Каким будет Веб в будущем? Об этом много пишут — начиная от новых спецификаций на HTTP, позволяющих быстрее и защищенней передавать данные по сети, заканчивая идеями “семантического” веба. Это все замечательно, вебу нужны быстрые сети и организованные данные, но есть проблемы которые остаются пока недооцененными и нерешаемыми с использующимися технологиями. Давайте соберем претензии к текущей реализации?

От переводчика: На Хабре уже было много про MtGox, но появившаяся пару дней назад статья с инсайдами от сотрудников обменника показались мне интересной, как пост-мортем проекта.

Со стороны, крупнейшая мировая биржа биткоинов выглядит как величайший пример недобросовестного предпринимательства. Но изнутри, согласно мнению тех, кто там работал, Mt. Gox — это неряшливая комбинация плохого управления, пофигизма и просто неопытности.

Интересный и волнующий баг сегодня нашел в Delphi XE5 и опубликовал владелец g+ комьюнити Delphi Developers, Lars Fosdal.

При некоторых условиях, True or False or False вычисляется в False, при этом (True or False or False) вычисляется в ожидаемое True.
В комментариях также замечают, что был случай когда x := True or True or True также выдавал False

У меня, как и у многих, давняя история знакомства с Дельфи — в старые добрые времена было модно начинать изучать программирование с уже устаревающего на тот момент GWBASIC’a, и стройного алгоритмичного Паскаля. Дельфи, выросшая из Турбо-Паскаля, произвела позже фурор своей новизной и “компонентным” подходом к разработке. Потом пришли новые мощные языки, веб начал теснить десктоп и я ушел в веб-разработку надолго.
Пару лет назад я пришел в проект, который разрабатывается на Дельфи, и после других языков я понял, что мне иногда неудобно ей пользоваться. В большинстве языков есть понятие “пакета”, менеджеры пакетов и репозитории, которые их хранят, в Дельфи же ничего похожего нет. Все зависимые библиотеки ставятся вручную, и пути к ним нужно прописывать в файле с настройками проекта. Если проект перенести на другой компьютер, то нужно молиться на то, что бы библиотеки там находились в тех же папках. Это ужасно, на мой взгляд. Зависимости должны прописываться в проекте, и потом автоматически скачиваться и устанавливаться, если они не установлены, и все пути к зависимостям должны проставляться автоматически.
Так и появился менеджер пакетов для Дельфи — OwlyCI, о котором я расскажу ниже.

Отличный подход к информационной безопасности показала Американская администрация экономического развития (The Commerce Department's Economic Development Administration).

Вирусная атака нанесла этому ведомству урон в $2.7 млн. долларов, что составило практически половину его бюджета, но весь сок в подробностях.

Несколько компьютеров организации были заражены вирусами. Команда реагирования на инциденты провела анализ трафика и пришли к выводу, что заражены 146 из 250 компьютеров. Как потом оказалось, они проанализировали неверные данные и проблема затронула всего два компьютера, на самом деле.

Но проблема предстала перед ними серьезной — это ж кибер атака! Надо срочно защищаться! Как результат, было принято решение о физическом уничтожении «инфицированных» компьютеров, включая (!) мышки, клавиатуры, принтеры, видеокамеры, и даже телевизоров (на что потрачено $170 тыс долларов), и полной смене IT-инфраструктуры.

Интересную и печальную статью для любителей карточек Payoneer и всех, кто имеет счета зарубежом, прочел сегодня в «Ведомостях».

C 13 февраля деньги на зарубежные счета граждан должны будут поступать только из отечественных банков; нарушители рискуют отдать в казну всю сумму операции.

Все переводы на зарубежные счета должны будут вестись транзитом через российские банки, штраф за нарушение — от 75% до 100% от суммы перевода. И даже проценты по депозитам с зарубежных счетов должны сначала пройти через российские банки, прежде чем вернуться на зарубежные счета.

На Хабре уже было несколько статей про “Do Not Track”-инициативу, принятую крупнейшими интернет-компаниями, которая позволяет указывать, что вы не хотите быть отслеживаемыми на сайтах, если вы включите опцию DNT в браузере.
В числе компаний, поддерживающих эту инициативу:

• Facebook
• Twitter
• Linkedin
• Pinterest
• Google
• Yahoo
• Bing

… и многие другие.
Я задался вопросом — как в цифрах выглядит это “слежение” за нами?
Включим здоровую долю паранойи и фантазии и посчитаем!

Сводная информация по распространенности версий Android на устройствах, размерам экранов и версий OpenGL.
Данные от 1 ноября 2012 года,

Что такое NAXSI ?

NAXSI = NGINX ANTI XSS & SQL INJECTION
Проще говоря, это файрвол веб-приложений (WAF) для NGINX, помогающий в защите от XSS, SQL-инъекций, CSRF, Local & Remote file inclusions.
Отличительными особенностями его являются быстрота работы и простота настройки. Это делает его хорошей альтернативой например mod_security и апачу.

Зачем нужен NAXSI ?

Очевидно, лучше всего защищаться от вышеперечисленных атак правильно написанным кодом. Но есть ситуации, когда WAF (и в частности naxsi), поможет:

• Низкое качество кода сайта, при отсутствии возможности/ресурсов все выкинуть и переписать нормально.
• “Закрытый” код, в котором невозможно исправить ошибки.
• Неизвестное качество кода в важном для бизнеса участке.

В Hetzner произошел несанкционированный доступ к внутренним данным.
Взломщики могли получить внутренние данные, такие например, как пароли админок. Hetzner обещает провести открытое расследование. Последние данные можно прочитать на hetzner-status.de

А пока же всем клиентам рекомендуется сменить пароли.

Оригинал письма под катом:

Что такое TameJS ?

TameJS — это расширение Javascript, которое делает событийное/асинхронное программирование более простым и элегантным. Его очень просто использовать с nodejs или другими v8-проектами.

Если вы используете Socket.IO или Faye с WebSockets, и хотите при этом использовать реверс-прокси с Nginx, то вы встретитесь с проблемой поддержки WebSocket в Nginx. Ее просто нет — WebSocket использует HTTP 1.1, в то же время как Nginx умеет правильно проксировать только HTTP 1.0.

Что делать?

Вы можете попытаться пойти в обход — использовать HAProxy для проксирования tcp соединений, или же скатиться к использованию Long-polling.
Но есть способ реализовать реверсированное проксирование и с NGINX, используя неофициальный патч, реализующий модуль tcp_proxy в nginx, который даст возможность пробрасывать произвольные tcp-соединения (по сути тоже самое, что дает HAProxy).