Pull to refresh

Google Code Search проиндексировал много php-скриптов… вместе с паролями…

Information Security *
Сегодня в ЖЖ во френдленте обнаружил интересную ссылку lang:php .... По этой ссылке можно увидеть результаты простого поискового запроса к Google'евскому поиску по коду.

То что искушённый читатель видит на экране, а видит он красивую таблицу различных логинов и паролей к базам данных MySQL (достаточно много ссылок работают), является ярким примером того, почему надо чётко разделять код и данные, и тем более настроечные данные. И чем именно плох php, не сам по себе, а тот стиль разработки, который он прививает у неискушённого программиста.

Перед комментарием проверьте, нет ли там пароля от Вашей базы? А то, возможно, ОНИ уже идут к Вам :)

P.S. Представляю, в каком объёме сейчас горе-разработчики переведут стрелок на возмутительное поведение поисковой машины.
Total votes 18: ↑11 and ↓7 +4
Views 2.2K
Comments 18

Google Hacking Database

Information Security *
В обсуждении недавно опубликованной мною ccылки на поиск по коду, сожержащему пароли доступа к MySQL базам промелькнула ещё одна интересная ссылка.

Google Hacking for Penetration Testers
Некто Джонни оказывается ведёт целый каталог подобных ссылок, именуемый Google Hacking Database (GHDB). Там же представлена книжка по использованию возможностей Google. Просто праздник какой-то :)
Total votes 21: ↑19 and ↓2 +17
Views 11K
Comments 0

О пользе валидации

Lumber room
Сослуживец (верстальщик) в истерике: «Задолбал глючный IE, чтоб он провалился, ни фига никогда в нем ничего не работает, достало». Начинаем разбираться. Открываю в Mozilla с Firebug и валидацией на лету. Область, создающая проблемы (главное меню), разъехалась. Валидатор сходу выдает семь ошибок. Поправили код, валидацию теперь проходим на ура. Само собой встало на место меню, в IE всё ок, как положено.

Уязвленный верстальщик отползает, продолжая, впрочем, ругать IE.

Вывод: как и в любой проблемной ситуации, виноват, разумеется, не браузер, а наши кривые ручки, которые в этот браузер суют всякие непотребные конструкции. Золотое правило автоматизации кроссбраузерной верстки: документ обязан проходить валидацию как минимум без ошибок (в идеале и без предупреждений). Сделаете это — сделаете всё. Нам-то в этом случае, конечно, просто повезло, не валидация излечила документ, но лечить глюки лучше именно в валидном документе.
Total votes 16: ↑15 and ↓1 +14
Views 244
Comments 18

Белорусская история Российского школьного портала

Lumber room
Сегодня моя знакомая попросила проверить свои результаты централизованного тестирования на официальном сайте Института контроля знаний.
и что я там увидел?
Total votes 54: ↑47 and ↓7 +40
Views 255
Comments 35

Корзина в современном интернет-магазине

Interfaces *
Здравствуйте, хочу написать цикл статей про юзабилити веб-интерфейсов, и начну, как не странно, с корзины покупок.

В этой статье я постараюсь рассмотреть как выглядит большинство корзин сейчас, разобрать их преимущества и недостатки, а так же попробую сотворить нечто более современное и удобное.

Предупреждаю сразу — пишу я впервые, так что многое может быть изложено далеко не лучшим образом.

Итак, начнем!

Читать дальше →
Total votes 84: ↑74 and ↓10 +64
Views 28K
Comments 97

Вконтакте читеры

Lumber room
Я стараюсь относиться ко всему объективно. Да, я зарегистрировался на Вконтакте 1,5 года назад. До сих пор я получаю оттуда крупицы полезной информации. Но любому терпению приходит конец. Я говорю не о тех «безобидных» захватах аккаунтов, которые происходят через фальшивые сайты. Я говорю не о том порно спаме, который раз в неделю появляется в комментах моих фотографий. Я говорю о тех дырах, в устройстве сайта, которые были оставлены его разработчиками. Теперь ими пользуются все, кому не лень, а владельцы сайта закрывают на всё глаза. Но перейдём к фактам.
Читать дальше →
Total votes 60: ↑25 and ↓35 -10
Views 417
Comments 28

Плохой менеджмент vs. кривые руки

Lumber room
Во многих видах бизнеса, а особенно в веб-разработке, популярным объяснением всех проблем является «плохой менеджмент».
Его стараются лечить отработкой постановки задач исполнителям, правильными разговорами с заказчиками, хитрым написанием договоров и ТЗ.
Но все гораздо проще с одной стороны, и гораздо сложнее с другой…

Читать дальше →
Total votes 20: ↑6 and ↓14 -8
Views 496
Comments 12

Возмущен: Майкрософтовский сайт не работает под IE

Lumber room
Заголовок, конечно, желтоват. Но меня всегда удивляло, а иногда и возмущало, почему сайты разных майкрософтовских проектов и инициатив не отображаются корректно в Internet Explorer.

