается в исследовании Netcraft, всего на 1 ноября 2007 года был получен ответ от 149,784,002 сайтов. Месяц назад это число было на 7 млн. меньше, а по сравнению с началом года число сайтов увеличилось на 40 млн.

news.softodrom.ru

Мининформсвязи запустит социальную сеть для изобретателей

2007-12-05T23:25:00.000+03:00

НАИРИТ (Национальная Ассоциация Инноваций и Развития Информационных Технологий) и Мининформсвязи РФ запустят социальную сеть для изобретателей, сообщает РБК Daily.

Новая социальная сеть откроется по адресу Kulibin.org. (Домен зарегистрирован

всего два дня назад. Предыдущий владелец, по всей видимости, не стал его продлять и домен был свободен с марта текущего года.)

Как сообщается, инвестиции в проект Kulibin.org составят 50 млн. руб. При этом ожидается, что число пользователей сети достигнет 200 тыс. человек.

news.softodrom.ru

В России впервые осудили Интернет-пирата

2007-12-05T18:01:00.000+03:00

Как сообщают "Ведомости", суд Ворошиловского района Ростова-на-Дону осудил российского гражданина Сергея Аврамова за размещение в Интернете программного обеспечения компании "1С" для свободного скачивания.

Как говорится в приговоре, Аврамов разместил в Интернете ссылки на бизнес-приложения "1С", используя для этой цели программу uTorrent. Тем самым фирме "1С" был нанесен ущерб в размере 95100 руб.

Суд осудил Аврамова на год условно за незаконное использование объектов авторского права (ст. 146 УК РФ "Нарушение авторских и смежных прав").

Данный случай является первым в России случаем осуждения пользователя не за продажу контрафактных дисков с компьютерными программами, а за размещение нелегальных копий программы в Интернете, отмечает издание со ссылкой на замдиректора Некоммерческого партнерства поставщиков программных продуктов Анну Лавринову.

news.softodrom.ru

Шифрование паролей с помощью PHP

2007-11-15T00:58:00.000+03:00

Если вы разрабатываете вебсайты которые требуют регистрации пользователей - ваша обязанность заключаеться в безопасном сохраниении паролей пользователей. И если вы храните пароли в открытом виде - вы не делаете свою работу качественно. Можно согласиться, что хранить пароли в открытом виде удобно, но что делать если важу базу данных с паролями украли? Это означает что можно получить доступ к данным пользователей не только на вашем сайте, но и на других так как большинство пользователей используют одинаковые пароли.

Никакие данные не могут быть безопасными если кто-либо еще имеет доступ к веб серверу (например хостинговая компания, занимающаяся размещением вашего сайта в сети интернет) или базе данных (хостинговая компания регулярнос создает резервные копии данных) тогда вы не имеете полного контроля над безопасностью хранения конфиденциальных данных. В общем всегда есть вероятность что ваша база данных может быть украденна, поэтому существует простое правило - шифруйте пароли.

Хеширование

Хеш - это строковые данные получаемые из оригинального пароля с помощью одностороннего алгоритма. Другими словами достаточно легко получить хеш из оригинала, но гораздо труднее (при определенных условиях практически не возможно) получить оригинал из хеша. Вы храните хеш в базе данных и когда пользователь авторизуется в системе просто сравниваете его с хешем полученным от введенного пользователем пароля. Например так:

if( $user->passwordhash == sha1( $_POST['password'] ) )

Таким образом вы никогда не будете хранить настоящие пароли пользователей.

Сушествует несколько алгоритмов хеширования в PHP среди которых md5 и sha1 наиболее распространенные. К сожалению они не настолько безопасны, как ожидалось. Будет лучше использовать более безопасный метод хеширования, и если у вас есть расширение Hash для PHP (поумолчанию с версии 5.2.1) то вы будете иметь доступ к более широкому кругу алгоритмов. Более лучший пример будет выглятеть так:

if( $user->passwordhash == hash( 'whirlpool', $_POST['password'] ) )

Радужная таблица

Но существует другая проблема. После того, как ваша база данных украденна, злоумышленник имеет достаточно времени чтобы взломать пароли используя радужные таблицы. Это выглядит прмерно следующим образом: создается большой набор хеш сумм на основе какого либо набора слов и затем полученные хеш суммы в разных комбинациях сравниваються с имеющимися в бд хеш суммами. И через час или около того примерно поливина всех ваших паролей будет расшифрованна.

Чтобы избежать этого вам стоит модифицировать пароли добавляя к ним случайную строку ( называемую salt или nonce). Основную часть времени расшивровки паролей с помощью радужных таблиц составляет построения набора хеш сумм. Добавление случайной строки к паролю повлечет за собой переформирование словарей хеш сумм с учетом случайной строки, что приведет к большим затратам времени. Каждый пароль должен иметь уникальную случайную строку.

