безопасность

С Ko 2.3.4 на Ko 2.4

Просмотров: 2544Комментарии: 0
Web frameworks

Briefly in English:
I've decided to step-by-step move from 2.3.4. to 2.4. Below the most painless (for my project) updates are described. It is step #1.



Поскольку версии Kohana 2.3.5, по-видимому, не предвидится, решил потихоньку переползать на 2.4. Бегло просмотрев изменения, понял, что оно того стоит (например, в 2.3.х класс Kohana_Core объявлен как final, то есть его затруднительно расширять, а в 2.4 уже вполне можно). Тем не менее, поскольку проект достаточно большой, буду делать не все сразу, наименее травматичным способом.


UPD Узнал о сегодняшней трагедии в Москве. Соболезную всем тем, кто потерял там своих родных и знакомых. Не сдавайтесь и не отчаивайтесь.


Далее...

Избранное за неделю #1

Просмотров: 2002Комментарии: 0
Обзоры

У Макса Крайнова полезное про многоуровневый резервный фонд. Нам хотя б до одноуровневого нормально дорасти. Но стремиться надо.

Заметки про Американскую жизнь. Занятно и наводит на размышления.

Похищение банковских данных клиентов из банкоматов с последующим злоупотреблением их счетами реально возможно и уже производится. И ничего тут не поделаешь, только остается следить за балансом, чтоб вовремя заблокировать счет.

Валентин Поляков, как всегда, жизненно пишет про проблемы интернет-магазинов. Да, зачастую главные проблемы бизнеса кроются именно в некоторых качествах его владельца/управляющего. Так и до финансово-практического обоснования Заповедей недалеко smile

Приятно удивило появление Opera Unite. Еще один шаг в пострении простого (и свободного ?) Интернета. Вот если б еще избавиться от присущих Сети аппаратных уязвимостей, а то проблемы с одним кабелем могут парализовать несколько континентов...

Иван Броткин знакомит с бета-версией Kohana 3: первый взгляд и Database + Model. Переходить пока не буду, даже ЦМФ, если таковая все же родится, в первых вариантах будет на 2.4 или даже на ветке 2.3.х. Но ознакомиться интересно.

А еще собираюсь в отпуск. Так что отдохните пока от моих опусов, потом, надеюсь, подкину кое-что для размышления smile

Моя микросборка Миранды

Просмотров: 2150Комментарии: 0
Разное

В предыдущем посте я рассказал, что полностью перешел с в общем-то весьма приятного в пользовании (но небезопасного) проприетарного QIP на открытый клиент Miranda. И там же пообещал выложить свою сборку плагинов, которые, по моему мнению, абсолютно необходимы изнеженным КИПовцам для того, чтобы хоть начать присматриваться к переходу smile

Итак, моя сборка Миранды, включающая всего 5 плагинов (из которых 2 абсолютно необязательны)

Далее...

Взлом сайта qip.ru

Просмотров: 3925Комментарии: 0
Разное

Не могу пройти мимо данного события, поскольку касается оно очень многих в русском Интернете -- тех, кто пользуется клиентом ICQ под названием QIP. Сегодня прошла информация о том, что сайт программы qip.ru был взломан (наверное, уже устранили причину, и тем не менее). Чем это грозит конкретному пользователю QIP?

Среди тех, кто работал с мультипротокольной версией QIP Infinum (надеюсь, это не касается обычного QIP поддерживающего только ICQ), наверное, мало кто заметил опцию в настройках этой программы, позволяющую сохранять данные ваших импортированных аккаунтов (ICQ, jabber) на сервере qip. Это сделано для удобства пользователя, поскольку он может из любого места коннектиться ко всем своим аккаунтам введя только один пароль.

После взлома сайта есть немалая вероятность того, что базы всех пользователей QIP попали в руки злоумышленников. Поскольку пароли там хранятся, по-видимому, в виде, поддающемся расшифровке, а не хэшем, то в руках злоумышленников легко могут оказаться ваши пароли от ICQ, Gtalk, etc, в общем, от всего того, с чем вы работали через QIP. Ну а дальше -- как подскажет фантазия хацкеров. Могут "увести" аккаунты, могут от вашего имени спамить, вирусы рассылать, в общем, возможно почти все smile

Что делать?

План А

Лучше всего, конечно, уйти с дискредитировавшего себя клиента на другой, после чего поменять пароли от всех ваших аккаунтов, с которыми вы работали через QIP. Лично я сижу на Миранде, возможно даже выложу используемую мною сборку плагинов, поскольку сама по себе "голая" Миранда не очень дружелюбна пользователю.

План Б

Если вы не хотите уходить с QIP, то, по крайней мере, уберите галочки с опций "сохранять данные на сервере" (возможно она называется немного по-другому, не помню точно; поищите в настройках), а затем смените пароли на всех ваших аккаунтах. Ну и для подстраховки скопируйте номера асек из вашего контакт-листа, а то вдруг хацкеры "утянут" у вас аккаунт.

Кстати, когда я ушел с КИПа, спама в аське стало гораздо меньше ;)

Вести науки

Просмотров: 3851Комментарии: 0
Обзоры

Всяких интересных научных штучек накопилась огромное количество, надо разгребать. Чтобы уважить всех, буду рассказывать кратко, и не только о самом свежем.

Сегодня у нас влияние цвета на мыслительные процессы, формирование моральных оценок, недостаток сна и простуда, опасность заморских фруктов и овощей, комнатные растения против формальдегида.

Далее...

Внимание! Вирусная угроза

Просмотров: 2348Комментарии: 0
Разное

Хотя я не намерен глубоко исследовать тему уязвимости различных программ, однако не могу игнорировать некоторые свежие сообщения.

1. Недавно была найдена очень серьезная уязвимость Adobe Flash Player - в плагинах к браузерам Internet Explorer и Firefox -- того самого плагина, который стоит почти у всех пользователей интернет и показывает баннеры и компактные игры.

Дыра критичная в том числе и для вас лично, так как все имеют этот плагин, а для заражения достаточно зайти на сайт, где будет располагаться специальный swf файл - вы зашли и уже заражены, даже не надо ничего нажимать и разрешать.
Так что срочно заходите на сайт Adobe и устанавливайте апдейт, который закрывает эту дыру (там просто выберите свою операционную систему в списке, потом браузер и нажмите “Agree and install now”. После того, как файл скачается - запустите его и все установится).

Я чаще пользуюсь Оперой, однако не уверен, что она неуязвима, надо будет тоже обновиться.

2. Огромное количество людей пользуется для просмотра PDF-документов программой Adobe Acrobat Reader. Так вот, в ней тоже обнаружена уязвимость: на вашей машине может быть выполнен вредоносный код, если вы просто откроете специально сделанный pdf-документ. Точно уязвимы версии 8.1.1, 8.1.2, 8.1.3 и 9.0.0, остальные возможно тоже.

Adobe обещает скоро выпустить обновление, однако пока можно просто отключить в документе JavaScript:

Edit -> Preferences -> JavaScript убрать галочку с Enable Acrobat JavaScript

Пока неясно, устойчивы ли к такой заразе альтернативные PDF-читалки. Сам я пользуюсь маленьким и быстрым FoxitReader (и всем рекомендую).

3. Обнаружена уязвимость, позволяющая через зараженные файлы Excel .xsl выполнять произольный код (любую программу) на атакованной системе (новый тип файлов .xlsx в этом отношении неуязвим). Методы профилактики просты: не открывайте файлы неизвестного происхождения + обновляйте антивирус.