• LISP-программирование как жанр искусства

      Нереальный, фееричный перфоманс с использованием LISP и OpenGL.
      Поначалу ничего непонятно, но все завораживающее действо начинается с 5 минуты где-то. Может быть это и есть один из видов искусства будущего?


      Уже представляю себе «выступает заслуженный LISP-ист России, лауреат международных премий Иван Лямбдин»
    • Антиюзабилити, за которое заплатят деньги

        В недавнем хабратопике 17 пользовательских идей монетизации соцсети опять с грустью увидел такую идею, как «платное отключение рекламы».
        Ну что ж, попробую обобщить ещё более, чем автор статьи.

        Идея выглядит так: «создание вещей, мешающих пользоваться сервисом и платное их отключение впоследствии».
        Все эти блоги на Хабре — «Эти пользовательские интерфейсы», «Дизайн», «Юзабилити» — это всё развлечения для подмастерьев, хабраблог «АнтиЮзабилити» — вот достойное занятие для настоящего мастера.

        Вы создаёте сайт? Вы знаете как сделать его удобным? Вы мелко плаваете.
        Вот если вы знаете, как создать пользователю неудобно — и он потом заплатит вам за это деньги — вот это квалификация так квалификация.
        Читать дальше →
      • Хитрости с логированием в однопоточных неблокирующих серверах.

          Хочу рассказать об очередном результате моих изысканий в области оптимизации производительности Web-серверов.
          На этот раз речь пойдет об оптимизации сложного логирования в однопоточном неблокирующем вэб-сервере.
          Читать дальше →
        • Безопасный код в Друпале: Подделка межсайтовых запросов



            (ч2. Работа с базой данных; ч3. Работа с пользовательским вводом)

            Поводом к написанию этой статьи послужило нахождение мною уязвимости в одном довольно известном модуле. Так как по правилам обнаружения уязвимостей, я пока не вправе распространяться о деталях, то расскажу об уязвимости в общих чертах, а также о методах борьбы с ней.

            Итак, подделка межсайтовых запросов (анг. Сross Site Request Forgery, или, сокращенно, CSRF): что это такое и с чем его едят.

            CSRF — это вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки, жертва должна быть авторизована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя.

            Данный тип атак, вопреки распространённому заблуждению, появился достаточно давно: первые теоретические рассуждения появились в 1988 году, а первые уязвимости были обнаружены в 2000 году.

            Одно из применений СSRF — эксплуатация пассивных XSS, обнаруженных на другом сервере. Так же возможны отправка спама от лица жертвы и изменение каких-либо настроек учётных записей на других сайтах(например, секретного вопроса для восстановления пароля).
            Читать дальше →
          • 25 самых опасных ошибок в программировании

            • Перевод
            Всем привет.
            Под катом — перевод статьи Джеффа Атвуда, в которой он приводит список 25 наиболее опасных ошибок в программировании от Common Weakness Enumeration со своими комментариями.

            Сразу хочу сказать. Большинство ошибок, перечисленных там — общеизвестны и многим набили оскому. Несмотря на это, мы продолжаем вновь и вновь наступать на те же грабли. И я в том числе.
            Однако, поехали