Решение

Для обеспечения повышенной безопасности вам нужен код аналогичный следующему:

// Получим случайную строку
function getPasswordSalt()
{
return substr( str_pad( dechex( mt_rand() ), 8, '0', STR_PAD_LEFT ), -8 );
}

// Вычислим хеш
function getPasswordHash( $salt, $password )
{
return $salt . ( hash( 'whirlpool', $salt . $password ) );
}

// Сравниваем палоь и хранимый хеш
function comparePassword( $password, $hash )
{
$salt = substr( $hash, 0, 8 );
return $hash == getPasswordHash( $salt, $password );
}

// Получим хеш для пароля
$hash = getPasswordHash( getPasswordSalt(), $password );

Вам не обязательно добавлять строку к хеш сумме и вы можете хранить их раздельно. Так же строка не обязательно должна быть в шеснадцатиричном виде. Итак вы не будете иметь самый быстрый алгоритм шифрования, но будете иметь более безопасный.

Cookie HttpOnly

2007-11-15T00:52:00.000+03:00

Теперь куки могут быть недоступны для клиентских скриптов (JavaScript) во избежание кражи важных данных. Как известно, файлы cookies, сохраняются на клиентской машине пользователя и могут быть доступны не только из PHP-скриптов, но и из JavaScript. Таким образом, JS-скрипты могут быть использованы для кражи информации из Cookie.
Нововведения предназначены для предотвращения такой возможности и могут быть использованы в функциях setcookie() и setrawcookie() в дистрибутивах PHP 5.2. В ранних версиях можно использовать опцию следующим образом:

header("Set-Cookie: hidden=value; httpOnly");

Изменения коснулись и механизма сессий, так как он тесно связан с cookie. Привести механизм в действие можно будет так:

ini_set("session.cookie_httponly", 1);

или

session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

Такой подход пока еще не будет работать во всех браузерах и актуален только для IE.

XSS & PNG

2007-11-15T00:05:00.000+03:00

Хоть это и кажется бредом но это возможно. Делается это простым дописыванием html-кода в конец PNG-файла. В итоге браузер выплёвывает текстовое содержимое файла наружу и код выполняется. Неудобств у этой атаки 3:

Атакуемый должен обратится непосредственно к картинке, а не к страничке её содержащую. Например www.server.com/image1.png.
Многие популярные движки хранят расширение файлов в базе, а сами файлы лежат переименованные в отдельной папке с одним и тем же расширением (например '.ext').
Такие атаки проходят только с браузером Internet Explorer. Тот -же FireFox просто пишет что изображение повреждено.

Как видите ограничения хоть и есть, но они не слишком значительны(кроме второго). Теперь разберём всё на практике. Давайте напишем небольшой скрипт который будет отвечать за аплоад картинок на сервер и форму в которой пользователь будет выбирать какую картинку загрузить.

index.html:

<form enctype="multipart/form-data" action="upload.php" method="post">
Отправить этот файл: <input name="userfile" type="file" />
<input type="submit" value="Send File" />
</form>

upload.php:

<?php
// Изображения сохраняем в папку images
$upload_dir = "images/";
$upload_file = $upload_dir . basename($_FILES['userfile']['name']);
move_uploaded_file($_FILES['userfile']['tmp_name'], $upload_file);
?>

У нас есть самый простой аплоадер картинок. Теперь нарисуйте в любом редакторе картинку (например точку) и сохраните. Далее откройте эту картинку простым текстовым редактором и допишите в конец текст <script>alert(1)</script>. Если всё нормально то обратившись к этому изображению с помощью IE Вы увидите окошко с цифрой 1 и кишки картинки в виде обычного набора странных символов. Теперь нужно поставить фильтр на этот аплоад что бы он не пропускал опасные картинки. Давайте сделаем это на примере тега ''. Мы будем действовать следующим образом:

Сохраним загруженное изображение
Откроем как текстовый файл и возьмём внутренности
В получившемся тексте будем искать <script
Если данное выражение найдётся то удалим файл и сообщим об этом.

