• Google Chrome хакеру не помощник

      О том, как Chrome мешает мне искать XSS-уязвимости.
      


      Почему я ищу уязвимости?


      Как и многие из вас, я делаю Code Review и первое, что ищу это конечно уязвимости. Когда уязвимость найдена в коде, хорошо бы проверить есть ли она на самом деле через браузер, потому что бывают «ложные тревоги». Это те случаи, когда данные уже приходят фильтрованными и XSS невозможен. Всегда полезно иметь возможность показать разработчику атаку в действии, потому что это хороший аргумент и помогает быстрее перейти к конструктивному решению проблемы, если есть сомнения, что уязвимость таки существует. Но проверку в браузере я делаю не часто — либо проблема очевидна прямо из кода, либо верят на слово. В общем искать уязвимости — это интересно.

      Начало этой истории


      Друг скинул ссылки на сайт, который ещё год назад имел XSS-уязвимость, о чем я писал владельцам ресурса. Стало интересно проверить снова. Проверил — XSS есть, но вот простейшего подтверждения выполнения JS я получить не смог!..



      Я не ломаю сайты и не занимаюсь аудитом безопасности, поэтому возможно то, что я выяснил давно известно для специалистов, но для меня это было открытием.

      Первые подозрения


      Итак, стал проверять всевозможные варианты внедрения кода — но без результата. По ходу дела выяснил что и как фильтруется, какие есть проверки и прочее, но alert(1); упорно не выполнялся. По ходу дела нашелся ещё и XSRF — приятный бонус!
      Далее я расскажу как я потреля кучу времени, но выяснил одну важную особенность браузера Chrome.
    • Компиляция. 5: нисходящий разбор

        До сих пор занимались восходящим синтаксическим разбором. Какие ещё есть варианты?
        Отложим бизона в сторону, и вернёмся к теории.

        Далее в посте:

        1. Идея
        2. Воплощение
        3. Холивар
        4. Бэктрекинг
        Читать дальше →
      • Краткий обзор отличий LESS от SASS

          Вчера пол дня потратил на подробное изучение LESS и его отличие от используемых нами SASS/SCSS.

          Синтаксис SASS мне импонирует больше чем SCSS за его краткость. Но большая вложенность стилей в SASS может быстро ликвидировать все преимущества его краткости. В любом случае разницу между SASS и SCSS не принципиальна. LESS оказался ближе к SCSS чем к SASS. И, в общем, это тоже самое. Отличий не много, но парочка из них принципиально меняют расстановку сил.

          Читать дальше →
        • Valve: как я здесь оказался, на что это похоже и чем я здесь занимаюсь

          • Перевод
          Автор оригинальной статьи — Майкл Эбраш, человек и пароход. Для тех, кому лень изучать википедию, отмечу, что это программист с более чем 30-летним стажем работы, который в свое время помог Кармаку сделать Quake, разработал GDI для Windows NT, приложил руку к созданию первых двух версий Xbox, а сейчас работает в R&D-отделе компании Valve.
          В своей заметке он вспоминает, как зарождалась индустрия 3D-игр вообще и Valve в частности, рассказывает про свой опыт работы в различных корпорациях, приоткрывает завесу внутренней кухни Valve и ищет новых сотрудников. Статья большая, и я посчитал ее достаточно интересной для того, чтобы перевести на хабр.





          Всё началось с Лавины*.

          Если бы я не прочел её и не влюбился в идею Метавселенной, если бы она не заставила меня представить, насколько распределенная 3D сеть близка к воплощению в жизнь, если бы я не подумал я могу сделать это и, что более важно, я хочу сделать это, я бы никогда не встал на путь, который в конечном счете привел меня в Valve.

          В 1994 году я уже несколько лет как работал на Microsoft. Однажды вечером, когда моя дочка рассматривала книги в магазине Little Professor в Sammamish Plateau, мне посчастливилось заметить Лавину на полке. Я взял книжку, прочитал первые страницы, решил купить и в итоге проглотил её за день. Параллельно я начал задумываться о том, что 80 процентов описанного в ней осуществимо прямо сейчас, и мне захотелось реализовать это сильнее, чем когда-либо вообще хотелось сделать что-то с компьютером — я всю жизнь читал научную фантастику, и вдруг мне выпал шанс превратить её в реальность. Так я попытался начать в Microsoft проект по созданию технологии сетевого 3D.

          Читать дальше →
        • Корпоративная культура в компании Valve



            Вы слышали, что в некоторых компаниях сотрудникам разрешается 20% времени работать над собственными проектами? Оказывается, существует компания, где этот принцип возвели в абсолют. Представьте, что 100% рабочего времени вы можете работать над любыми проектами, какими пожелаете. Менеджеров не существует вообще, никаких отделов и начальников. Структура компании — плоская, все сотрудники равны между собой и добровольно группируются по интересам. Выживают те проекты, которые привлекают больше сотрудников.

