Archive for lipiec, 2007

« Previous Entries
Next Entries »

Miałem włam na FTP’a

Published by
Michał Osmenda
2007-07-26 in Bezpieczeństwo and Blog. Comment Tagi: , , ,

Dziś dostałem emaila od firmy, której przedstawiać Wam nie muszę - Servage, z informacją, która potwierdziła moje kilkudniowe obawy.

Unfortunatly we had to change your FTP Password to increase the security of your account. Please dont change it back to the old one as we have got some information that your credentials maybe has been stolen by someone.

Pisownia oryginalna, jak na firmę hostingową posiadającą klientów na całym świecie, mogliby trochę poprawić swój angielski. Ale ja nie o tym chciałem.

Po kilku poprzednich postach dostawałem informację od czytelników, że jeśli widzą post na stronie głównej, to już nic się nie pokazuje na stronie posta. Na początku sądziłem, że jest to kod PayPal’a (zresztą był z nim problem, bo był ucięty i niektóre skanery antywirusowe ucięty kod wskazywały jako wirus), PayPal został zatem już tylko na stronie Autor. Jednak dwa dni temu przy okazji zmian w header.php w szablonie przez przypadek podejrzałem swój plik index.php z katalogu głównego Wordpress’a. Znalazłem tam dodatkowy kod, który ani nie pochodził od WP ani nie pochodził ode mnie. Dodatkowo, wszystkie pliki w katalogu głównym były zamienione na poprzednią wersję WP.

Pobladłem, zrobiło mi się gorąco i musiałem się napić. Wstępna analiza, po otrzeźwieniu, nie wykazała dodatkowych zniszczeń, baza nie jest dostępna z zewnątrz, więc nawet nie musiałem zmieniać hasła do MySQL’a. W grę wchodziły dwa wektory ataku: POST/GET poprzez jakiś moduł WP (których mam kilka) albo poprzez samo WP, i ftp. Po przywróceniu oryginalnych plików i upewnieniu się, że wszystko inne jest na miejscu, postanowiłem zaczekać na rozwój wydarzeń. Wykonałem (kolejny) backup, tak na wszelki wypadek.

Dziś, kiedy dostałem tego emaila, upewniłem się w przekonaniu, że to jednak znów mój ukochany provider. Już wysłałem do nich emaila z zapytaniem jak doszło do włamu. Pamiętacie mój post Servage sucks, Dreamhost leaks password? Być może jesteśmy świadkami nowego wydarzenia: Dreamhost leaks password, Servage does it too?

Witamy na iStockPhoto.com

Published by
Michał Osmenda
2007-07-25 in Prywatne. Comments Tagi: ,

Zostałem dopuszczony do publikowania swoich prac fotograficznych na iStockPhoto.com. Kto ma tam konto, albo kiedyś próbował się tam dostać, wie co to znaczy.

Trzeba przejść test znajomości poprawnej fotografii, zasad publikacji i prawa prasowego. Po drugie, trzeba wysłać trzy próbki swoich prac. Za pierwszych razem jedno z moich zdjęć zostało odrzucone ze względu na … zbyt słabą jakość.

Oto moje zakwalifikowane zdjęcia:

bottles

Westminster Clock Tower

St Peters square

A oto odrzucone:

a man and the sea

Różnica w jakości polega na tym, że trzy pierwsze zostały zrobione na Nikon D80, odrzucone na Nikon D50. Przy zachowywaniu zawsze wykorzystywałem najwyższą jakość JPEG (12 w CS2), więc moim jedynym wytłumaczeniem są piksele (D80 ma 10.8 MP, D50 6.3 MP, więcej tutaj). Zresztą, muszę przyznać rację recenzentom - ostatnie zdjęcie nie jest najlepsze w powiększeniu.

Dobrze czasami robić coś poza IT i być zauważonym :)

Bye, bye IE6

Published by
Michał Osmenda
2007-07-24 in Internet Explorer. Comments Tagi:

Zajęło mi to 276 dni, licząc od dnia premiery IE7, nim w pełni porzuciłem IE6 i przesiadłem się na jego następcę.

