Вольный перевод текста от Peter Saint-Andre, одного из самых активных участников Jabber/XMPP community.

1. В XMPP, адрес отправителя задается не на компьютере отправителя в программе-клиенте, а на сервере. Так что, клиент не может подделать адрес «От:». (Конечно, если вы — администратор сервера jabber.org, в принципе, вы можете отослать сообщение от имени любого пользователя этого сервера. Но только этого сервера. Отослать сообщение от имени пользователя другого домена вы не сможете).

2. В XMPP, сервера проверяют друг друга с помощью протокола «dialback» (RFC 3920 / XEP-0220), основанного на DNS, или с помощью сертификатов сервера. Так что, если я запустил сервер на домене jabber.org, я не смогу отсылать сообщения от имени microsoft.com или whitehouse.gov. (Кроме того, сообщения доставляются от сервера отправителя к серверу получателя напрямую, минуя промежуточные jabber-сервера. Подделывать адреса сообщения в процессе доставки некому.)

Сегодня я расскажу о MDC — новом проекте компании NetStream. MDC – мультипротокольный клиент обмена сообщениями с поддержкой операционных систем Windows, Linux, MacOS X и протоколов ICQ, Mail.Agent, Jabber, AOL (постепенно мы будем расширять список протоколов).

Конечно же с помощью гугла и встроенной возможности оперы конструирования поисковых запросов.
Если вы знаете, как это и умеете сами, я рад за вас. Теперь же я расскажу для тех кто не знает, что нужно сделать.

Для примера мы сделаем вариант перевода Любой язык -> русский


Поняв суть способа, вы за несколько секунд сможете сделать «переводчик» для любого языка.

Недавно нашел интересный сервис — он позволял оставлять на нем свои пароли от разных сайтов и, при желании, постить при желании на все эти сайты сразу из одного интерфейса.

Я сам таким не пользуюсь и плохо понимаю зачем такие сайты нужны, но мне стало интересно, насколько же защищены пароли пользователей на этих сайтах?

Полазив по сервису, нашёл парочку дырок с XSS-уязвимостью. Но на каком сайте их не бывает? Даже на хабре вон не все еще закрыли (хотя хабр и не хранит чужие пароли, ему простительно).

Еще больше я был удивлен, когда узнал, что сменить пароль пользователя и любую его информацию на этом сервисе можно обладая всего лишь его кукой. Такой простой вещи, как ограничение сессий по IP там нет, не говоря уже о требовании ввести пароль при смене критичных данных. А это уже совсем непростительно, даже на хабре такого неуважения к безопасности нет.

Но это не самое смешное. Случайно я обнаружил, что если сменить свой емейл в профиле, то система радостно отправляет на новый емейл незашифрованный пароль пользователя. Это уже ни в какие ворота. Мало того, что даже хранить незашифрованный пароль пользователя нельзя, но отсылать его по почте в открытом виде кому попало…

Все это мне стало настолько интересно, что я решил узнать, что же может добиться хакер на этом сайте?

Написав небольшой скриптик и применив немного психологии (чтобы заставить людей зайти на мой профиль, на котором был этот скрипт), я получил в открытом виде пароли около 400 пользователей сервиса. Учитывая, что 80 и больше процентов людей используют один и тот же пароль на нескольких сайтах (а иногда и на почте), а список сайтов, на которых зарегистрирован пользователь, можно найти прямо в его профиле (это основная «фишка» того сервиса, о котором идет речь), то получается просто рай для злоумышленников.

Написав совсем немного кода на JS можно получить доступ к паролю человека, постить от его имени в другие его блоги (если он настроил эту «фичу» на сервисе), при удаче (или неосторожности пользователя) получить доступ к его аккаунтам на других сайтах.

Что же это за замечательный сервис?
Это bestpersons.ru, программисты которого с гордостью писали о найденных XSS на самом Jaiku! UPD: уже не гордятся :(

Удачи тем, кто использует сервисы, «объединяющие сайты».

з.ы. а еще они предоставляют OpenID ;)

продолжение истории

В недрах торрент-трекера The Pirate Bay ведутся работы по созданию новой технологии шифрования интернет-трафика.

Проект, получивший название IPETEE (Transparent end-to-end encryption for the Internets) пока находится на начальной стадии разработки. Суть его заключается в шифровании трафика на уровне сети, а не по старинке, на уровне приложений.

По замыслу разработчиков, модуль шифрования будет устанавливаться в качестве независимой программы (или аддона к программе-клиенту), которая в фоновом режиме будет обрабатывать входящий и исходящий трафик.

Интересно, что «пиратовцы» не собираются ограничиться лишь трафиком торрент-сетей. Очень может быть, что (при успешной реализации, конечно) создаваемый в The Pirate Bay протокол IPETEE будет использоваться в будущем для шифрования всего и вся: электронной почты, IP-телефонии, серфинга.

via Internetno

Хабрасчетчик — лучшее решение для сбора маленькой и ненужной статистики по просмотрам топика.
— нет, это не он, это реклама

Очень красивое меню, реализованное при помощи Jquery, сравнимое только с меню реализованными на флеше.
Это меню работает за счет изменения background-position наложенных друг на друга слоями изображений.

По просьбам трудящихся, а так же учитывая, что есть статья по установке SVN (правда +Trac) под Linux, решил написать краткое описание установки и настройки SVN для Windows.
Ничего нового для людей, хорошо знающих и работающих с SVN, здесь не будет. Цель статьи — помочь некоторому проценту новичков, пребывающих на Хабре, таки осилить изучение этой системы контроля версий.

