Main Contents
lipiec 4, 2007
Ostatnio informowałem o błędach w jednym z największych polskich portali. Nie sprecyzowałem jednak, która to strona. Błąd został znaleziony w systemie blogowym Onet.pl.
Znalezienie błędu było bardzo proste. Dziwię się, że administratorzy przeoczyli tak oczywistą lukę. Oczywiście trzeba zaznaczyć, że wykryta luka pozwalała na atak XSS a co za tym idzie, nie była to luka krytyczna. Wykorzystanie jej wymagało pewnych sprzyjających okoliczności. Jednak nie zmienia to faktu, że wiele kont było zagrożonych.
Więcej na temat samego błędu (opis + film): Błędy w Onet.pl
Opublikowane jako: Bezpieczeństwo, Internet |
Komentarze (0)
lipiec 4, 2007
Przerwa w publikowaniu nowych wpisów (spowodowana sesją) dobiegła końca. Sesja zakończyła się pozytywnie, ciekawa praca już czeka i co najważniejsze, czeka upragniony relaks. Wracam do pisania i mam nadzieję, że ten blog nie został zapomniany. A jest o czym pisać… Ostatnie tygodnie przyniosły wiele ciekawych wydarzeń. Strajk Służby Zdrowia trwa, terroryzm kwitnie a pozytywni naukowcy budują kolejny superkomputer. I tak to się kręci…
Opublikowane jako: Ogłoszenia |
Komentarze (0)
maj 25, 2007
Wygląda na to, że lekarze będą nadal strajkować. I dobrze! W pełni popieram ten protest i w miarę swoich możliwości, będę starał się go promować.
Czemu? Ponieważ uważam, że lekarze wykonują naprawdę ciężką i odpowiedzialną pracę a ich wynagrodzenie jest niewspółmierne do stresu. Mam wielu znajomych na Collegium Medicum w Krakowie i Akademii Medycznej na Śląsku - są to ludzie którzy nie chcą wyjeżdżać z kraju z powodu obecnej sytuacji. Pracują sześć lat, poświęcają wakacje na praktyki, zdają egzaminy państwowe i… dostają 1200zł za wymagającą pracę. Sprawiedliwość? Raczej nie…
Mam także znajomych, którzy od wielu lat pracują w szpitalu. Ludzie posiadający drugi stopień specjalizacji, z praktyką przekraczającą 20 lat i ogromną ilością uratowanych ludzi muszą zmagać się z brakami kadrowymi, starym sprzętem i niekończącym się zadłużeniem szpitala. Czy ktoś z Was chciałby pracować w takich warunkach? Czy ktoś chciałby poświęcić całe swoje życie na naukę i walkę ze stresem otrzymując za to wynagrodzenie zupełnie nieadekwatne do jakości wykonywanej pracy?
Dzisiaj, do godziny 11.00, miałem jeszcze nadzieję na zmiany. Okazało się jednak, że Ogólnopolski Związek Zawodowy Lekarzy zerwał negocjacje z Rządem. Nie dziwię się, zważywszy na styl prowadzenia rozmów z OZZL. Co więcej, zarząd związku apeluje do lekarzy aby Ci zwalniali się z pracy. Dla mnie był to moment przełomowy - wyraźnie zobaczyłem, że tu chodzi o coś cenniejszego niż pieniądze.
Co sądzą o strajku inni? Niektórzy go wspierają (w tym ja) a inni krytykują, powołując się np. na przysięgę Hipokratesa. Wiele razy ją przeczytałem i nigdzie nie znalazłem zapisu mówiącego, że lekarz zobowiązany jest leczyć ludzi odstawiając na bok swoją godność…
Przepraszam za styl tej notki. Jest ona tematycznie niezwiązana z innymi wpisami na tej stronie, ale chcę chociaż w taki sposób wspomóc ludzi których naprawdę szanuję. Nie obwiniam także nikogo za obecną sytuację w Służbie Zdrowia - nie mam wystarczającej wiedzy. Chcę tylko zaapelować do innych blogowiczów - może i Wy wesprzecie strajk?
Strona OZZL
Opublikowane jako: Ogłoszenia, Praca |
Komentarze (0)
maj 18, 2007
Kolejny tydzień mija… W tym tygodniu (zresztą jak zwykle) miałem ogrom pracy do wykonania. We wtorek zakończyłem swoją przygodę z laboratoriami z fizyki - nie będzie mnie już nękał hallotron, oscyloskop czy wahadło torsyjne. Po odebraniu wszystkich sprawozdań, postaram się je udostępnić - może komuś się przydadzą.
Dwa dni temu, na spotkaniu Koła Naukowego PK IT Sec., miałem przyjemność prowadzić wykład dotyczący błędów XSS. Był to mój drugi wykład który przygotowałem (wcześniej - “Teoria bezpieczeństwa“). Nieskromnie muszę przyznać, że poziom moich prezentacji rośnie :] Specjalnie na potrzeby Koła przygotowałem także informacje dotyczące błędów na 2 popularnych serwisach internetowych - opiszę je w najbliższym czasie.
Informacja dla ludzi zainteresowanych supportem Pythona: prawdopodobnie strona ruszy w przyszłym tygodniu.
Opublikowane jako: Ogłoszenia, Studia i Nauka |
Komentarze (0)
maj 10, 2007
Tyle się działo… Ostatnie dni przyniosły jak zwykle masę pracy i kilka, mniej lub bardziej, miłych niespodzianek. Po pierwsze, miałem zaszczyt prowadzić pierwszy wykład na spotkaniu Koła Naukowego PK IT Sec. Wykład dotyczył “Teorii bezpieczeństwa” i z tego co mi wiadomo, spodobał się większości słuchaczy (z czego jestem dumny…).
Przez ostatnie dni pracowałem także nad moim projektem (zaawansowany honeypot, pisany w Pythonie). Część kodu jest już napisana, ale do finalnej wersji jeszcze daleko. Czas poświęcam na czytanie dokumentacji frameworka Twisted.
Wczoraj miałem okazję uczestniczyć w spotkaniu organizacyjnym Krakowskiej Grupy Użytkowników Linuksa (CLUG), która jest jednym z oddziałów Polskiej Grupy Użytkowników Linuksa. Celem spotkania było przedyskutowanie spraw związanych z organizacją konferencji “Poznaj Linuksa” w Krakowie, oraz omówienie ewentualnej współpracy krakowskich Kół Naukowych z CLUGiem. Muszę przyznać, że całe spotkanie mnie mocno rozczarowało. Wkrótce opublikuję dokładną relację - muszę ochłonąć z nadmiaru negatywnych myśli.
Jeżeli chodzi o polski support Pythona, to wszystko idzie w dobrą stronę. Udało mi się przekonać kilka osób do tego projektu i myślę, że pracę nad stroną i przede wszystkim materiałami, ruszą w najbliższym czasie.
Opublikowane jako: Ogłoszenia, Studia i Nauka |
Komentarze (0)
maj 4, 2007
W trzech wtyczkach do popularnego systemu blogowego Wordpress wykryto poważne błędy. Wadliwe pluginy to:
wordTube (wersja 1.4.3 i wcześniejsze) - jak informuje autor, za pomocą tej wtyczki będziemy mogli w łatwy sposób dzielić się filmami, muzyką i obrazami. Wtyczka współpracuje z wieloma popularnymi formatami: .swf, .jpg, .png, .gif, .flv.
wp-Table (wersja 1.4.3 i wcześniejsze) - dość nietypowy plugin, służący do tworzenia tabel. Za jego pomocą możemy tworzyć estetyczne tabele i w łatwy sposób nimi zarządzać.
myFlash (wersja 1.10 i wcześniejsze) - dodatek umożliwia łatwe tworzenie tzw. pokazu slajdów wykonanego w technologii Flash. Wtyczka wymaga zainstalowanych rozszerzeń MyGallery i Flash Image Rotator.
Błędy występujące w tych 3 pluginach są do siebie bardzo podobne. Autor nie zadbał o odpowiednie filtrowanie danych przekazywanych przez użytkownika (a dokładniej zmiennej wpPATH, odpowiednio w plikach wordtube-button.php, wptable-button.php i myflash-button.php). Pozwala to na uruchomienie spreparowanego kodu i ostatecznie, na przejęcie kontroli nad systemem. Do przeprowadzenia udanego ataku wymagana jest włączona funkcja register_globals.
Autor wadliwych wtyczek (Alex Rabe) opublikował już ich poprawione wersje. Dostępne są na stronie alexrabe.boelinger.com.