            Звучит как утопия? Знакомьтесь с принципами менеджмента в компании Valve, которая занимается разработкой компьютерных игр (Half-Life, Portal, Steam).
            Читать дальше →
          • Прокрастинация разрушила мою жизнь, часть 2: интересные ответы нытику

              Вчера я опубликовал перевод топика «Прокрастинация разрушила мою жизнь» одного из североамериканских хлопцев с Hacker News. Сегодня вы можете ознакомиться с интересными ответами HN-юзеров.

              юзер Isamu



              Психолог Пирс Стил в своей книге «Уравнение прокрастинации» считает, что проблема заключается не в перфекционизме, а в импульсивном управлении.
              Хотя у вас нет проблем с тем, чтобы начать работу, прокрастинация начинается позже. Вот мой конспект книги:
              Читать дальше →
            • Photoshop CS6 и естественные надобности

                logoВсем привет.
                Начитавшись и насмотревшись роликов и прочих промо-материалов для Photoshop CS6, ощутила недосказанность и решила потестировать самостоятельно.
                Поскольку я не понимаю смысла создания специально подогнанных примеров для демонстрации новых возможностей, то и тестировать мы их будем на ежедневных потребностях, а именно:

                1) Фотоманипуляции
                2) Работа с интерфейсом (сайт и мобильное приложение)
                3) Типографика
                4) Создание иллюстраций и векторные фишки
                UPD 1: Небольшое тестирование производительности и стабильности.

                Итак, поехали.
                Читать дальше →
              • Делаем блог на Drupal

                  Недавно на своем блоге я выложил статью по поводу создания блога на базе Drupal. Выложу ее и здесь. Надеюсь, она будет кому-нибудь полезной.

                  Выбор CMS для блога — дело серьезное и ответственное. Полагаю, каждый блоггер, создающий standalone-блог, провел немало времени, изучая различного рода обзоры и сравнения популярных движков, а также тестируя их функционал. Такой период был и у меня.

                  Пожалуй, самые популярные движки сейчас — это Wordpress, Joomla и Drupal. Во всяком случае, они самые известные из бесплатных CMS. После их изучения я остановился на Drupal и очень этому рад. Не вдаваясь в подробности о преимуществах Drupal (это тема для отдельной статьи), замечу лишь, что он мне понравился следующими особенностями:

                  • Гибкость системы. Архитектурно Drupal построен очень грамотно и модульно, что позволяет сделать из него все, что угодно.
                  • Качественный код. Благодаря достаточно жесткому контролю качества Drupal и его модули не только стабильны, но и обладают вполне читаемым кодом.

                  Есть и свои недостатки, конечно, но я сейчас, собственно, не об этом. Сейчас, когда набор модулей и настроек у меня стабилизировался, я бы хотел написать о том, как сделать блог на базе Drupal.
                  Читать дальше →
                • PROhq за легальный фриланс: каждый фрилансер может оформить ИП бесплатно

                    image

                    Мы долго думали как отметить запуск нашего проекта и решили предоставить всем фрилансерам возможность зарегистрировать ИП бесплатно! Это и много других нужных функций входит в платный аккаунт «Профи», который мы хотим подарить вам сроком на 1 год!

                    Надеемся, что использование тарифа «Профи» позволит фрилансерам работать более эффективно и получать больше прибыли. Кроме бесплатной регистрации ИП, с тарифом «Профи» вы сможете:
                    Читать дальше →
                  • «Мое дело» — подготовка документов для регистрации ИП

                      Регистрация ИП - бесплатно
                      Привет!

                      Представляем хабрасообществу новый сервис от онлайн-бухгалтерии "Мое дело".

                      Теперь все документы, необходимые для регистрации ИП, можно подготовить за 10 минут на условиях DonationWare. То есть абсолютно бесплатно, но если если все очень понравилось, то можно сказать спасибо.

                      Подробности и скриншоты под катом.
                      Читать дальше →
                    • Опыт регистрации ИП для ведения бизнеса связанного с ИТ

                        Однажды решив зарегистрироваться как ИП я столкнулся к несколькими неожиданными проблемами, о которых в интернете не могу найти практически никакой информации. Знакомая бухгалтер, консультирующая меня, тоже не слышала о подобных проблемах, поэтому решился на написание данного топика, чтобы помочь коллегам не попасть в подобную ситуацию.
                        Основные пункты «обязательной программы» регистрации много раз разжеваны в интернете, но пройдемся по ним заново, используя собственный опыт. Я специально не буду давать ссылки на программы, формы бланков и постановления, так как они быстро устаревают и смысла выкладывать их я не вижу. К тому же принятое заявление в Тамбове, могут не принять в другой налоговой и т.д.
                        Еще в моем случае нет наемных работников, это важно для прохождения «квеста».
                        Читать дальше →
                      • SkypeKit вылечен от жадности

                          image

                          Вниманием!
                          Не пользуйтесь этим скайпкитом!
                          После этой истории
                          habrahabr.ru/post/142805 скайп начал банить ВСЕ аккаунты запущенные на одном айпи вместе с этим скайпкитом.