Эту статью я написал не так давно, уже имея опыт предпринимателя. Одни моменты в ней — советы из собственной практики, другие — развитие идей, умозаключения. Но, думаю, если бы перед тем, как начинать свободное плавание предпринимателя мне кто-нибудь дал почитать подобный материал, я бы действовал несколько иначе.

Intro

В этой статье вы найдете некоторые рекомендации, советы и объяснения, которые помогут вам определить направления развития вашего бизнеса с самого начала его существования. Мы рассмотрим три важных аспекта любого бизнеса:

• фокус;
• отличия;
• клиенты.

В этом топике я бы хотел поделиться своим опытом организации почтовой системы в компании численностью до 20 человек. А также спросить совета у вас, по оптимальной организации.

В 16:15 прекратилось энергоснабжение наших серверов в датацентре Караван. Через некоторое время электричество вернулось, а с ним пришли и проблемы.

Мы не имеем возможности получить разъяснения: вероятно, здание компании Караван разрушило НЛО. Все телефоны компании отвечают, как несуществующие.

Возможны перебои в работе нашего ресурса. Имеются последствия, с которыми предстоит разбираться.

Просим всех проявить терпение.

При создании дизайна постоянно сталкиваешься с необходимостью стилизованных под конкретный дизайн кнопок, а рисовать постоянно картинки не удобно, да и не практично.

Здесь представлены

За последние 4-года я был инициатором создания 5-ти стартапов. И на собственном опыте испытал все прелести этапа «что-то тут не так, но что?»
Мы создаем сервисы для людей. Кто хочет поспорить на эту тему? Никто? Ну и правильно. Потому что не о чем тут спорить: сегодня именно пользователи диктуют, чему быть, а чему не быть в Интернете.
Главное – уметь слушать и слышать не только и не столько хвалебные речи в адрес своего ресурса, но и критику недовольных.
Скажу больше: «недовольным» пользователям надо создавать особые, «тепличные» условия для самого полного мыслеизъявления. И вот почему.
Как обычно поступают «недовольные» пользователи?
Делюсь совершенно несекретными наработками.
Часть «недовольных» уходит и никогда больше не возвращается на сайт. Часть – отправляется перемывать косточки ресурсу на всех доступных форумах. Несколько самых смелых представителей недовольного «большинства» штурмуют почтовый ящик админа (т.е., например, мой), забрасывая его невнятно сформулированными идеями по улучшению и исправлению…
Результат?
Мозги админа – пухнут, извилины владельца – распрямляются, проект – лихорадит. Но к лучшему практически ничего не меняется.
В какой-то момент я задумался:

Поскольку я не программист, но иногда немного мучаю Вордпресс, получается, что я программирую. Само собой, путаюсь. Еще приходится читать чужой код и разбираться в нем. И вспоминать, что же я сам там понаписал. Постепенно, изучая чужой код и потирая набитые шишки, пришел к некоторому перечню приемов, облегчающих жизнь PHP-чайника.

Наконец-то, мне удалось сделать то, что давно было в планах:

— добавлена работа с jabber-протоколом
— установка и отображение аватаров пользователей

Еще не весь функционал реализован, сильно не ругайте.



Клиент настроен на вход в конференцию habrahabr.
Подключайтесь, пробуйте, общайтесь.

Уверен, вам не раз подалась на глаза аббревиатура OpenID. Вполне возможно у вас сложилось мнение, что это эдакая модная штуковина, о поддержке которой все чаще заявляют различные популярные проекты. По большому счету так и есть, но зачем эта технология на самом деле нужна? Предположим, вы заядлый блоггер, у вас имеется учетная запись на wordpress.com, но случилось вам прочесть сообщение в чужом дневнике и возникло непреодолимое желание оставить автору комментарий. Но вот незадача – чужой дневник оказался на livejournal.com. Неужели только для того, чтобы оставить комментарий вам придется регистрироваться на «вражеском» блог-хостинге?!

Наверное каждый разработчик подходил к моменту выбора между двумя решениями одной задачи и естесвенно решающим фактором выбора является наиболее быстрый способ (по времени процесса). Так и я в ходе разработки поиска для своей CMS задался вопросом: что лучше, делать поиск по базе используя полнотекстовой индекс или с помощью оператора сравнения LIKE, имея небольшое количество информации.

Для того, чтобы ответить на свой вопрос я провел небольшой опыт: создал таблицу с четырмя полями (два из которых использовались для поиска и были проиндексированы FULLTEXT'ом) содержащую 5 000 строк. Поля по которым производился поиск содержали по 255 символов, случайно выбранных из одного большого текста. Поиск производился так же по случайным словам не короче 4-х символов.

День добрый, Хабралюди.
В данном посте хочу попросить совета как лучше управляться с доменами.

Ситуация следущая: так получилось, что постепенно создавались сайты у разных хостеров, там же регистрировались домены и к сегодняшнему дню получился большой разброс по управлению ими. Например один домен паркуется на петерхосте, пара в ру-центре и т.д. Управляться с ними в связи с этим не очень удобно.

Хочется иметь отдельный аккаунт, где бы хранились все домены, где можно было бы легко и быстро менять записи, осуществлять продление и т.д.

Что посоветуете в связи с вышесказанным? Где складируете свои домены?
Удобный интерфейс нашел на r01, кто пользуется, насколько там всё гибко?

Заранее спасибо.

АПдейт: