Записки самоучки

Ноябрь 17, 2006

GMAIL имеет ввиду трафик пользователя, а броузеры радует безопасностью.

Filed under: Броузеры,Глюки,Это жизнь,Google,Web 2.0 — 4matic @ 2:24 пп

Попросили меня скинуть на мыло экзешный файл. Этот экзешник лежит у меня в зиповом архиве.

Открыл GMAIL, прикрепил файл на скрепку к письму. GMAIL честно перекачал файл на сервер! Причем перекачал по событию «окончание выбора файла», как только я указал файл, а не подтвердил отправку всего сообщения. Я набрал текст письма и нажал кнопку отправить письмо. И тут GMAIL огорошил меня новостью: в целях безопасности сервис не отправляет файлы в том формате, в котором хранится файл на скрепке. Точнее сказать именно с расширением exe. Я имел ввиду GMAIL и его тупую и бездарную заботу о безопасности клиентов. Я просто переименовал файл, снова зазиповал и отправил без всяких проблем. Понятно, что я потратил на повторный поиск файла, разархивирование, изменение расширения, архивирование…

Что возмутило.

  1. Сервис разрешил прикрепить файл, но запретил его отправить. (Я прекрасно понимаю, что бы узнать больше о файле — нужно его скачать.) А если бы я прикреплял файл размером в несколько десятков метров? Потратил время, трафик (читать деньги), а потом бы получил подобное «заботливое предложение»? Кто возместит убытки???
  2. Хорошо, что я знаю, что нужно поменять расширение файла, и как это сделать. А если пользователь чайник, сидит в Windows, который по умолчанию скрывает расширение файла? Все — курим бамбук. Почту в этом случае отправляем голубями.
  3. «Порадовала» безопасность броузера, которая разрешила без моего явного разрешения отправить файл на сервер. А если бы я по ошибке выбрал не тот (конфиденциальный) файл, броузер бы все равно разрешил его скачать на сервер, а GMAIL воспользовался этой возможностью, и, заботливо, по самому безопасному http протоколу закачал бы этот файл на сервер.
  4. Что за привычка проверять предмет по внешнему виду, а не по его атрибутам и другим данным? Заботитесь о безопасности клиента — проверяйте антивирусом, а не способом «от лукавого» по вторичным половым признакам.

Выводы.

  • Не отправляйте через GMAIL ничего большого на скрепках, предварительно не проверив на меньших по размеру файла, как будет отправляться содержимое скрепок.
  • Обращайте внимание, к каким файлам указываете путь в форме выбора файла. А еще лучше, что бы у тега INPUT type=file не было вообще никаких событий.
  • Когда разрабатываете пользовательский интерфейс, то ограничивайте возможности пользователя, исключая те возможности, которые приводят пользователя в тупик, а не к ожидаемому результату.

Уязвимостям web 2.0 100 лет

Filed under: Это жизнь,Web 2.0 — 4matic @ 11:07 дп

Набрел на заметку об уязвимостях web 2.0.

Я согласен, что нужно говорить о распространенных/часто встречаемых уязвимостях вебдваноль, а так же говорить о тенденциях это проблемы. Но говорить о том, что уязвимости новы и присущи ведбванольным решениям — это БАЯН.

В вебдваноль активно используется Аякс, который, собственно, и является источником проблем. Аякс — это просто новая технология, которая пользуется старыми инструментами (Javascript, XML, DOM …). Поэтому говорить о XSS (и др.), как о страшной и новой уязвимости, присущей вебдванольным ресурсам — это просто модно и не больше. Новых уязвимостей нет, есть технология Аякс и вебдваноль, которые, как сейчас активно развиваются. Распрострененность решений делает распространенными те проблемы, которые раньше находились в тени. Раньше включенная поддержка кук или JS считалась колоссальной брешью в безопасности клиента. Многие сайты создавались из расчета, что у клиента 50/50 будет выключена поддержка JS. А сейчас чаша весов склоняется к тому, что включенная поддержка JS — это обязательное условие для работы с сайтом.

Проблема не в вебдваноле или XSS — проблема в глупостях программистов, которые позволяют издеваться над своими продуктами с помощью уязвимостей, а так же в «сильно умных» ломаках, которые направляют свою энергию, что бы делать гадости, показывая свое «превосходство».

Июнь 24, 2006

MillionDollarHomepage наоборот

Filed under: Идеи,Web 2.0 — 4matic @ 12:14 пп

Навеяло newweb.Старо как мир, но вариант. Точнее два:

  1. Цель: узнать, что нарисовано. Рисунок полностью закрывается. Далее за каждое открытие части рисунка взымается плата. Плата идет в призовой фонд, а участнику предоставляется право озвучить, что изображено на рисунке. Кто правильно называет, что изображено на рисунке, получает часть призового фонда, а оставшиеся деньги идут организатору конкурса. Эффект можно усилить тем, что можно организовать тотализатор со ставками на то, с какой попытки отгадают картинку, либо отгадают картинку за какой-то период. Т.е. ставка делается на азарт людей.
  2. Цель: получить удовольствие. Опять же рисунок закрываем. Но озвучиваем, что под рисунком скрыта какая-нить фотография, например бюст… Ленина. Далее за каждое открытие части рисунка взымается плата, а пользователи получают эстетической удовольствие. Эффект можно усилить редкими фотографиями известных личностей. Т.е. ставка делается на созидательность.

Для первого пункта соратником может стать сервис http://www.riya.com/ (Визуальная Поисковая машина)

Мысли: Интересно, как продвигался в сети MillionDollarHomepage?

Блог на WordPress.com.