Вот код который нужно добавить в аплоадер после загрузки файла:

// Открываем файл для чтения
$handle = fopen($upload_file, "r");
// Читаем весь полностью
$file_text = fread($handle,filesize($upload_file));

fclose($handle);
// Если обнаружился <script
if (strpos($file_text,'<script')>-1)
{
// то удаляем этот файл и сообщаем пользователю
unlink($upload_file);
print 'XSS image!';
}

Теперь создайте ещё одно изображение только полностью безопасное и попробуйте загрузить его на сервер. У меня всё прошло нормально, а вот на загрузку опасного файла скрипт выругался. Естественно надо фильтровать не только тег но и тэги типа <embed>,<applet> и т.д.. Так же нужно не забывать о фильтрации полного слова javascript. А перед проверкой лучше текстовые внутренности перевести через функцию strtolower() так как могут попасться и <script></script> и JAvAscRIpT:alert(1)
И ещё. Не вздумайте проверять изображения на наличие '<' и '>' так как эти символы присутствуют в коде каждой картинки и каждое PNG-изображение будет считаться опасным. Удачи!

Уязвимость Cross Server Scripting (XSS) в Macromedia Flash Player

2007-11-14T23:00:00.000+03:00

Macromedia стало известно о уязвимости в безопасности. Когда содержимое Macromedia Flash (SWF) загружаеться с другого, отличного от текущего домена, создаеться возможность чтения и передачи данных, таких как куки и html.

Важным моментом безопасности на стороне клиента являеться то, что скрипту не разрешается проверять, изменять или иным образом взаимодействать с данными, которые поступают из web, кроме текущего домена. Когда Flash анимация находиться внутри HTML страниц они могут определять свой собственный код и подключать сторонние сценарии используя функцию ActionScript getURL() . Когда это происходит, нарушаеться кросс-доменная безопасность в отношении flash роликов и HTML страниц на которых они располагаються. Это означает что у авторов flash роликов появляется возможность взаимодействовать с HTML кодом текущей страницы через ролик, используя скрипты расположенные на других доменах. Эта проблема возникает с ActiveX версией Macromedia Flash Player для Internet Explorer и Netscape плагином для Netscape Navigator. Эта проблема может повлиять только сайты, содержащие страницы с flash роликами, подгружаемыми с других доменов и/или могут быть написаны лицами, не обладающими доверием владельцем веб-сайта. Такими сайтами могут являться каталоги flash роликов сторонних разработчиков или форумы с "подписями" / аватарами на основе Macromedia Flash.

Простое решение - хранить загруженные сторонними авторами ролики на отдельном хосте с отдельным доменным именем и размещать их на странице внутри обвертки (отдельное окно или iframe). Такой вариант хорош тем что flash ролик будет иметь доступ к телу iframe через который он загрузился. То есть имеется в виду что он будет находится как бы в песочнице, из которой на главный сайт он не как не выберется. Например, если ролик распологаеться на главной странице www.macromedia.com, песочницу следует разместить на external.macromedia.com и это предотвратило бы любой доступ к даным основной страницы www.macromedia. com. Это не очень удобно так как есть браузеры не поддерживающие этот тэг, либо тэг может блокироваться файрволом (например Outpost Firewall).

Второй способ заключаеться в том что Macromedia выпустила обновленный Macromedia Flash Player, который поддерживает простой способ контроля содержимого. Веб-страницы с flash анимацие могут принимать новый параметр HTML кода (тег PARAM Internet Explorer, тег EMBED для Netscape Navigator). Этот параметр называется "AllowScriptAccess". Он может иметь два возможных значения: "always" и "never".

AllowScriptAccess - "never", функция ActionScript getURL не сможет выполниться.
AllowScriptAccess - "always", функция ActionScript getURL сможет выполниться..
AllowScriptAccess не указана в HTML страницы, то значение по умолчанию "always".

За дополнительной информацией по вопросам безопасности в Macromedia посетите: http://www.macromedia.com/security.

Онлайн переводчики

2007-11-14T20:37:00.000+03:00

Пара сайтов предоставляющие онлайн переводчики:

Онлайн сервис tadalist.com для организации списков дел

2007-11-14T20:24:00.000+03:00

tadalist.com предоставляет онлайн сервис для ведени собственных списков дел. Основные моменты:

Чекбоксы и ajax. Когда закончите, просто поставьте галочку и на этом.
Списки любой тематики. Списки необходимых дел, любимой музыки, домашних дел...
Экспорт. Поделитесь списками с друзьями, коллегам или оставте их личными.
Широкая поддержка браузеров. работает в самых популярных браузерах (IE 6 / 7, Firefox 2, и Safari 2) на Mac, PC и iPhone.

Здесь можно зарегистрировать аккаунт.

Сжатие JavaScript кода

2007-11-14T20:18:00.000+03:00

Онлайн компрессор js кода www.javascriptcompressor.com, еще не тестировался.

JavaScript и изображения (instant.js)

2007-09-11T17:52:00.000+04:00

JS класс Instant позволяет добавлять эффекты к картинкам включая поворот. Список поддерживаемых браузеров:

Mozilla Firefox 1.5+
Opera 9+
Safari
IE6+

Скачать instant.js 1.2