На этот раз моему вниманию попался сайт AppArchGuide.MS.

Ниже скриншот сделанный в IE7 (внимание — на форму).

image

Disclaimer: Я не проверял, как отображается этот сайт в других браузерах IE, заполнив форму в Firefox.

Кстати сайт предназначен для распространения «Руководства Microsoft по проектированию архитектуры приложений» на русском языке. Оно доступно для скачивания в PDF после регистрации и может быть кому-то из хабролюдей интересно само по себе.

UPD: Скриншот кликабельный.
Total votes 44: ↑14 and ↓30 -16
Views 189
Comments 15

«Разгон» Windows 7

Lumber room
Тема разгона ОС настолько популярна, что бояны штампуются один за другим, передаются как письма счастья с сайта на сайт. Встречал даже вопиющие случаи тупого копипаста подобных топиков с единственным изменением (!) названия оси.
Не буду отрицать, я тоже увлекался этим делом, пока не довел свою тогда еще ХР до гниющего полумертвого состояния. После этого стал срать в каментах очень скептично относиться к такого рода топикам.
Тема оптимизации ВинХР в определенных кругах актуальна до сих пор. Я давненько уже полностью перешел на 7, и вот недавно снова столкнулся с темой разгона этой самой Семерки. Ради интереса решил почитать, что же там предлагают. Честно говоря, ожидал диких конфигов, неведомых исправлений реестра, патчей, надстроек и тд. Оказалось все намного проще, что совсем не значит полезнее.
Читать дальше →
Total votes 63: ↑31 and ↓32 -1
Views 4.1K
Comments 26

12 способов не накосячить со вспышкой

Photographic equipment
После трёх лет работы со студийным светом я думал, что знаю про накамерную вспышку если не всё, то очень много. Три недели назад я попал в гости к одному особо опытному стробисту, который рассказал и показал столько, что я сразу понял, что надо садиться и делать перепись грабель, а потом тестить, тестить и ещё раз тестить.

Ниже — достаточно известные вещи, которые, однако, вызывали facepalm у тех, кто был вместе со мной или же у меня. В списке грабель вы с некоторой вероятностью можете найти что-нибудь новое. Если хотя бы она фича использования вспышки окажется для вас полезной, то мою задачу можно считать выполненной.
Читать дальше →
Total votes 228: ↑223 and ↓5 +218
Views 210K
Comments 73

Кривые руки и ЕГЭ

Website development *
Год назад я писал об одном фееричном вопросе в ЕГЭ по обществознанию. Сегодня я решил посмотреть, что там нового приготовили школьникам разработчики ЕГЭ. Зашёл на официальный сайт (www1.ege.edu.ru) и обнаружил аж цельный ОНЛАЙН тест по обществознанию! Ну, я не мог мимо него пройти.

Вопросы, конечно, сказка (кстати, пресловутый вопрос об относительности истины мне таки попался), но больше всего меня убили не они. Как оказалось, собственно даже знание наизусть рекомендованного учебника никак не поможет сдать на 100 баллов.

Пруф под катом
Total votes 167: ↑151 and ↓16 +135
Views 5.5K
Comments 165

Эпик фейл с рассылками у VMWare

Information Security *
VMWare всегда несколько свободно обращалась с полученными от партнёров email-адресами. В смысле, «налево» они не уходили, но обнаружить себя подписанным на yet another рассылку про Новый и Очень Перспективный Продукт — запросто.

То же касается и всякого рода мероприятий.

Практика не очень похвальная, но всё же терпимая. Так было до определённого момента, пока VMWare не добавила эти адреса в очередной список рассылки: russia-cis-partners at lists.vmware.com.

Сделано это было с помощью mailman, причём сам mailman не в курсе, что такая рассылка на его сервере есть: lists.vmware.com/mailman/listinfo/russia-cis-partners

Пришло сообщение о подписке. Ещё не было самой рассылки, как…

… как выяснилось, что в эту рассылку могут писать все. И понеслось. Я помню, была подобная история несколько лет назад, когда через рассылку прошло несколько десятков тысяч негодующих писем с просьбой отписать (и каждое такое письмо приходило обратно всем остальным негодующим, вызывая появление новых негодующих), кажется, это было в какой-то муниципальной рассылке, если кто помнит, ткните.

Так вот, ровно та же ситуация.



