vermin.eu.org

Znana z testowania zabezpieczeń i publikowania informacji o dziurach Secunia jak się okazuje ma bardzo ciekawe narzędzie napisane w Javie sprawdzające wersje zainstalowanych aplikacji porównując je z listą znanych przez siebie. Wystarczy wejść na Software Inspector i wcisnąć start.

Okazuje się ileż na mojej stacji jest wersji Javy, ile (podatnych na atak) wersji Flasha, pomimo aktualizacji(!). Co ciekawe okazuje się, że część oprogramowania nie widzi teoretycznie dostępnych aktualizacji - w szczególności Adobe Reader oraz Quicktime/Itunes… Cóż - zostaje ręczne zasysanie i instalacja produktu, co w przypadku quicktime jest niemożliwe. Jedyna dostępna na stronie wersja jest podatna i powinna się dopiero automatycznie zaktualizować.

Źródło: SBS Diva

Przy tak dużej zmianie i wyborze nowego systemu warto przemyśleć kilka spraw. Pomoże w tym ten komiks.
Zawsze też można się zastanowić nad inną, niemniej fajną

Pojawiła się kolejna, (po raptem 10 dniach), aktualizacja dla wordpressa - tym razem wersja 2.0.7. W zasadzie wystarczy tylko przegrać kilka plików z archiwum:

• wp-admin/inline-uploading.php
• wp-admin/post.php
• wp-includes/classes.php
• wp-includes/functions.php
• wp-includes/version.php
• wp-settings.php

Swoją drogą - niedługo, (ponoć pod koniec miesiąca) wyjdzie nowa gałąź WP - 2.1.

zapewnia plugin viamatic foXpose. Najbardziej podoba mi się robienie małych zrzutów strony - tego właśnie mi brakowało

Istnieje w sieci komputer o nazwie netbios “23″. Niby nic takiego, ale… próba połączenia się z nim jednego z komputerów poprzez otoczenie sieciowe generuje w logach IPSa dziwne zdarzenie: “martian destination 0.0.0.23 from 192.168.10.141″. Co ciekawe znajduje się także właściwy adres IP i komputer rozpoczynający połączenie w końcu się połączy… ale zastanawia mnie, czy nadanie jako nazwy komputera adresu IP w postaci DWORD a na tym właśnie adresie otworzenie udziału nie spowodowałoby de facto przekierowania zapytania pierwotnego na tą drugą (DWORD) maszynę?

Posiadając wiele interfejsów w systemie (np. dzięki wieloportowej karcie… lub kilku takim zabawkom) warto ponazywać je ciut inaczej niż domyślne w Linuksach ethX. Przydaje się to także w momencie, gdy czasem dodajemy lub zabieramy kartę z komputera przez co zmienia się numeracja interfejsów… i nagle ginie wyjście na świat, a my musimy zgadywać (dmesg), który eth za to odpowiada.
Przede wszystkim pomyślmy jak się ma ten interfejs nazywać - załóżmy, że iface do sieci nazwiemy world zaś iface do sieci wewnętrznej intranet (jakiż jestem orginalny…). Najpierw musimy wyedytować pliki odpowiedzialne za konfigurację sieci (w Debianie /etc/network/interfaces) i zamienić tam ethX na nasze nowe nazwy. Następnie otwieramy, lub, co bardziej prawdopodobne, tworzymy plik /etc/mactab, gdzie tworzymy wpisy typu nazwa_interfejsu_sieciowego adres MAC:

world 00:0D:88:11:22:33
intranet 00:0D:88:aa:bb:cc

Teraz wystarczy wydać komendę ifname i nasze nazwy zostały przypisane. To samo swoją drogą osiągnelibyśmy komendą ip link set eth3 name world.
Jedyna rzecz, jaka zostaje do zrobienia to upewnienie się, że nasze przypisania będą się odtwarzać przy starcie systemu. W Debianie (i podejrzewam, że w innych distro także) potrzeba wyedytować plik konfiguracji sieci (Debian: /etc/init.d/networking) dodając do niego:

Mojemu kochanemu operatorowi przypomniało się w końcu, że wprowadzając HSDPA, (czyli w skrócie - rozszerzenie pozwalające zamiast z maksymalną prędkością EDGE wynoszącą 384 kbit/s łączyć się z zawrotną prędkością 1,8 Mbit/s) ma pewną, niemałą, grupę klientów, którzy zakupili modemy option. Możliwość aktualizacji firmware tych modemów na stronach producenta pojawiła się już dawno, niemniej, ponieważ większość urządzeń sprzedawanych w PL sprzedawana jest przez sieci komórkowe, wprowadzają one swoje zmiany/ograniczenia do firmware w ten sposób czyniąc generyczną aktualizację oprogramowania niemożliwą.
Konkurencji, tj. PTC oraz Orange już dawno udostępniły zmienioną przez siebie nową wersję oprogramowania umożliwiającą łączenie się z zawrotnymi prędkościami - nawet wtedy, kiedy usługi teoretycznie nie było… Niestety PlusGSM zapomniał o swoich klientach i nawet listując na stronie iPlus modemy i wypisując które z nich będą mogły obsługiwać HSDPA, słowem nie wspomniał, że sprzedawane wcześniej przez niego urządzenia też mają taką opcję. OK - może nie wiedzieli?
Nie ważne - ważne, że spod adresu http://www.iplus.pl/download/iplus_flasher_hsdpa_for_option.exe można ściągnąć plik EXE który dokona aktulizacji firmware w naszym modemie o ile, (w wypadku PCMCIA), będziemy korzystać z zasilacza a nie z baterii oraz wyciągniemy kartę SIM (chociaż tego drugiego nie zrobiłem i U MNIE działało). No a teraz… prędkość połączenie 1,8 już się wesoło świeci w trayu

Ciekawa wyszukiwarka kodu… Co jest śmieszniejsze, wyszukiwarka ciekawych komentarzy w kodzie. Chociaż znając (nie tylko) swój styl nazywania zmiennych tymczasowych i komentowania kodu to jestem zdziwiony jak rzadko występuje tam bardzo popularne słowo zmiennej tymczasowej i komunikatów debugujących…

Swoją drogą, co już zostało zauważone - wyszukiwarka otwiera kolejny wektor ataku, bo ileż osób hardcoduje w plikach include w PHP hasła dostępu do baz danych, użytkowników i inne przydatne dla szukającego informacje…

Jedna firma pozywa drugą - chodzi o treści jakie jedna z domen wypisuje o drugiej. Każda z nich znajduje się w innym kraju, każda ma swoją domenę internetową. W toku postępowania sądowego, jak to się dzieje prędzej czy później, jedna z firm wygrywa. Ponieważ strona przegrywająca twierdzi, że postępowanie nie odbyło się w sądzie właściwym dla tej firmy, odmawia zastosowania się do wyroku. W związku z tym strona, która wygrała proces prosi sąd o wydanie nakazu usunięcia domeny. Domeny znajdującej się “prawie” na terenie kraju firmy pozywającej. W tym wypadku chodzi o domenę TLD, bez wskazania narodowego. Co powinien zrobić sąd i ‘organy trzymające władzę’ (tu: internet).

TLD zawiaduje ICANN, który mieści się w USA. Pierwsza firma (tu: uważana za spamerską e360 Insight), także mieści się w USA. Druga (tu: jeden z RBLi - spamhause.org) poza granicami tego kraju.

Zastanawiam się nad regulacjami prawnymi tyczącymi się tej sprawy. Jeśli przyjmujemy, że poprzez postawienie serwera gdzieś w świecie, jeśli łamiemy jakieś (a szczególnie amerykańskie!) obowiązujące gdziekolwiek wg widzimisie dowolnego rządu prawo i musimy się do niego stosować - to ja przepraszam.

Dzięki takim interpretacjom powinniśmy zamykać serwisy opisujące to co się dzieje w Tybecie, Białorusi, Czeczenii oraz innych zapalnych miejscach świata - w końcu łamią one jakieś prawo, gdzieś tam obowiązujące. Ba, jeśli powołałbym do życia jakieś bananowe państwo (załóżmy, że mam odpowiednią k’temu ilość pieniędzy), to mógłbym sam wydać prawa ograniczające to co się pisze na świecie. Jeszcze niedawno nie przeszkadzało mi, że amerykanie zawiadują siecią. Teraz zaczynam się zastanawiać, czy zawiadywanie siecią powinno być na pewno gdziekolwiek umiejscowione? Czy jakikolwiek rząd powinien móc ograniczać to co się w sieci pisze (poza treściami ogólnie przyjęte za zbrodnicze - faszyzm, komunizm, etc.)?

