Лучшие практики и рекомендации по защите php-приложений от XSS-атак

Создание функционирующего веб-приложения – это только полдела. Современные онлайн-сервисы и веб-приложения, помимо собственного контента, хранят данные пользователей. Защита этих данных зависит от правильно написанного кода с точки зрения надёжности и безопасности.



Большинство уязвимостей связано с неправильной обработкой данных, получаемых извне, или недостаточно строгой их проверкой. Одной из таких уязвимостей является межсайтовое выполнение сценариев (Сross Site Sсriрting, XSS), которая может привести к дефейсу сайта, перенаправлению пользователя на зараженный ресурс, вставке в веб-ресурс вредоносного кода, краже COOKIE-файлов, сессии и прочей информации. Противостоять XSS своими сила поможет применение лучших практик и рекомендаций по безопасному программированию, о которых и пойдет речь ниже.

Эта история о небольшом проекте «Улицы прогулок», который призван помогать людям комфортно перемещаться по городу. Текущая стадия проекта — очень ранний прототип, демонстрирующий определённые идеи и возможности. При этом, я решил опубликовать его, чтобы собрать обратной связи от внешнего мира и единомышленников.



Мне по-прежнему нравятся карты и я их люблю и рассказываю про них, а ещё иногда что-то такое иногда с картами делаю. И сейчас рассказ тоже будет про картографический сервис.

Если бы не существовало терроризма, то его стоило бы придумать, лишь только для того, чтобы принять соответствующие законы, ужесточающие контроль над коммуникациями граждан в сети Интернет, и выстроить систему тотального контроля над российскими сайтами.

Указанный пост посвящен не анализу внутренней политики российской власти, не критике известных политических деятелей и отнюдь не описанию действующего режима, а для того, чтобы проанализировать пакет новых законопроектов, которые непосредственно затронут пользователей, владельцев электронных ресурсов, да и всю IT отрасль. Тему уже начал fStrange в своем посте , но коснулся он лишь электронных платежей, не затронув иные довольно важные аспекты предлагаемого пакета законопроектов.

Настроенные весьма недружелюбно к российским гражданам народные избранники вчера направили в Госдуму целых три законопроекта, так или иначе усиливающих антитеррористический инструментарий правоохранительных органов и спецслужб.

В честь 12-летия Google и в продолжение этого топика составил список купленных стартапов за последний год, возможно кому-то будет интересно почитать :)

Интересный документальный фильм BBC в котором профессор Джим Аль-Хэлили намеревается раскрыть одну из величайших тайн науки — что движет вселенную, которая начинается как пыль и в итоге заканчивается как разумная жизнь?
Просто и доступно доносятся очень глубокие, фундаментальные идеи о незаметной связи порядка и хаоса, природе нашего разума, внутренней способности вселенной к самоорганизации, происхождении человека и о многом другом. Русские субтитры.
1.

У большинства роботов такая вот неинтересная работа.

Представьте себе листок бумаги в клетку. Подозреваю, что уже на этом этапе некоторые хабралюди догадались, о чем пойдет речь. Что ж, моё почтение им. Остальные же продолжают представлять себе листок бумаги в клетку. Во всех подробностях. В мельчайших деталях.

А теперь представьте, что на этом простом листочке мы создадим простой, но оттого не менее впечатляющий симулятор жизни. Ни больше, ни меньше. Конечно, он будет очень упрощенный, но ведь чтобы понять что-то сложное надо начать с простого, не так ли? Этот симулятор можно применить ко множеству наук и с каждой из них он будет иметь множество достаточно интересных точек соприкосновения. От социологии до астрономии, от биологии до электротехники.

Ладно, хватит завлекалок. Пора удариться в математику.

Вчера (17.06.09) был запущен уникальный голландский сервис http://layar.eu/.
С помощью телефона на базе Android вы можете получить в реальном времени доступ к информации об окружающем вас мире через его камеру.
Это может быть информация о кафе, ресторанах, гостиницах и других социальных местах.

Помогая знакомому с дипломом — набрел на Федеральный Портал Российского Образования по сути своей важный и полезный портал, но одним из самых ужасных юзабилити которое я когда либо видел…
И решил поискать что у нас есть в Рунете посвященное ВУЗам и впринцыпе высшему образованию.

На просторах интернета был обнаружен маленький помощник, а именно программка, которая умеет быстро подставлять самые необходимые юникод–символы, кроме того, она может перключать раскладку, а счастливчики с клавишами F13 и F14 на клавиатуре смогут быстро разворачивать/сворачивать активные окна.