Opublikowane jako: Bezpieczeństwo, Wordpress |
Komentarze (0)
maj 2, 2007
Python jest według mnie jednym z ciekawszych języków programowania. Zapewnia ogromne możliwości, szybkość pisania kodu i ciekawe, często innowacyjne rozwiązania. Ceniona jest także społeczność ludzi związanych z Pythonem. Problem w tym, że w Polsce nie ma strony zrzeszającej miłośników Pythona i pozwalającej w sposób swobodny wymieniać wiedzę. Brakuje profesjonalnie przygotowanego portalu który byłby pomocny początkującym programistom, jak i tym bardziej zaawansowanym.
Koło Naukowe “PK IT Security Group” stara się promować Pythona, ale z uwagi na inną tematykę samej strony, nie mamy odpowiedniej “siły przebicia”. W związku z tym, postanowiłem nawiązać współpracę z innymi pasjonatami programowania i wspólnymi siłami coś stworzyć. Osoby zainteresowane proszę o kontakt. Ewentualne pytania proszę zadawać w komentarzach do tego wpisu. Jednocześnie chciałbym zaznaczyć, że aktualnie chcę sprawdzić ile osób jest zainteresowana “polskim supportem” - może brak strony traktującej o Pythonie, jest wynikiem znikomego zainteresowania samym językiem (w co wątpię…). Proszę o ewentualne sugestie.
Opublikowane jako: Programowanie, Python |
komentarze (1)
kwiecień 26, 2007
Większość ludzi korzystających z Internetu zetknęło się z pojęciem Web 2.0. Niewątpliwie, nurt Web 2.0 niesie ze sobą duże możliwości i jest zdecydowanym krokiem naprzód. Dziwi mnie jednak wszechobecny zachwyt i uznawanie tego nurtu za ogromną rewolucję. Co więcej, mam już dość kolejnych, nic nie wnoszących serwisów reklamujących się jako “serwisy-społecznościowe”. W tym krótkim artykule, z którym pewnie większość z Was się nie zgodzi, postaram się wytłumaczyć moje zażenowanie i przybliżyć moje obawy związane z dalszym rozwojem sceny Web 2.0. (więcej…)
Opublikowane jako: Internet |
Komentarze (9)
kwiecień 13, 2007
Większość z Nas marzy o pracy, która będzie ciekawa, inspirująca i będzie dawać wolną rękę. Marzy o pracy, w której nie będzie sztywno ustalonych godzin, terminów “na wczoraj” i szefa krzyczącego nad głową. Czy taka forma zarabiania pieniędzy jest możliwa i może zagwarantować utrzymanie? Okazuje się, że tak. A zwie się ona… Freelancing.
Kim jest Freelancer?
Sprawdzamy w słowniku i już wiemy, że freelancer jest to pracownik nieetatowy. Szczerze mówiąc nazwa “pracownik nieetatowy” nie kojarzy się zbyt dobrze. Mam nadzieję, że po tym artykule zmieni się ten nieprzychylny wizerunek. Freelancer sam dostosowuje ilość wykonywanej pracy w zależności od wymagań projektu, ewentualnych problemów organizacyjnych itd. Pracownik nieetatowy podpisuje z zainteresowanym klientem umowę o dzieło lub umowę o zlecenie. Jest zobowiązany przestrzegać terminów, ale praca na własny rachunek eliminuje sztywny rozkład zajęć.
Freelancer może także swobodnie dyktować warunki dotyczące ceny projektu. Nie jest ograniczony żadnymi konkretnymi przepisami - może dowolnie wycenić swoją ciężką pracę i czas poświęcony na realizację zadania. Dokładną wyceną pracy freelancera zajmę się w dalszej częsci artykułu. (więcej…)
Opublikowane jako: Praca |
Komentarze (4)
kwiecień 8, 2007
PK IT Sec. Group zostoło oficjalnie zarejestrowane i wpisane na listę Kół Naukowych Politechniki Krakowskiej. Dzięki temu, możemy wreszcie rozpocząć pracę.
Pierwsze spotkanie odbędzie się w środę 18 kwietnia. Spotykamy się o 19.45 na sali wykładowej Instytutu Modelowania Komputerowego (Politechnika Krakowska, budynek wydziału chemii). Będzie to zebranie organizacyjne, połączone z wykładem wprowadzającym w tematykę bezpieczeństwa informatycznego.
Opublikowane jako: Bezpieczeństwo, Studia i Nauka |
Komentarze (0)