OpenBSD 4.2
Zgodnie z tradycją 1 listopada ukazała się kolejna wersja OpenBSD.
Zgodnie z tradycją 1 listopada ukazała się kolejna wersja OpenBSD.
Jestem pod wrażeniem dokumentacji do sqlite3 w Python 2.5. Chodzi mi o wskazanie tego, by nie konstruować zapytań SQL na zasadzie sklejania stringów, lecz przy pomocy mechanizmu bind variables. Dlaczego? Dlatego, że jest to jedna z prostszych i przy okazji skuteczniejszych metod przeciwdziałania sql-injection (dowiedz się więcej na temat sql injection : Lekcja 7: (blind) SQL injection). Przy pomocy Pythona i sqlite3 łatwo to zresztą sprawdzić.
Jeśli ktoś tworzy aplikacje internetowe w technologii ASP.NET, powinien zapoznać się z narzędziem XSSDetect.
Rozmowa z Tomkiem skłoniła mnie do ponownego napisania kilku słów na temat Zarządzania Tożsamością. Tym razem z trochę innej perspektywy. Po to, by ktoś sobie nie pomyślał, że system zarządzania tożsamością rozwiązuje wszystkie problemy...
Wkrótce w życie wchodzi ustawa “zakazująca” pracy przez 12 dni w roku. Nie będę się rozpisywał – takie sztuczne regulowanie jest bez sensu. Ludzie, w tym ja, będą chcieli robić zakupy w te dni. Inni będą chcieli zarabiać. A ustawę tę da się obejść. Zresztą od walki o prawa pracowników jest Kodeks Pracy i na prawdę nie jestem w stanie zaakceptować tłumaczeń, że tego typu akty prawne służą do walki z wykorzystywaniem pracowników przez złych pracodawców... Służą tylko celom propagandowym.
Dzisiaj byłem na nietypowej imprezie urodzinowej. Zamiast nudnej nasiadówy quady i paintball. Bardzo fajna impreza. Z paintballa wyniosłem dwa siniaki, jednego guza i sporo niebieskiej farby. Nawet mój samochód zaliczył kulkę... Było zacnie :)
Dwie osoby wyrzucono wczoraj z pracy “w związku z przykrością, jaka spotkała prymasa Józefa Glempa” na lotnisku w Szczecinie. Sęk w tym, że zwolniony kontroler przeszukał hierarchę zgodnie z procedurami, a sam przeszukany nie ma do nikogo pretensji. Prymas nie ma pretensji o przeszukanie.
Skoro są procedury takie, by kontrolować pasażerów samolotów, to jak można karać ludzi, którzy je realizują, postępują zgodnie z nimi? Zwykły człowiek na lotnisku ma na przykład takie przygody, a wystarczy być “osobą zaufania publicznego”, by być traktowanym lepiej. I to już nawet nie chodzi o ten konkretny przypadek, ale jeśli takich wyjątków będzie więcej, to okaże się, iż wystarczy się przebrać za osobę zaufania publicznego, by wnieść na pokład cokolwiek. Nie wystarczy mieć procedury. Trzeba je jeszcze stosować...
...a jest to kontynuacja wątku o nadużywaniu funkcji skrótu. Prawdopodobnie opisywana przeze mnie technika jest specyficzną implementacją zasady, iż hasła użytkownika nie powinny być przechowywane w formie jawnej.
Zauważyłem, że w znacznej części aplikacji webowych przy uwierzytelnianiu użytkownika zamiast hasła przekazywany do serwera jest rezultat funkcji hash(haslo+login) , gdzie hash to albo md5 albo sha1. Pytanie – po co?
Tak, zdecydowanie. Mój kolejny laptop będzie z firmy innej niż Dell. Niniejszym zawiadamiam, że bateria, o której już kiedyś pisałem, wyzionęła ducha... A najbardziej wkurza mnie to, że dalej się normalnie ładuje i rozładowuje, ale system (sam laptop, BIOS) twierdzi, że jej nie ma.