Cóż - z organizacji międzynarodowych pozostaje małosprawny ONZ, ale lepsze chyba byłoby to niż nic? Czy też może uznać sieć obszar, gdzie prawa międzynarodowe nie obowiązują i stosują się tam tylko zasady prawa… międzynarodowego. Dziwny temat, ale widać, że sieć zaczyna powoli mieć własną państowowość i nagle trzeba mocno zacząć się przejmować prawem. Może mocniej nawet niż administracją systemem? Bo w końcu jak uczy nas polityka - system to zło

Jakiś czas temu w “Nowej Fantastyce” czytałem ciekawe opowiadanie. Otóż nagle, przez przywleczonego z kosmosu wirusa, który szybko rozszerza się na zbiorze ludzkiej populacji, ludzie uzyskują możliwość czytania myśli innych. I to nie na zasadzie telepatii, ale nagłego, obustronnego transferu świadomości. Wszystko staje się przejrzyste - wychodzą na jaw standard podwójnej moralności, zdrady, oszustwa, agenci WSI… Wszystkie dobre i złe uczynki. Nagle możemy wiedzieć wszystko o wszystkich. Nagle nie można nic ukryć. Tworzy się zbiorowa świadomość. Oczywiście w takiej sytuacji są dwa wyjścia - albo wszyscy zginą, albo zaczniemy współpracować ze sobą tworząc lepszą i bardziej zorganizowaną wspólnotę, niż robią to w tym momencie Azjaci.

Podobną wizję przedstawił także w swojej książce “God’s Debris” twórca Dilberta - Scott Adams. Przedstawia ona pewien eksperyment myślowy, w który wpadając - nie ukrywam, że nie bez złości w niektórych momentach na uproszczenia pozwalające wyciągać dość abstrakcyjne wnioski - dochodzimy w końcu do zaskakującej tezy. Niemniej także dość ciekawej jeśli chodzi o to w którą stronę dąży cywilizacja i do czego chce wykorztać technologię.

W dobie, kiedy okazuje się, że łatwo można prześledzić dowolnych ludzi (afera HP), kiedy dane z wyszukiwarek pozwalają na ustalenie kim jesteśmy (ujawnienie danych przez AOL), co robimy (szpiegowanie Google Calendar) i kiedyś źle powiedzieliśmy (dowolna wyszukiwarka archiwizująca usenet oraz strony archiwizujące usenet i web archive), wizje zbiorowej, utrwalanej i powielanej świadomości stają się coraz bardziej realne. Oczywiście rządy starają się blokować te zmiany i utrzymywać swój monopol na informację, (w końcu informacje = władza), ale czy im się uda? W końcu informacja chce być wolna.

A google labs dalej pracuje…

Standardowy proces aktualizacji Debiana to wydanie polecenia aptitude update && aptitude upgrade. Od jakiegoś czasu jednak w dystrybucjach testing i unstable Debian wprowadził zmianę swojego systemu aktualizacji i zamiast ściągac duże pliki (jak np. main/Packages.gz )m ściąga się pliki różnicowe dla danej architektury. Daje to oczywiście oszczędność pasma - jeśli coś się zmieniło, to nie ściągamy całego pliku, ale tylko różnicówkę od ostatniej aktualizacji. Jest oczywiście pewien minus - więcej plików, to dłuższy czas ściągania, ponieważ jest więcej zapisów, kończenia i rozpoczyniana transakcji.

Przy okazji - można aktualizacje różnicowe wyłączyć ustawiając opcje

Acquire::PDiffs “false”;

w /etc/apt/apt.conf lub dodając parametr przy uruchomieniu apt-get update -o Acquire::Pdiffs=false.

