Nareszcie ukazał się również w wersji elektronicznej! Długo wyczekiwany przeze mnie Biuletyn IAiR 29/2010 jest już dostępny na stronach internetowych Instytutu Teleinformatyki i Automatyki WAT.

Dlaczego akurat ten numer jest dla mnie wyjątkowy? Zapraszam do lektury dwóch ciekawych artykułów zredagowanych przeze mnie oraz Piotra Litwniuka we współpracy z dr inż. Janem Chudzikiewiczem.

• Projekt scentralizowanego, internetowego systemu rejestracji użytkowników [podgląd]
  Piotr Kwiatek, Jan Chudzikiewicz;
  Streszczenie: W artykule przedstawiono opis projektu oraz implementacji systemu rejestracji użytkowników w serwisie internetowym. Omówiono ideę zastosowania systemu jako scentralizowanego punktu uwierzytelniania i autoryzacji użytkowników w Internecie, a także aspekty bezpieczeństwa z tym związane. Przedstawiono przykład wdrożenia opracowanegorozwiązania.
• System Wspomagania Pracy Nauczyciela
  Piotr Litwiniuk, Jan Chudzikiewicz;
  Streszczenie: W artykule przedstawiono opis projektu oraz implementacji aplikacjiwspomagającej pracę nauczyciela. Zdefiniowano wymagania funkcjonalne i niefunkcjonalne nakładane na system. Zaprezentowano diagramy interakcji wybranych przypadków użycia w notacjiUML. Przedstawiono współpracę z zewnętrznymi, w stosunku do omawianego, systemami (SRU, SZZD) poprzez mechanizm Web Services. Omówiono wybrane rozwiązania implementacyjnewykorzystane w projektowanym systemie.

Projekt porównania produktu VMware Server z Oracle VirtualBox powstał w ramach przedmiotu Wirtualizacja Systemów IT na WAT. W ramach niniejszego sprawozdania zawarłem najważniejsze zagadnienia związane z porównywanymi środowiskami wirtualizacji, wyniki przeprowadzonych testów, wnioski z nich wynikające oraz subiektywne uwagi. Na podstawie dokumentacji VMware Server 2.0.2 oraz Oracle VirtualBox sporządziłem zestawienie porównawcze funkcji oferowanych przez obu hypervisor-ów (VMM).

Projekt spotkał się z zainteresowaniem prowadzącego przedmiot, dlatego podbudowany tym faktem postanowiłem go opublikować. ;-)

• Porównanie VMware Server z Oracle VirtualBox [pobierz] [podgląd]

“Jest to zwykle nieoptymalna, ale najprostsza do zaimplementowania i najbardziej skuteczna metoda postępowania (ponieważ teoretycznie pozwala ona złamać każde hasło – praktycznie może to potrwać nawet tysiące i miliony lat).”

Nieoptymalna, bo właśnie może bardzo długo trwać. Najprostsza, bo wystarczy wskazać, gdzie “wklepywać” kolejne pary poświadczeń w nadziei na pomyślną autoryzację dostępu. I tutaj najlepsze. Jest to metoda najbardziej skuteczna. Nawet gdyby miało to trwać miliony lat, nadal jest to skuteczna metoda ;-) Prawie jak granice w matematyce. Wartość funkcji nawet przy niewyobrażalnie dużym parametrze do swojej granicy nie dobrnie, jednak przy parametrze dążącym do nieskończoności i owszem. Do artykułu odsyłam na docs.google.com lub wersji PDF do pobrania:

• Atak metodą słownikową (brute force) przy użyciu THC-HYDRA [pobierz] [podgląd]

Najpierw publikacja projektu Carousel Configuration Manager (CCM). Projekt budowany na raty od października br., w końcu ukończony i wdrożony. Od kilku dni dostępny także dla Was, za darmo!