Przez cały ten czas korzystałem z dwóch przeglądarek na dwóch systemach - IE6 na Windows Server 2003 Std (moja stacja robocza) i IE7 na Windows Vista (wcześniej Windows XP SP2) i kiedy któraś ze stron, z których korzystałem nie działała z dowolnego powodu na IE7, korzystałem z IE6.

Pomyślicie pewnie, że nie robię dobrej reklamy IE7 i zastanawiacie się czemu aż tak długo zwlekałem. Warunków na przejście było dwa Były dwa warunki na przejście: wszystkie, ale to wszystkie narzędzia oparte na www musiały być z nową przeglądarką kompatybilne - to najważniejsze. A po drugie, braki w IE6 (w porównaniu z nową wersją) musiały mi tak zacząć doskwierać bym zrobił update.

Kompatybilność jest najważniejsza. Jeśli serwisy, z których korzystałem, wykorzystywały kontrolki ActiveX nie będące w zgodzie z IE7, to po prostu się nie przesiadałem. Chyba normalnym jest, że jeśli z nową wersją nie można pracować, to się jej nie instaluje.
W tym momencie mam przed oczami dowolną firmę, w której działa wewnętrzny system np. księgowy oparty o web’a, korzystający z ActiveX i JavaScript. Załóżmy, że dwa lata temu szef tej fimy podpisał kontrakt z firmą developerską na dostarczenie tego cudownego, wtedy, rozwiązania. Po dwóch latach wchodzi IE7. Jest szybciej jest bezpieczniej i jest drożej. Firma zapomniała uwzględnić w kontrakcie na system księgowy zapewnienia uaktualnień na wypadek nowej wersji przeglądarki.
Dla użytkownika końcowego zainstalowanie najnowszej przeglądarki to chyba przede wszystkim zabieg kosmetyczny - podoba się, czy się nie podoba, stracone 15 minut na nową instalację. Dla firm to poważny problem - na jednej szali stawiają bezpieczeństwo nowego produktu na drugiej kompatybilność ich systemów. Jeśli coś nie działa albo nie działa jak należy, po prostu nie instalują najnowszej wersji. To problem nie tylko przeglądarki, ale systemów operacyjnych, programów antywirusowych, pakietów biurowych …

Dziś nastał więc ten dzień, gdy wszystko z czego korzystam stało się IE7 ready (w moim skromnym mniemaniu), a brak tab’ów był już na tyle dokuczliwy, że postanowiłem zainstalować najnowszą wersję.

This entry has been proudly written in IE7.

NASK: my wciąż działamy w średniowieczu

Published by
Michał Osmenda
2007-07-23 in Zarządzanie IT and eGospodarka. Comments Tagi:

Znacie taką instytucję jak NASK? Jest to jednostka naukowo-badawcza, ale z jakiegoś powodu zajmuję się rejestracją i utrzymywaniem domen w Polsce.

Na stronie Polskiej Wikipedii można wyczytać:

NASK powstał wiosną 1991 r. przy Uniwersytecie Warszawskim jako zespół koordynacyjny ds. rozwoju akademickich sieci komputerowych. Zespół ten odegrał istotną rolę w podłączeniu Polski do internetu: nawiązanie po raz pierwszy łączności przy użyciu protokołu IP pomiędzy Instytutem Fizyki Uniwersytetu Warszawskiego a Centrum Komputerowym Uniwersytetu w Kopenhadze miało miejsce 17 sierpnia 1991 r. W trakcie swojego rozwoju rozrósł się jednak do dużej firmy teleinformatycznej. Obecnie NASK jest członkiem konsorcjum PIONIER wnosząc istotny wkład merytoryczny w jego prace.

W drugiej połowie lat 90. NASK, pozostając wciąż formalnie państwową jednostką badawczo-rozwojową, uzyskał formalne prawo do prowadzenia działalności czysto komercyjnej, zachowując jednocześnie prawo do obsługi centralnego rejestru domen w domenie .pl

Stworzyli podstawy Internetu w Polsce, wyszło im to całkiem dobrze, ale później zaczęli robić coś o czym nie mieli pojęcia: zaczęli zajmować się biznesem.