                          Есть такая замечательная штука как Skypekit. В двух словах это полноценный Skype без GUI, обёртку для которого предполагается написать самому.

                          Теоретически на основе Skypekit можно было бы:
                          • Создавать полноценные Skype-клиенты под все платформы
                          • Добавить поддержку Skype в мультипротокольные клиенты
                          • Запускать Skype на сервере для интеграции с SIP/Flash

                          и многое другое, если бы не условия использования.
                          Во-первых, для того чтобы скайп позволил вам распространять свой продукт нужно заплатить овер 9000$ за сертификацию вашего продукта. Во-вторых, сертификат в любой момент может быть отозван, если скайп решит что вы нарушаете условия использования.

                          Но благодаря целебному воздействию реверс-инжиниринга этот недуг удалось вылечить.

                          Читать дальше →
                        • Unbiased rendering (рендеринг без допущений)

                            В компьютерной графике, рендеринг без допущений относится к технике рендеринга, которая не вносит в расчет систематических ошибок, предположений или погрешностей. Изображение получается таким, каким должно быть в природе, а рендер не имеет настроек качества поверхностей либо источников света.


                            Изображение отрендерено с помощью Maxwell Render.

                            Читать дальше →
                          • Как влияет факт наличия высшего IT образования на заработную плату и условия в этой сфере?

                               

                              Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

                              Как влияет факт наличия высшего IT образования на заработную плату и условия в этой сфере?

                              • 32.8%Образование является дополнительным плюсом при выборе кандидата, но никак не влияет на заработную плату1841
                              • 17.2%Образование является дополнительным плюсом при выборе кандидата, при этом влияет на заработную плату969
                              • 38.9%Образование не важно, главное - что человек действительно умеет2182
                              • 7%Человек без высшего образования - ничто396
                              • 3.8%Сложно ответить однозначно, отпишусь в комментариях216
                            • +10 к интеллекту

                                MM_mindmap_title

                                Так или иначе, практически каждый из нас использовал в своей жизни технику интеллект–карт или Mind Mapping. Это всего лишь простая радиальная схема, но с правильным подходом ее можно превратить в мощный инструмент аналитики и синтеза информации, который всегда под рукой и достаточно прост в использовании. И что самое интересное, освоение техники настолько естественно для нашего мозга, что занимает всего лишь несколько минут…
                                Читать дальше →
                              • Парсим Python код с помощью Flex и Bison

                                Вступление


                                Уже около двух лет я участвую в OpenSource проекте SourceAnalyzer, и вот появилась необходимость написать парсер для языка Python, который должен уметь строить граф вызовов (Call Graph) и граф зависимостей классов (Class Graph Dependency). Если точнее, граф строится с помощью других инструментов, а парсер должен лишь подготовить для этих инструментов данные.

                                Процесс работы над парсером был довольно занятным и мне бы хотелось поделиться с вами приобретенным опытом, а также поведать о некоторых подводных камнях, которые встретились на этапе разработки.
                                Читать дальше →
                              • Веб-сервисы с поддержкой ЭЦП на базе криптографии ГОСТ

                                • Из RSS
                                Начиная с версии 2008.2, в Caché и в Ensemble встроена поддержка WS-Security, включающая механизмы проверки и формирования электронной подписи SOAP-сообщений. На текущий момент имеется «out of the box» поддержка ЭЦП на базе крипто алгоритмов семейства RSA.

                                К системам, создаваемым для российских заказчиков, зачастую предъявляется требование применения сертифицированных СКЗИ, использующих крипто алгоритмы ГОСТ. Далее описан один из подходов к разработке веб-сервисов Caché, защищенных ЭЦП на базе ГОСТ'овской криптографии.
                                Читать дальше →
                              • Особенности настройки git под windows

                                  Проблемы с русскими символами в git

                                  Когда вы начнете работать с версией git под windows в командной строке, вы столкнётесь со следующей проблемой — все сообщения git, в которых фигурируют русские символы будут нечитаемы. Имена файлов, на русском языке, будут выглядеть так — "\362\345\361\362", а тексты коммитов примерно так — <C8><ED><E8><F6><E8><E0><EB><E8><E7><E0><F6><E8><FF> <EF><F0><EE><E5><EA><F2><E0>. Т.е. исходная строка преобразуется в utf8 в соответствии с кодировкой latin1.

                                  далее...
                                • Основные проблемы проектного менеджера и как с ними бороться

                                    Постарался расставить проблемы, с которыми сталкиваемся, по степени их влияния на исход проекта. К некоторым болезням проектного менеджмента удалось найти лекарства, но некоторые по-прежнему дают большие риски, которые съедают бюджеты и ресурсы.
                                    Читать дальше →