Dzisiaj publikacja Systemu Rejestracji Użytkowników (SRU). Projekt stworzony w ramach mojej inżynierskiej pracy dyplomowej prawie rok temu. Nie planowałem jego publikacji, jednak z niecierpliwością zacząłem wyczekiwać zgody na publikację dopiero od kilku tygodni, kiedy praca została oficjalnie wyróżniona w konkursie dziekana na najlepszą pracę dyplomową w roku akademickim 2009/2010.

Zachęcam i zapraszam! ;-)

W innym przypadku, używając domyślnych ustawień znanego klienta FTP Filezilla Client część plików w Twojej kopii zapasowej może zostać uszkodzona. Działa to w obie strony. Przy wysyłaniu plików na serwer FTP oraz pobieraniu. Kilkakrotnie robiłem już kopie zapasowe firmowych serwerów FTP wykorzystując tego popularnego klienta i aż strach pomyśleć ile z tych kopii zapasowych nie zachowała swojej integralności. Kiedy dokładnie powstaje problem? Najczęściej wtedy, kiedy plik binarny nie posiada rozszerzenia. Filezilla Client w swojej domyślnej konfiguracji używa trybu ASCII dla plików bez rozszerzenia. O problemie wspomniał już prawie 2 lata temu internauta ~alkis na stronach projektu filezilla (http://trac.filezilla-project.org/ticket/4235) jednak nie wiedzieć czemu na dzień dzisiejszy wersja 3.3.5.1 ciągle stosuje tryb ASCII dla plików bez rozszerzeń “default-owo” i nadal o tym jest cicho. Wysyłając plik moj_obrazek_z_wakacji na serwer FTP w trybie ASCII (a tak się dzieje, kiedy plik nie posiada rozszerzenia) można zauważyć, że po zakończonym transferze plik lokalny i plik zdalny różnią się rozmiarem. Okazuje się, że grafika na serwerze FTP jest w najlepszym wypadku nieczytelna, a z reguły uszkodzona całkowicie. W przypadku, gdy mamy do czynienia z działającą aplikacją webową i chcemy skopiować jej zasoby via FTP, kto wie, jakie pliki wysłał na serwer użytkownik forum, CMS czy CRM. Autor raportu błędu udzielający się na stronach filezilla-project.org podał jeszcze dwa ciekawe przypadki, kiedy Filezilla Client nas zawiedzie.

* Copying C:\NTLDR fails because it’s copied as ASCII
* Copying /bin/ls fails
* Backing up a CMS that encrypts the filenames of attached files (=>with no extension) fails

Poprawiamy konfigurację

Zaglądając w ustawienia Filezilla Client (menu Edytuj -> Ustawienia) przechodzimy do zakładki Transfery -> Typy plików.

Zaznaczona opcja traktuj pliki bez rozszerzenia jako pliki ASCII jest niewątpliwie przyczyną naszych kłopotów. Warto jest też spojrzeć jaki tryb jest ustawiony domyślnie oraz jakie rozszerzenia plików są na liście Automatycznej klasyfikacji typów plików.

Lekka dygresja i podsumowanie

Filezilla Client nie zaskoczyła co niektórych użytkowników tylko tym. Dość kontrowersyjne jest podejście programistów Filezilla do kwestii bezpieczeństwa przechowywanych haseł. Wiadomo, że przechowywanie haseł w programach i tak nie jest dobrym pomysłem w kwestii bezpieczeństwa, ale trzymanie ich w otwartym, niezaszyfrowanym, standardowo zlokalizowanym pliku XML (u mnie  C:\Documents and Settings\Piotr\Dane aplikacji\FileZilla\sitemanager.xml) jest już “delikatną” przesadą. O tym jak bardzo się tym przejmujemy można dowiedzieć się od Google’a (http://www.google.pl/search?hl=pl&q=filezilla+passwords+sitemanager.xml&aq=f&aqi=&aql=&oq=&gs_rfai=). Ciekaw jestem jakie wtopy serwuje bliźniaczy projekt Filezilla Server, którego również używam.

Tymczasem ja przerzucam się na klienta FTP, którego używałem do tej pory w kontaktach z Linkusami, a mianowicie WinSCP.

