Блог вебмастера

Несколько дней назад на сайте icq.com было найдены две xss уязвимости, что примечательно, обе из них активные.

Одна из уже закрытых уязвимостей имела места в профиле пользователей, в поле “О себе” вашего номера. Непосредственно из ICQ клиента можно было написать JS-код, который соответственно на странице сайта успешно выполнялся (http://www.icq.com/user_profile/%Ваш_номер%/). Сейчас уязвимость закрыта, при чём отключением этого сервиса, то есть сейчас на любой номер выдается ошибка 404, но работает старый вид профилей (http://www.icq.com/people/about_me.php?uin=%Ваш_номер%).

В конце прошлого города в небольшом городке Кофейково на Украине произошло довольно резонансное по местным масштабам событие. Городской голова, находясь в состоянии алкогольного опьянения, сбил 15-летнего подростка. Как свойственно подобного рода новостям, данная информация, выложенная на местном сайте, собрала огромное количество комментариев и привлекла к себе немалое внимание (вряд ли бы вся история получила развитие, будь в качестве водителя «простой смертный»).

Очень часто на Хабре встречаются статьи о сути, программных реализациях, вскрытиях шифров. Но непонятно одно: почему среди них нет наших, отечественных алгоритмов шифрования?



Я решил исправить это, написав повесть статью, разбитую на 5 частей для лучшего восприятия о стандарте ГОСТ 28147-89. Каждая часть, кроме первой (описывает схему алгоритма и общие принципы), повествует о каждом из четырех возможных режимах работы стандарта с приложением к ним кода на C++.

Коллаборативная фильтрация (англ. collaborative filtering) — это метод, который даёт автоматические прогнозы исходя из наколенной информации о интересах и вкусах пользователей.



Чаще всего можно рекомендовать музыку или книги уже имея какие-то данные о пользователе. Например, Amazon или Ozon запоминают, что я ищу или куда ходил и из этих данных строит мне рекомендацию. Но лучше, чтобы пользователь сам вводил их в свой профиль, можно даже ему рассказать, что у вас эта система стоит и чтобы он сам мог выбирать что ему дать в следующий раз.

О чем пойдет речь?

На сегодняшнем этапе своей профессиональной деятельности я занимаюсь вопросом миграции коммерческих и муниципальных организаций на свободное программное обеспечение, точнее сказать на ту его часть, которая гарантировано выполнит все задачи клиента. Таким образом думаю разумно будет ограничить эту статью рамками ПО от Microsoft и СПО на базе GNU/Linux, а в частности ОС MS Windows/Ubuntu Desktop и офисного пакета MS Office/OpenOffice.org.



Думаю любой человек понимает, что воровать чужой труд — это плохо, а зарабатывать на нем (если он ворованный) еще хуже. Но исторически сложилось так, что пиратский Windows и Office в Нашем Отечестве является нормой. По крайней мере львиная доля этого софта за МКАД-ом приобреталось (или скачивалось) нелегально. Иногда руководство, как правило, не до конца понимает, или не хочет понимать важность приобретения именно легального софта. Те же, кто готов «легализоваться», после выставленного счета сразу же погружаются в глубокий анабиоз. Конечно, существуют различные программы аренды софта, но во-первых заработать на этом особо не получится, а во-вторых сейчас не об этом.

Продолжению быть! =)

Часть 1

---

Задачи поставлены, и вроде бы самое время перейти к чтению различных обзоров и тестов, но…

С чего начать? В какую сторону вообще смотреть?



Вторая часть опуса будет посвящена ключевым компонентам современной системы — центральному процессору, оперативной памяти и видеокарте. В том, что эти компоненты основные, вряд ли кто-то сомневается, вопрос стоит в другом — кто из них главнее? На что следует обратить внимание в первую очередь при сборке машины под определенные задачи? На какой девайс и какие его характеристики?

Логотипы не всегда являются тем, чем они кажутся. Некоторые из таких логотипов могут содержать в себе много информации о бренде, и всё что вам нужно сделать — вглядеться в детали. Я выбрал двадцать три отличных логотипа, у которых есть такое «скрытое послание». Я уверен, что ранее вы видели некоторые из этих «скрытых посланий», но надеюсь, что смогу показать новые.

22-летний житель нью-йоркского района Гарлем был арестован по подозрению в убийстве своего сверстника. Причиной ареста стали твиты с угрозами, отправленные им жертве за несколько часов до убийства. Подозреваемый свою вину отрицает, а его мать негодует по поводу того, что причиной ареста её сына стали виртуальные разборки.



Это уже не первый случай, когда полиция США занимается мониторингом сервиса Twitter. Ранее были отслежены сообщения криминальных группировок, планировавших там преступления.

Здравствуйте. Хабрлюди, мне нужна помощь. Уже столько лет с вами и никогда не просил, но сейчас нужна.



В общем, я журналист федерального телеканала и в данный момент решил заняться темой электронных сигарет. Знаю, что на Хабре было написано несколько постов на эту тему. Все началось с того, что я решил себе, как заядлому курильщику купить такой девайс. Но когда начал изучать тему, оказалось, что все очень неоднозначно с этим модным устройством. Подробнее я описал тему в своем блоге: http://dipchel.livejournal.com/







Все материалы, которые существуют сейчас на данную тему, основаны на слухах. Моя цель: действительно разобраться насколько это опасно. Или наоборот — полезно. Меня, повторюсь, эта темы интересует потому, что сам для себя хочу разобраться окончательно.



В общем, надеюсь на вашу помощь!



UPD

Раз уж написал в блог «Я пиарюсь», считайте что пиарю свой ЖЖ. Хотя это на самом деле не так, и мне тема электронных сигарет в данный момент интересна. Но тем не менее, в свое время, после моих топиков на Хабре, многие Хабрлюди просили меня завести свой блог. Даже разворачивали движки и высылали мне пароли. Ну вот, буквально несколько дней назад начал вести. Планирую писать в том числе и о том, что интересно хабрлюдям, на самом деле есть чем поделиться. Так что заходите, читайте, френдите



UPD2

Спасибо за плюсы, господа курящие!

Неделю назад мои знания action script ограничивались тем, как добавить событие onclick на баннер перед загрузкой в баннерную сеть. В качестве загрузчика файлов я использовал swfupload, и очень не хотел влезать внутрь swf-ника и разбираться в коде. Мне не нравится flash, я ни разу не дизайнер и теряюсь, когда вижу все эти слои, кадры, инструменты для рисования звездочек и motion guides.



Потом я наткнулся на эту эту потрясающе-красивую штуку, и узнал, что есть flex. И что flex — это круто, потому что даже такой супер-начинающий как я, с нуля за несколько дней смог написать загрузчик фотографий с предпросмотром, ресайзом на клиенте и upload-баром, примерно такой, какой используется на сайте vkontakte.ru.



Есть три причины, из-за которых я решил использовать flash для загрузки фотографий. Это FileReference, FileReferenceList и flash.display.Bitmap. В 10-й версии флеш плеера у FileReference появилась функция load(), с помощью которой можно просматривать выбранные фотографии в ролике локально без загрузки на сервер. FileReferenceList позволяет в файловом диалоге с помощью shift-а выбрать сразу несколько фотографий. Bitmap делает ресайз картинок перед отправкой на сервер. Все это нельзя сделать на чистом javascript-е.



Итак, пишем загрузчик фотографий как vkontakte на flex (пошаговое пособие для совсем начинающих).