В настоящий момент в этом «дискуссионном списке» уже более 500 писем.
Читать дальше →
Total votes 78: ↑65 and ↓13 +52
Views 1.7K
Comments 40

Взлом базы данных из-за LFI

Information Security *
Recovery mode
Sandbox
Наверное ни для кого не секрет, что плохой код может привести к печальным последствиям. Особенно это касается сайтов. Недавно, читая статью о том, какие ошибки делают PHP-программисты, и какие уязвимости от этого появляются на сайте, наткнулся на Local File Inclusion. Меня эта уязвимость очень заинтересовала и я решил что-то поломатьпо-подробней изучить её.

После не долгих поисков наодном из форумов нашел ссылку на немецкий сайт http://www.gamecaptain.de. Сразу были замечены интересные параметры в адресной строке

image

Попробуем что-то из этого извлечь. Для начала получим исходный код index.php

image
Читать дальше →
Total votes 42: ↑23 and ↓19 +4
Views 4.5K
Comments 16

1 января 1904, 1970, Youtube, международный конфликт и кривые руки

Website development *IT Standards *
К сожалению, давно пропали топики-ссылки, но иногда бывают крайне занимательные вещи из первых рук. Рекомендую пост Анатолия Воробея (работает разработчиком в «Гугле»).

В видеоформате MP4 (стандарт MPEG-4) есть возможность записать «время создания» любого потока данных, с помощью специальной метки. Значение этой метки в стандарте: количество секунд, прошедших с 1 января 1904 года, или так называемое «время по эпохе макинтоша», потому что маки первыми стали использовать такой отсчет времени. Меж тем, в современных серверах намного проще иметь дело с «временем по эпохе Юникса», а именно количеством секунд, прошедших с 1 января 1970 года. В результате этого, во множестве программ, которые работают на Линуксе или других юниксовских операционных системах, есть кусок кода, который выглядит примерно так:
  • получить «время сейчас по юниксу»;
  • добавить разницу между временем по юниксу и временем по макинтошу — это некая константа;
  • полученное «время сейчас по макинтошу» записать в файл MP4, который мы создаем.

Чему равна константа «разница между временем по юниксу и временем по макинтошу»? Она равна в точности числу секунд, прошедших между 1 января 1904 и 1 января 1970. Это 66 лет, из которых 17 были високосными (проверьте, если не доверяете мне). Всего дней получается: 66 * 365 + 17 = 24 107, а секунд, учитывая 86 400 секунд в сутках: 24 107 * 86 400 = 2 082 844 800. Это правильное значение константы.
А как же обстоят дела в Ютьюбе
Total votes 270: ↑246 and ↓24 +222
Views 79K
Comments 25

Компания Denuvo засветила директорию /fileadmin

Games and game consoles
Ведущий программист Матиас Вернер и его коллеги из австрийской компании Denuvo пользовались репутацией больших профессионалов. Их защита игр от копирования работает на низком уровне, привязывается к железу и генерирует уникальный криптографический ключ. Что тут говорить — системные программисты, настоящие хакеры, без сомнений. Но вот на опытного веб-мастера они пожалели денег, а сам Матиас оказался не очень хорош в этом деле.

Вечером 5 февраля на форуме 4chan начали гулять ссылки на http://www.denuvo.com/fileadmin/, которая вывалила в открытый доступ всё содержимое. Там нашлось кое-что интересное.
Читать дальше →
Total votes 47: ↑33 and ↓14 +19
Views 23K
Comments 16

Очень странные дела. Что спрятано под капотом FreeDOS в современном ноутбуке

Дата-центр «Миран» corporate blog Configuring Linux *System administration *Virtualization *Laptops
Translation

HP Zbook Fury 17.8 G8 в режиме FreeDOS из коробки

Чтобы сэкономить на лицензии, производители компьютеров часто предлагают «голый» вариант техники без операционной системы. Но совсем без системы продавать нельзя, потому что это может нарушать законодательство (такой компьютер не выполняет заявленные функции, то есть не соответствует характеристикам). Поэтому они делают ход конём — ставят какую-нибудь бесполезную систему чисто для юридических формальностей. Нет, нормальный Linux они тоже ставят. Но кроме него зачем-то ещё и другой вариант.

Например, FreeDOS, как в нашем случае. Казалось бы, очень старая ОС, но её действительно используют в современной технике.

Разработчик компьютерных игр и специалист по виртуализации Linux Хайн-Питер ван Браам-Стюарт решил разобраться и посмотреть, что скрывается под капотом современного ноутбука HP ZBook 17.8 G8. Это оказалось как раз из его профессиональной области (извините за спойлер...).

Итак, слово автору…
Читать дальше →
Total votes 204: ↑204 and ↓0 +204
Views 53K
Comments 130