Podczas rozmowy z Adrianem zastanawialiśmy się, czy dałoby się zmienić jakoś także sposób aktualizacji samych pakietów. Po co za każdym razem przesyłać całe archiwum z nowym pakietem, powielającym wiele plików, które nie musiały zostać zmienione? Gdyby tak stworzyć wersję podstawową, powiedzmy mój-pakiet_1.0.0_all.deb. Następnie, w miarę poprawek (w stable) lub rozwoju (w testing/unstable), można by tworzyć do niej wersje delta mój-pakiet_1.2.1_all.deb. W skład takiego pliku wchodziłyby skrypty pre- i post- instalacyjne, plik konwersji konfiguracji, (jeśli taka by miała mieć miejsce lub o dokonfigurowaniu nowych opcji jeśli są wymagane) oraz oczywiście pliki różnicowe. Wiadomo, że przy większych zmianach, wymienia się większość plików, ale z drugiej strony często, przy modułowej budowie aplikacji występują pliki, które nie wymagają zmian. Wiadomo - wtedy, kiedy następuje rebuild wszystkiego albo gdy naprawdę stworzenie pliku zmian byłoby dłuższe niż nowy pakiet to lepiej budować nowy pakiet - ale czy często tak jest? Sprawa nie dotyczy jednak tylko plików .deb, ale wszystkich linux distro, któe zasypują użytkowników listą wielomegabajtowych poprawek. W końcu i Microsoft w końcu zmniejszył rozmiary swoich pakietów z poprawkami starając się je minimalizować (typowy cost-reduction)…

W Windows wykorzystuje się wiele zmiennych systemowych - chociażby w ustawieniach profili, w podawaniu położenia plików. Większość z nich możemy zobaczyć wydając w cmd.exe polecenie set. Jest jednak kilka takich, które nie są tam widoczne, a potrafią się czasem przydać.

• %DATE% - podaje datę w formacie polecenia date
• %TIME% - podaje czas w formacie polecenia time
• %CD% - podaje ścieżkę do bieżącego katalogu
• %ERRORLEVEL% - podaje kod zwrócony przez ostatnie polecenie
• i to mnie powaliło - %RANDOM% - zwraca liczbę z przedziału 0 do 32767… chyba jakiemuś programiście się nudziło

Na blogu Road to Know Where zebrano listę 150 programów użytkowych Microsoftu (część jeszcze z Microsoft Research), pomocnych w zarządzaniu, bajerów i iinych drobiazgów. Część z nich była bardziej lub mniej znana, ale to bardzo miłe, że w końcu ktoś to zebrał.

Lista jest naprawdę długa - od typowych dodatków XP, przez wszelakie narzędzia dla admina i powerusera, kończąc na multimediach i wygaszaczach. Można tam naprawdę sporo dla siebie znaleźć…

Edit: Wywołany do tablicy przez Krzycha, postanowiłem napisać, co mi osobiście przypadło do gutu z tej kolekcji:

Alt-Tab replacement: używam na systemie klienckim często, ponieważ daje szybką możliwość spojrzenia na jaką aplikację właściwie się przełączam, szczególnie jeśli mam kilka odpalonych instancji i ktoś nazwał okienka tak samo

Power Calculator: czyli kalkulator pokazujący co liczyłem i mający możliwość wpisywania formuł
Mount ISO Files Virtually: fajny, bo nie instaluje się jak daemon tools, ale pozwala ładować i wyładowywać sterownik na gorąco - na dodatek działa bez instalacji programu.

Port Reporter: sprawdza co słucha na którym porcie.
VirtualWiFi: czyli kilka różnych (SSID) sieci LAN na jednej karcie.

Do desktop tuningu miły jest TweakUI, czasem porywam się na jakiś zestaw tapetek - ale po chwili i tak zmieniam na zupełnie inną kolekcję. Nie wiem dlaczego MS wydając pakiety tematyczne (Nature, Ontario, Polska Złota Jesień) nie wydał także tematów do Luny. Zdecydowanie dla mnie obniża to ich wartość - ale tak to jest jak coś się wymyśli a potem nie wie po co to było. Z AeroGlass będzie tak samo.

MBSA, czy też Virtual PC to oczywiście często używane narzędzia - ale z zupełnie innych powodów niż desktop tuning. MSRT, Windows Defender, Desktop Search - nie używam, polegam na innym sofcie.

Z powyższych korzystam często - z reszty, sporadyczniej, jeśli wogóle. O części nie wiedziałem i będę testował. Może rozszerzę swój zasób narzędzi?