źródło: http://www.maximumpc.com/article/news/report_hot_running_laptops_can_damage_your_skin

Tak się zastanawiałem jak duży związek z tym, że przestałem sprzątać w pokoju ma to, że mój nowszy notebook HP Probook 4310s zaczął się wyłączać z przegrzania, a niedługo później stary HP Compaq NX7400 również zaczął się “pocić” ;-) Wszechobecny kurz dostał się także i do środka obu z tych maszyn. Małe wiatraczki sterowane czujnikiem temperatury procesora wchodziły już na najwyższe obroty, kiedy ich kontroler otrzymywał informacje o coraz większych temperaturach rdzenia. Niestety już nawet taki wysiłek wentylatorów niewiele dawał, jeśli między ich łopatkami, a blaszkami miedzianego radiatora powstała kilkumilimetrowa warstwa izolacyjna z kurzu, przypominająca z wyglądu kawałek filcu.

Podstawki chłodzące do laptopów

Jak do tej pory nie spotkałem się z notebookiem z procesorem Intela, który od nowości nie pozwoliłby się utrzymać na kolanach z powodu gorąca. Wspomniałem o procesorach Intela, bo z mojego doświadczenia notebooka z procesorem AMD (np. Athlon lub Turion) można było bardzo łatwo przerobić na opiekacz do kanapek. Wystarczyło włączyć jakiś archiwizator danych. Nie wiem jak jest teraz, ale podejrzewam, że nie wiele lepiej. Z problemem gorącego spodu notebooka ponoć dobrze dają sobie radę specjalne podstawki chłodzące dostępne na aukcjach (Podstawki chłodzące do laptopów na Allegro). Jeśli jednak na pokładzie mamy jeden z procesorów Intela, mając odrobinę manualnych umiejętności, odwagi i ostrożności możemy zaoszczędzić kilka złotych i wyczyścić układ chłodzenia.

Od czego zacząć?

Od podstaw teoretycznych. Wtedy w praktyce popełnimy dużo mniej błędów, które mogą mieć mniej lub bardziej katastrofalny wpływ na życie naszego notebooka. Nie wiem jak reszta firm produkujących laptopy, ale HP udostępnia bardzo dokładne przewodniki serwisowe do swoich urządzeń. Ostatnio znalazłem też manual do Asusa, więc być może i ta firma prowadzi dokładną dokumentację serwisową. Wracając do Hewlett Packarda, do HP Probook 4310s manual serwisowy można pobrać ze strony producenta (link: http://bizsupport2.austin.hp.com/bc/docs/support/SupportManual/c02025105/c02025105.pdf). Zanim przystąpimy do pracy, aby nie robić tzw. fuszerki proponuję zaopatrzeć się w śrubokręty typu Torx (wikipedia). Przyda się też kilka normalnych śrubokrętów gwiazdkowych. Dokładną specyfikację narzędzi można znaleźć w w/w manualu.

HP Probook 4310s NX578EA

Wracając do HP Probook 4310s… Nie wiem dlaczego postęp technologiczny w tym aspekcie się zacofał, ale byłem bardzo niemile zaskoczony konstrukcją tego notebooka. Delikatne plastikowe części obudowy zostały przymocowane za pomocą kruchych i małych zatrzasków, które aż strach podważać. Czasami trzeba na prawdę niebezpiecznie nagiąć element, aby zatrzask puścił. Druga sprawa to dostęp do układu chłodzenia procesora. Aby dojść do etapu demontażu radiatora, zgodznie z manualem musimy przewertować 47 stron i dokładnie prawie wszystko zdemontować, aż do samej płyty głównej (str. 50-97). Dużo pracy i przy małym lub zerowym doświadczeniu – stresu. Czyszczenie polega na wydmuchaniu lub wypłukaniu kurzu z radiatora oraz poprawę przewodnictwa ciepła między rdzeniem a stopą radiatora. Nie rozumiem, dlaczego HP kładzie tyle pasty termoprzewodzącej na rdzeń. W obu notebookach spotkałem się ogromną ilością i zaciapanym w całości procesorem. Jeśli posiadasz świeżą pastę, wyczyść procesor oraz radiator ze starej pasty, a następnie na rdzeniu umieść odrobinę nowej pasty. Jeśli nie, możesz użyć starej pasty usuwając przy okazji nadmiar z rdzenia. Po wszystkim możesz, jeśli nie jesteś zbytnio przerażony rozwalonym w drobny mak notebookiem, rozpocząć składanie i liczenie śrubek. Składać także jest dobrze z manualem. Pozwala to na uniknięcie sytuacji, że zostanie nam na dłoni garść śrub, których nie wiadomo gdzie wkręcić.

