• Digest authentication vs POST authentication

      Как известно в протоколе HTTP есть Digest authentication. Один мой знакомый утверждает будто бы она вообще какая секурная по сравнению с обычной аутентификацией, которая производится посредством HTML формы. Я конечно понимаю, что проснифиф второй вариант можно пару логин пароль словить, но это достатчно редакая ситуация, а чаще можно будет словить SID и его прописать себе (ну и остальные параметры если SID к чему еще привязывается) и получить нужную сессию, но так и в первом случае можно проснифить трафик и поймать заголовок Authorization и скопировать его себе и получить эту же сессию.

      Вариант с тем что бы на каждый запрос менять nonce мне кажеться достаточно утопичным (ну и харнить его и использованные больше не использовать).

      Я чего-то не понимаю в digest authentication.

      З.Ы. Я в курсе что SSL спасёт от всего :).
    • С праздником

        Многим хабрапользователям известно, что 1 апреля не только «День дурака», но и «День математика». Об этом писали и год назад и два года назад

        Насколько мне известно, то празднуют его в основном в двух вузах (по крайней мере из ВУЗов известных мне) — МГУ и НГУ (в НГУ это еще и официальный выходной для ММФ, ну раньше так было). Так давайте поздравим всех математиков с их праздником! Поздравляем. Кратчайших и точнейших вычислений вам!

        З.Ы. КБрД — С Новым годом.
      • XP. Недопарное программирование (Code review).

          Все много писали про «Парное программирование». Как это клёво и всё такое. Но как бы возникает проблема, что два программиста за день пишут как бы 150% работы одного программиста. Ну то есть теоретически меньше.

          А вот у нас в компании было так, что просто за каждым коммитером (тот кто имеет право добавлять код в основную ветку программы) был назначен ревьюер и после коммита в trunk (основную ветку программы), тикет (да!!! каждый коммит должен быть сделан по тикету) переводился на ревьюера (в тикете писался номера коммито(ов) для этого тикета). Ревьюер отсматривал изменения и или переводил тикет тестеру или же возвращал его коммитеру по одной из причин: логическая ошибка, не соблюдение правил кодирования, сложный код который нельзя прочитать и он не задокументирован, ну или же он явно видел ошибку в коде (напр. забыл проэскейпиться).

          Таким образом повышалась как читаемость — соблюдались все правила кодирования, так и документированность — сложные участки кода были задокументированы.

          Никаких сложностей во время просмотра чужого кода у меня не было и времени занимало не так много и добавляла в основной рабочий график минутки отдыха. Плюс в отсмотренном коде можно было увидеть много хитростей, которые сам потом применял.

          А у вас что-нить подобное использовалось/используется?

          UPD. понял свою ошибку. Переименовал топик.
        • А давайте меняться инвайтами?

            У меня есть на zombobox. Хочу на сайт которого нет. Но и на другие интересные ресурсы с удовольствием обменяю.

            P.S. на двач инвайтов не предлагать, сам могу с десяток предложить.
          • Как запустить VirtualBox(OSE версию) на новом ядре Linux.

              Бывает что с утра по быстрому ядро обновишь, а оказывается что новые дрова для VirtualBox для этого ядра еще не выпущены и надо ждать два-три дня пока они появятся в репозиториях. Но на этот случай ответ найден. Все очень просто (ну по крайней мере для Debian дистрибутивов):

              sudo apt-get install virtualbox-ose-source
              sudo module-assistant update
              sudo module-assistant prepare
              sudo module-assistant a-i virtualbox-ose
              sudo /etc/init.d/vboxdrv restart

              И всё запускается великолепно (проверено на Ubuntu 8.04)

              Update: Кармы хватило, перенес в Убунтариум.
            • Завершен конкурс РОТОР-2008

                Завершился конкурс РОТОР-2008, устраиваемый ЕЖЕ-движением.

                Одноклассники.ру выиграли влияние на офлайн, соц.сеть года, а также инвестор (Юрий Мильнер), продюсер и человек года (Альберт Попков)

                Юрий Синодов и его Roem.ru победил все СМИ: он журналист и редактор года плюс гран-при в Сайт информационных технологий и телекоммуникаций. Любят ежи про инсайд почитать

                MOSKVA.FM стала Открытием и Музыкальным сайтом года, чуть-чуть обойдя Last.fm.

                В отличие от прошлого года, Хабр не выиграл ни одной номинации, но чуть было не угодил в разочарование года. Впрочем там закономерно расположился Top4Top

                Полный список номинаций и победителей можно посмотреть на страничке конкурса.
              • Наболело.

                  Ну сколько можно быть тупыми программистами и проектировщиками интерфейсов — какого фига после регистрации (если нету обязательной активации по мылу) требовать авторизироваться??? Я же только что свой логин и пароль набрал!!! А пароль так еще и 2 раза!!!

                  Или даже с активацией!!! Какого после активации с меня еще раз спрашивать логин и пароль??? Неужели не хватит подтверждения?

                  Просто наболело. Тем более это во многих проектах (я видел только еденицы, которые сразу авторизуют).
                • Инструкция пользователя Asus eeePC

                    Знакомый на работе распаковал Asus eeePC, и посмотрели в инструкцию. И что там увидели
                    ыггы 123


                    Кто не понял — в инструкции показан верхний левый угол меню Start от Window XP
                  • Пасхальное яйцо от Корбины

                      На сайте home.corbina.ru на главной флешке (там где молодой человек сидит, а внизу иконки) — берём иконку «i» и перетаскиваем её на иконку "%" (она сама не двигается, но мы не волнуемся). Отпускаем. Смотрим. Фига се, что на официальном сайте делают.

                      P.S. Иконки появляются не сразу, их загрузки надо дождаться + еще они по сценарию флешки не сразу. Так что просто чуть-чуть подождать надо с начала. Вот так должна выглядеть страничка перед вышеописанными действиями img120.imageshack.us/my.php?image=corbinasl9.png
                    • Потенциальная неточность на сайте.

                        Допустима ли на сайте потенциальная неточность?

                        Поясняю. Допустим есть у пользователя на сайте есть некий флаг с двумя значениями («1/0») и он отображается на всех страницах. Пользователь кликнув на него может поменять его на противоположный. Реализовано это через одну функцию которая просто меняет значение не противоположное. Вот тут и возникает «потенциальная неточность» — допустим пользователь открывает две странички сайта и на одной нажимает на флаг (то есть меняет его на противоположный), но на второй странице флаг остался первоначальным, но при клике на него он смениться из текущего (то есть кликая на флаг во втором окне мы его как бы визуально не сменим).

                        Конечно любая неточность на сайте это плохо. Но… Как вы думаете?
                      • 1 апреля — День математика!

                          1 апреля — День математика? А? Вы говорите — нет? Тогда правильнее будет «День математика НГУ»!!! Все кто учился в выше озвученном ВУЗе понимают и уважают этот день.

                          С наступающим праздником, вас, математики.
                        • О «Забытом пароле» замолвите слово.

                            Всегда возникает задача о том как пользователю напомнить о забытом им пароле. Вариантов масса, простой смены пароля роботом до сохранения контрольного вопроса. Так вот хотелось бы спросить у людей — а какой вам способ больше всего нравится?

                            Читать дальше →