Masz firmowe konto w Onecie? Super. Masz święty spokój, bo raczej dziś rano nic do Ciebie nie dotrze. Admini onetu coś pokombinowali i próba wysłania do serwerów onet poczty z kilku adresów, z kilku sieci (co prawda polskich), powoduje piękny komunikat:

A najfajniejsze jest to, że tam są płatne konta firmowe, które właśnie odmówiły współpracy. BRAWO!

Podejrzewam, że nikt ze wspaniałej instytucji działającej pod egidą Allied Irish Bank tego nie przeczyta, ale cóż - w końcu od tego jest blog, żeby ‘dać wyraz fragmentom moich myśli’.

BZ WBK zmienił swój system logowania - zamiast standardowego formularza login/hasło mamy na pierwszym ekranie login, a na drugim ekranie (przeładowanie w przeglądarce - żaden AJAX), hasło. Nie jest to jednak zwykłe pole formularza, ale kratki na poszczególne literki hasła - przy długim haśle wyłączając niektóre litery na zasadzie autentykacji telefonicznej, (podaj. drugą. cyfrę. hasła, podaj. piątą. cyfrę. hasła).
Wszystko fajnie, zmiana systemu logowania jest może i bezpieczeniejsza - ale tylko wtedy, kiedy wymusi się zmianę polityki haseł z tych krótkich haseł domyślnych (4 cyfrowy PIN w zasadzie) na dłuższe - inaczej to tylko wkurza, ponieważ pola z formularza za wolno się przełączają (testowałem pod kilkoma przeglądarkami). Nie muszę dodawać, że o polityce haseł nie ma tam ani słowa?
Oczywiście rozumiem dlaczego tak się stało - za dużo ostatnio spywaru i trojanów czytających pola z formularzy WWW, ale swoją drogą zastanawia mnie dlaczego aż tak bardzo utrudniają zwykłemu użytkownikowi życie, jeśli żadnej operacji po zalogowaniu się do konta nie przeprowadzę bez potwierdzenia kodem z tokena lub SMSem? W sumie jeśli ktoś zobaczy ile mam na koncie to aż tak wiele złego się nie stanie (no dobra - będą na mnie mówić Kenny zamiast vermin ;-))

To w zasadzie by mnie jeszcze nie zdenerwowało, gdyby nie kolejny kamyczek - i to już moim zdaniem nie mały. Ogromnie denerwujące jest to, skoro Bank tak walczy o bezpieczny interfejs, iż tuż po zalogowaniu się wyskakują jakieś pop-upy z reklamą banku, które sprawiają wrażenie jakby jakiś spyware się ładował. Przecież to jakaś paranoja?

Całkowicie przy okazji - kwestia usability. Bank wprowdził nową usługę - ewyciąg. Ciekawa być może usługa (nie dla mnie - już się przekonałem, że gdziekolwiek w Polsce papier - to papier), ale zajęła domyślne miejsce przycisku historia konta, która dla mnie była szczególnie istotna (co tam wpłynęło albo jakim płatnościom nie udało się pokonać mojego niskiego stan posiadania?)
Dla mnie takie wiadomości powinna zawierać jakieś newslettery (subskrybuję - ale nie przychodzą), a może informacja na stronie logowania? Szkoda także, że bank nie czerpie z doświadczeń konkurencji - np. kliknięcie w saldo pokazuje od razu historię, kliknięcie w opis - pokazuje dane. Na dodatek brakuje np. możliwość filtrowania wyciągu na stronie wg typu, kwot, kontrahenta czy czegokolwiek. Jedynym plusem jest eksport wyciągu do CSV/Excel…

Ponieważ wysłałem do Banku zapytanie w powyższej sprawie (security) - czekam na jakąś odpowiedź. Hehe - już ją widzę… eufemistycznie mówiąc ‘na drzewo (eufemistycznie bardzo) robaku’. Na dodatek pewnie nie odniosą się nawet do połowy treści mojego zapytania - a taka szkoda, bo w końcu naprawdę lubię ten Bank… No, ale cóż, jak mówi reklama ING, (którego nie lubię) - banki nie są od lubienia, są od zarabiania pieniędzy (ponoć także dla klientów? ;-)).

Edit: szybkie google pokazało, że nie tylko mnie nowy interfejs nie sprawia przyjemności