HP Compaq NX7400 EY505ES

Dużo lepiej przedstawiają się rozwiązania demontażu układu chłodzącego w legendarnej i niezniszczalnej wg niektórych optymistów serii HP Compaq. Po pierwsze żadnego stresu przy demontażu plastikowych elementów obudowy, ponieważ nie potrzebujemy niczego demontować. Manual serwisowy ze strony producenta (link: http://bizsupport1.austin.hp.com/bc/docs/support/SupportManual/c01035648/c01035648.pdf) można rozpocząć od strony 112. Wystarczy przestudiować i postąpić wg instrukcji z 8 stron (str. 112-120), aby mieć na dłoni cały radiator wraz z wentylatorem. W gruncie rzeczy to demontaż klawiatury, odpięcie kilku przewodów – 15 minut spokojnie wystarczy. W serii Probook ta sama operacja zajęła mi około 4 godzin. No i jakieś 2,5 godziny na składanie.

Stawiam na mobilność

Może zabrzmi to śmiesznie, ale wolałbym dołożyć trochę do kupna komputera stacjonarnego, niż kupować podstawkę chłodzącą. Korzystam z notebooka przede wszystkim ze względu na jego mobilność. Często przenoszę go z uczelni do akademika, z akademika do domu i z powrotem. Noszenie ze sobą podkładki chłodzącej lub styropianowych podnóżek dla lepszej cyrkulacji chłodnego powietrza pod komputerem byłoby dla mnie absurdem.

print floor(mktime(12,0,0,$MONTH,$DAY,$YEAR)/86400); //Zwroci liczbe dni od daty zasanej zmiennych $DAY, $MONTH oraz $YEAR
print floor(time()/86400); //Zwroci liczbe dni od 01.01.1970 do dzis

Gotowy generator mojego autorstwa możesz znaleźć tutaj:

• http://piotr.kwiatek.org/days-since-unix-epoch/

[1] shadow(4) – shadow password file, http://docs.sun.com/app/docs/doc/816-0219/6m6njqbc2?a=view

Miałem kiedyś konto u dostawcy hostingowego. Zaakceptowałem regulamin. Już dawno nie korzystam z jego usług jednak co kilka dni dostaję e-mail z promocjami w Jego ofercie. No cóż, podpisałem regulamin i nie mam wyjścia. Forum, które na pierwszy rzut oka było godne zaufania codziennie wysyła mi nową porcję reklam, a wypisanie się z listy mailingowej po prostu jakimś cudem nie działa. Wiadomości z banku również nie są zbyt ważne, jeśli pochodzą z mailing@bank.tld. A lista rośnie. Rozwiązaniem jest założenie folderu, a dokładniej etykiety, gdzie przeniesiemy do późniejszego przejrzenia takie właśnie wiadomości. Mijałoby się to z celem, gdybyśmy musieli je przenosić sami. Założymy więc do tego filtr. Połączenie tych dwóch funkcji daje nam mały filtr, nazwijmy go antycrapmailowy ;) Do dzieła:

Jak odfiltrować niechcianą korespondencję e-mail:

1. Otwórz notorycznie nadsyłaną, mało ciekawą wiadomość.
2. Z menu More actions (Więcej czynności) wybierz Filter messages like these (Filtruj wiadomości tego typu). W efekcie powinniśmy dostać formularz tworzenia filtra z wypełnionym już automatycznie polem, z reguły wypełnione jest pole “From” lub “Has the words”. Proponuję przetestować jak filtr wyszukuje wiadomości z Twojej skrzynki – czy trafia w te niechciane. Wykorzystaj do tego przycik Test Search (Testuj filtr). Dobrym sposobem na wyłapywanie wszystkich newsletterów od takiego pseudospamera jest wrzucenie całej domeny do filtra wypełniając pole “From” czymś na wzór *@domena.tld.
3. Jeśli filtr wyszukuje to co powinien klikamy Next Step (Następny krok), aby zdefiniować co z taką wiadomością zrobić, kiedy system pocztowy ją odbierze. Moją propozycją jest zaznaczenie opcji Skip the Inbox (Pomiń folder “Odebrane”) oraz Apply the label (Zastosuj etykietę). Połączenie tych dwóch funkcji spowoduje, że etykieta będzie zachowywać się jak folder i to właśnie tam będą się znajdować wszystkie nużące wiadomości. Pamiętaj, aby przy zaznaczeniu opcji etykiety wybrać lub stworzyć specjalną etykietę dla takich wiadomości. Nazwij ją np. “śmieci” ;) Polecam również zaznaczyć opcję Also apply filter to X conversation below (Zastosuj filtr także do poniższych wątków) co ułatwi nam usunięcie później wiadomości, które już mamy w skrzynce. Jeśli jesteś pewny, że na pewno nie chcesz nawet zerkać co pasowało do tego filtra, możesz zamiast opcji przypisywania etykiet, wybrać opcję usuwania (Delete It). Uważaj jednak jeśli jakimś dziwnym trafem wpadnie tam ważny mail. Po 30 dniach wiadomości w koszu są usuwane bezpowrotnie.
4. Jeśli wszystko gotowe wystarczy kliknąć Create Filter (Utwórz filtr). Wszystkie maile pasujące do filtra zostaną pominięte w folderze głównym Inbox (Odebrane) oraz oznaczone zdefiniowaną wcześniej etykietą. Aby przejrzeć folder z “crapmails” kliknij na nazwę etykiety, która pojawiła się w kolumnie po lewej. Przeskanuj wzrokiem wiadomości, które się w nim zatrzymały, a następnie zdecyduj co z nimi zrobić.

Wszystkie zdefiniowane filtry można dowolnie edytować i usuwać wybierając w prawym górnym rogu przeglądarki Settings (Ustawienia), a następnie zakładkę Labels (Etykiety).

Przyjemnego korzystania z Google’owego GMaila!

[1] “The crapware con”, http://www.pcpro.co.uk/features/352927/the-crapware-con

Obiecałem kiedyś, że napiszę coś więcej o wielkim Facebook’owym “Boom!” jakie ma właśnie miejsce od niedawna w Polsce, ale również na całym świecie. Przepraszam, że rozczarowuję może co niektórych, bo nie piszę o tym jak Facebook wpływa na rozwój psychiczny młodego człowieka, jak straszliwie pożera jego wolny czas i jaki to jest zły i demoralizujący. Nie o tym.