Jak wg. Was można skomplikować procedurę zmiany właściciela domeny? Sądzicie, że okres oczekiwania potrzebny na weryfikację danych jest dokuczliwy? A może np. przesyłanie faksem ostemplowanych dokumentów? A może jeszcze przestałanie, także faksem, dokumentów rejestrowych firm - obu firm: oddającego i przyjmującego domenę? Dla pocieszenia te same dokumenty można wysłać tradycyjną pocztą, gdyby się okazało, że faks to zbyt nowe i niedostępne urządzenie.

Tak właśnie działa NASK. Poza wyszukiwarką domen i whois ich serwis wygląda bardzo … akademicko. GoDaddy.com potrafi załatwić sprawę zmiany abonenta w ciągu 24 godzin. NASK rezerwuje sobie na to … miesiąc. Na szczęście szefostwo NASK miało trochę oleju w głowie i zezwoliło innym firmom na bycie rejestratorami domen krajowych.

Clinton mówił kiedyś “the economy, stupid” i wygrał wybory. Ja mówię “przedsiębiorczość, głupcze”. Mam nadzieję, że wyborów nie wygram, ale może kiedyś będzie łatwiej zmienić właściciela domeny.

Poszukuję programisty PHP

Published by
Michał Osmenda
2007-07-23 in Prywatne. Comments Tagi: , , , , , , ,

Długo się upierałem, że nie potrzebuję pomocy przy kilku prywatnych projektach, w których uczestniczę. Ale już sam fakt, że piszę tego posta o 02:03 w niedzielę świadczy, że pomoc jest mi potrzebna, jeśli nie niezbędna. Jeśli oddałbym komuś developerkę, mógłbym się skupić na strategii projektów, czyli na tym, co powinienem był robić od początku.

Szukam dobrego programisty PHP, z wyobraźnią i doświadczeniem pracy w średniej grupie. Wymagam przede wszystkim umiejętności przewidywania, odpowiedzialności za decyzje i umiejętności pisania nie tyle wydajnego co bezpiecznego kodu. Znajomość SQL, CSS’a i JavaScript to podstawa. Znajomość XML/XSLT to plus.

Projekty, do których potrzebuję wsparcia to projekty oparte o Drupala, MediaWiki, GoogleAPI, vBulletin, WordPress, inne programy dostępne w modelu open source i dwa autorskie. Głównie chodzi o pisanie modułów, których zadaniem jest współpraca między tymi produktami a także ich wykorzystywanie przy budowie nowych. Część stworzonych modułów i rozwiązań będzie udostępniana użytkownikom Internetu za zasadach licencji GNU GPL. Wieczna chwała zapewniona!

Wszystkie projekty będą wykorzystywane przez społeczność polską w Irlandii nieodpłatnie i mają za zadnie pomoc Polakom na Wyspie i w kraju w celu znalezienia i wymiany potrzebnych informacji czy utrzymywania kontaktów z innymi przedstawicielami Polonii.

To nie jest stałe zajęcie, ale stała współpraca. Nie wymagam, by kandydat mieszkał w Irlandii, choć byłoby to pomocne.

Jeśli więc drogi czytelniku masz ochotę na kilka wyzwań, skontaktuj się ze mną poprzez formularz kontaktowy, opisując w jakich projektach brałeś udział.

P.S. Microsoft European Operations Centre, Microsoft European Product Development Centre, Microsoft European Development Centre, Microsoft Ireland czy Microsoft Polska sp. z o.o. nie mają żadnego związku z projektami, w których prywatnie uczestniczę.

« Previous Entries
Next Entries »

Kalendarz

lipiec 2007
P W Ś C P S N
« czerwca   sierpnia »
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

Disclaimer

All postings are provided "AS IS" with no warranties, and confer no rights. This weblog does not represent the thoughts, intentions, plans or strategies of Microsoft or any other company or organization. Because a weblog is intended to provide a semi-permanent point-in-time snapshot, you should not consider out of date posts to reflect current thoughts and opinions.
All software used by author of this blog come from legal sources.

Add to Technorati Favorites

RSS RSS Feed