Программа очень молчаливая, и показывает своё существование только в списке процессов. Именно оттуда, при желании её и надо закрывать. Если есть желание пользоваться ей постоянно, то имеет смысл поместить в автозагрузку.

Список шоткатов:

Alt + -	короткое тире –
Alt + =	длинное тире ―
Alt + [	открывающая кавычка «
Alt + ]	закрывающая кавычка »
Alt + .	многоточие …
Alt + ,	буллет •
Alt + \	стрелка вверх ↑
Alt + /	(numpad) неравенство ≠
Alt + *	(numpad) смайл ☺
Alt + +	(numpad) копирайт ©
F13	свернуть окно
F14	развернуть окно
Caps Lock	переключение раскладки

f.lux™ — программа, изменяющая цветовой профиль вашего монитора в зависимости от времени суток.



Собственно, этим все сказано. Ночью глаза меньше устают от теплых цветовых тонов, днем — от ярких и холодных. Ссылка для скачивания: stereopsis.com/flux/flux-setup.exe

В топике о десятимерном пространстве, помимо идей об употреблении веществ и всяких астральных проекциях, высказывались идеи о четырёхмерной игре, чтобы «посмотреть, как это выглядит».
Тут имеется ввиду 4 пространственных измерения.
Фокусы с ветвлением и наложением во времени есть в играх типа Chronotron и аналогичных.

В последнее время стало популярным использование OpenID. Это удобно, быстро и по-современному.

OpenID — это открытая децентрализованная система единого входа, которая позволяет использовать один логин и пароль на большом количестве сайтов. На сайтах, поддерживающих OpenID, пользователям не приходится регистрироваться и помнить данные для каждого сайта. Вместо этого им достаточно быть зарегистрированными на сайте «провайдера идентификации» OpenID (предоставляющего идентификатор). Так как технология OpenID децентрализованная, то любой сайт может использовать программное обеспечение OpenID в качестве средства входа; OpenID решает проблему не полагаясь на централизованный сайт для подтверждения подлинности пользователя. (Wikipedia)

Лично для меня некоторое время создавало трудность запомнить строку ainu.myopenid.com. Со временем я, конечно, её запомнил, но теперь везде вместо ainu.myopenid.com пишу ramainen.ru (моя страничка, её то я запомнил), и сервисы меня прекрасно понимают. Конечно, я не стал OpenID провайдером, но вспоминание и ввод моего OpenID стал гораздо проще.

Данный плагин выводит QIP-подобные окошки в нижнем правом углу сайта. Пример в архиве.

UPD: Онлайн пример.

В течение последних месяцев команда Яндекс.Картинок не переставала радовать свою аудиторию новой функциональностью. И, судя по статистике, улучшения пришлись пользователям по вкусу. В этом посте мы хотим провести своеобразную инвентаризацию – собрать в одном месте информацию обо всех значимых изменениях за последние полгода.

Изучавшие или изучающие английский язык знают, каким страшным может казаться множество английских временных форм глаголов.
Всего в английском 12 временных форм. А в русском-то, на первый взгляд, всего 3, и как их связать с английскими, для новичка может быть совершенно не понятно.

… 1) Чтобы отключить отображение названий файлов рисунков в режиме просмотра «Эскизы страниц», выберите этот режим зажав клавишу Shift. Повторите для включения названий файлов.

Японская компания Cyberdyne начала выдавать на прокат роботизированный полу-костюм HAL, который как нельзя кстати придется немощным старикам и людям с проблемами опорно-двигательного аппарата. Гибридная вспомогательная конечность (HAL, hybrid assistive limb) представляет собой механический экзоскелет, работающий «под управлением» сенсорной системы, интерпретирующей сигналы головного мозга.

MultiTouch — стремительно набирающая популярность технология, позволяющая таким устройствам как сенсорные панели и экраны распознавать несколько касаний одновременно. Многие считают её технологией будущего, которая выведет пользовательский интерфейс на качественно новый уровень взаимодействия. Первым массовым mutlitouch устройством, стал Apple IPhone, выпущенный в 2007 году.
Но не iPhone единым жив мульти-тач, в этой статье я хочу рассказать о разных подходах к реализации Touch-интерфейсов с технической стороны, но не углубляясь в сверхсложные и непонятные простому человеку нюансы.

я просто пистчалъ)

Rammstein — Feuer Frei