Bezpieczeństwo za czasów NK

Jeszcze za czasów kiedy Nasza Klasa raczkowała w Polsce i ludzie powoli poznawali o co tak na prawdę chodzi z tymi portalami społecznościowymi, strony z tech-nowinkami zasypywały nas artykułami o niebezpieczeństwie naszych danych osobowych i o tym w jaki sposób nieprzyjaźni nam ludzie mogą ich użyć. Słyszeliśmy o tym, że podawanie do wglądu wszystkim takich danych jak szkoły, miejsca pracy, miejsca zamieszkania umożliwiają na szybkie zlokalizowanie delikwenta w realnym świecie przez pierwszego lepszego internautę. Nie trzeba też do nikogo dzwonić na telefon domowy, aby sprawdzić czy jest w domu. Naszoklasowicz sam pochwali się w eterze, że wyjeżdża z całą rodziną na Majorkę, wysyłając nieświadomie sygnał, że chata stoi pusta. Potrzeba było czasu, aby Ci mądrzejsi i ostrożniejsi dostrzegli podatność własnego bezpieczeństwa i ją załatali stosując zasadę ograniczonego zaufania. Dla niepohamowanych, internetowych ekshibicjonistów stworzono także profile prywatności, tak aby ostrożny o swoje bezpieczeństwo jegomość mógł kontrolować do jakiej granicy mogą jego zdjęcia i dane osobowe docierać, zakładając, że portal społecznościowy dba o bezpieczeństwo danych zgromadzonych na serwerach systemu teleinformatycznego. Świadomość jest, zrobiło się bezpieczniej, ale znów do czasu.

Era Facebook’a erą nowych zagrożeń

Facebook poczęstował swoich użytkowników aplikacjami, głównie dzięki którym ten serwis społecznościowy odniósł tak wielki sukces. Są to niewielkie skrypty, dzięki którym użytkownicy tej społeczności mogą brać udział w grach, quizach itp. Sęk w tym, że aplikację podobną do FarmVille, Phrases czy CheckYourBMI może napisać każdy. Zarówno Ty jak i cyberprzestępca, który widzi w Facebook’u nie tylko zabawę. Twórca tego portalu stworzył maszynę, która dzięki milionom ludzi zaczęła sama się rozbudowywać o kolejne klocki w postaci aplikacji. Na początku tego artykułu porównałem Facebook do systemu operacyjnego bez antywirusa. Jest to analogiczne z dwóch przyczyn. Po pierwsze Twój program antywirusowy zainstalowany w systemie w 99% nie wykrywa złośliwości kodu aplikacji facebook’owych. Dzieje się tak dlatego, że te aplikacje nie mają zamiaru wykraść danych z Twojego komputera, ani uszkodzić Twojej przeglądarki internetowej, a tego przede wszystkim strzegą antywirusy. Po drugie, aplikacje działają w Facebook’u tak jakby w wyższej warstwie dzięki FBML i FBJS, udostępnionemu API do programowania tych aplikacji. Skryptom tym zależy wyłącznie na pełnym dostępie do Twojego profilu, a w szczególności chcą pobierać dane o Twoich zdjęciach, albumach, ścianie informacyjnej, znajomych, aktualnym statusie. To nie wszystko. Chcą mieć możliwość publikowania postów na Twojej tablicy, wysyłać wiadomości do znajomych, dodawać Cię do grup itd. To zespół Facebook’a powinien kontrolować zamiary tych aplikacji, czyli być tym antywirusem. Rzeczywistość jednak pokazuje, że kontrola tych aplikacji przez Facebook’a jest bardzo pobieżna. Działa już prawie pół miliona różnych aplikacji i codziennie pojawiają się nowe. Niestarannie sprawdzone aplikacje lub w ogóle nie zweryfikowane otwierają bramę do ataku. Nie zostaną oszczędzone Twoje prywatne galerie zdjęć udostępnione tylko znajomym, lista Twoich znajomych, miejsce zamieszkania, czy facebookow’y mechanizm wymiany wiadomości.

Ciekawość jest silniejsza

Starannie skonfigurujesz politykę prywatności w swoim profilu, zaznaczysz co ludzie i znajomi mogą, a czego nie mogą na Twoim internetowym kawałku podłogi, mam na myśli Twój profil. Z przykrością muszę stwierdzić, że statystycznie rzecz ujmując, z prawdopodobieństwem większym niż połowa złapiesz się w pułapkę, bo kto oprze się takiemu wyzwaniu jak filmik pod tytułem “Nie wytrzymasz do 25 sekundy!” i nie kliknie w link, aby mu sprostać. Po uruchomieniu aplikacja najprawdopodobniej roześle do wszystkich Twoich znajomych wiadomość o Twoim wspaniałym odkryciu, opublikuje na Twojej tablicy informację jak bardzo wstrząsnął Tobą ten 25 sekundowy filmik, być może zapisze Twój e-mail w swojej bazie na przyszłość, a przy okazji wyświetli Ci dużą reklamę środka na potencję. Reakcją łańcuchową skrypt zdobędzie popularność bez Twojego większego wkładu własnego. Hackerzy już dawno zauważyli, że internautom znudziło się rozsyłanie spamerskich łańcuszków na GG, a Facebook ze swoją potężną bazą aktywnych użytkowników stał się idealnym podłożem do rozwoju tego typu bakterii. Czy zwrócisz choć chwilę uwagi na to, na co zezwalasz? To nie kolejny regulamin, na który zgadzasz się zakładając sobie e-mail na Onecie. Tu powierzasz swoje dane np. mojej skromnej osobie. Czy aż tak mi ufasz?

Programiści pracujący nad bezpieczeństwem przeglądarek internetowych dwoją się i troją, aby zapewnić najwyższy poziom bezpieczeństwa w Internecie nawet na tych stronach ze złośliwymi skryptami. Internauci jednak pokazują, że to jednak za mało. Stopień determinacji w uzyskaniu dostępu do nadzwyczajnego znaleziska jak na przykład właśnie taki 25 sekundowy filmik sięga daleko. Ostatnio na ścianie aktualności w Facebook spotkałem się z linkami “Lubię to” do aplikacji, która kazała wykonywać dziwne zabiegi z przeglądarką. Już samo uruchomienie aplikacji otwierało hackerom drogę do różnych danych, ale to jeszcze za mało. Użytkownik przed obejrzeniem filmu musiał skopiować i wkleić do paska adresu odpowiednio spreparowany link, wyraźnie zaznaczony na stronie aplikacji. Jak łatwo się domyśleć zawierał on złośliwy kod JavaScript, który był już zagrożeniem nie tylko dla naszego profilu na Facebook, ale także dla naszej przeglądarki i danych zgromadzonych na naszym komputerze. Spotkałem również strony aplikacji, które zawierały krótki kurs kiedy nacisnąć CTRL+C, kiedy CTRL+V i ENTER, aby wyświetlić upragniony film, co także wstrzykiwało do przeglądarki złośliwy JavaScript. Hackerzy stosują też różnego typu ankiety zanim i tak nie udostępnią Wam tego na co czekacie. To niesamowite jak trudno się zorientować, że w coś nas tu wrabiają, ale o tym poniżej.

Bezmyślność nie ma granic

“Only two things are infinite, the universe and human stupidity, and I’m not sure about the former.” Albert Einstein.

Sam korzystam z Facebook’a i wiem jak potężny potencjał ma ten serwis. Być może wykorzystam go kiedyś do własnych celów zarobkowych, napiszę wspaniałą aplikację i sprzedam ją za miliony. A może reklama w tym serwisie przyniesie mi kokosy. Ale nie do tego zmierzam. Obserwuję zachowanie internautów, w tym w większości moim znajomych. Zatrważająca większość z nich, studentów, osób wykształconych, bez względu na wyznanie i średnią ocen na studiach, z wielkim zapałem publikowała na NK magiczne wpisy mające usunąć Śledzika, więc i tutaj na Facebook’u nie spodziewałem się po nich zbytniej dojrzałości w zabawie z tym portalem. Ostatnio na Wykop.pl znalazłem coś takiego: hasło nie wyświetla się na facebooku :). Zrobiłem podobny test w swoim profilu i nie musiałem długo czekać na podsyłane mi w komentarzach hasła mające magicznie zmienić się w gwiazdki. Znajomi szybko je usuwali, a potem zmieniali swoje hasło nie wierząc w swoją głupotę. Wszystkie hasła oczywiście pomimo ich usunięcia z Facebook’a zostawały w powiadomieniach mail wysyłanych do mnie na skrzynkę. Aż kusi, żeby sprawdzić czy znajomy nie był na tyle leniwy, żeby ustawić identyczne hasło do innych usług  w Internecie.

Facebook niebezpieczny nie tylko dla początkujących

Jeśli jeszcze czytasz ten artykuł to znaczy, że jeszcze się na mnie nie obraziłeś/aś, albo czekasz na przepraszam. Masz rację, nie wszyscy są lekkomyślni i nie mały odsetek z nas zastanawia się co robi, w tym zapewne Ty. Jednak powiem Ci z autopsji, że nawet wzmożona czujność może nie wystarczyć. Przed Tobą atak typu “clickjacking”. W skrócie polega on na wykorzystaniu luk w przeglądarkach internetowych i witrynach, polegający stworzeniu niewidocznego lub widocznego bardzo krótko odnośnika i podsuwaniu go użytkownikowi zamiast prawidłowego łącza. Kliknięcie go może zostać wykorzystane na przykład do rozpropagowania nielegalnych treści na Facebook’u bez Twojej zgody, pod Twoim nazwiskiem. Atak ma podobny cel do ataku typu Cross-site request forgery. Aby zrozumieć jak dokładnie może działać taki atak obejrzyj poniższy film.

Oprócz tego, że możesz być narażony na atak typu “ClickJacking”, dobrze jest zdawać sobie sprawę z tego, że będąc zalogowanym na Facebook’u jesteś śledzony nie tylko przez Facebook’a. Śledzi Cię ponad 100 tysięcy stron internetowych, które korzystają z wtyczek udostępnianych przez Facebook’a. Witryny takie mają dostęp do wszystkich informacji, które udostępniłeś w profilu z zerowym poziomem prywatności (dla wszystkich). Pozostaje nam się tylko domyślać ile z nich służy przestępcom do agregowania ludzi zainteresowanych daną dziedziną, którzy odwiedzają niepozorną witrynę np. z informacjami sportowymi. Wtyczki społecznościowe działające w setkach tysięcy stron internetowych szukają na naszym dysku pliku Cookie z identyfikatorem sesji utrzymywanej z Facebook’iem. Samo zamknięcie okna z Facebook’iem więc nie wystarcza, a najpewniejszą metodą jest wylogowanie się z tego serwisu na czas surfowania po innych zakamarkach Internetu.

Człowiek najsłabszym ogniwem bezpieczeństwa SI

Zdaję sobie sprawę, że nie wyczerpałem na pewno tematu bezpieczeństwa związanego z aplikacjami i pluginami Facebook’a. Człowiek zawsze był i będzie najsłabszym ogniwem w mechanizmie bezpieczeństwa systemu informatycznego i tego problemu nie wyeliminują całkowicie nawet największe starania programistów. Zacznij więc od siebie, a unikniesz przykrych niespodzianek.

Przy okazji chciałbym też wspomnieć o OSWD. Projekt OSWD (Open Source Web Design) skupia w jednym miejscu tysiące szablonów stron internetowych, opatrzonych licencjami zaliczanymi do otwartych. Prawdziwa kopalnia szat graficznych do stron, bez większych restrykcji do ich użycia. Polecam.

I jeszcze jedno… Lekką stronę internetową kwiatek.org hostuje OVH na darmowym hostingu Start1M (1MB przestrzeni, nielimitowany transfer) dołączanym do każdej utrzymywanej na serwerach OVH domeny. Mnie coś takiego w zupełności wystarcza, dlatego postanowiłem ją tam osadzić. W szablon wplotłem odrobinę PHP i wraz z tym chciałem uruchomić na tym serwerze Mod_Rewrite. Otóż uprzedzam, abyście nie marnowali czasu na poszukiwania odpowiedzi, czy pisanie maili do supportu OVH. Start1M w OVH nie zezwala na włączanie Mod_Rewrite i nie zgłasza błędów przy próbie uruchomienia go.