Coraz cieplej jest... W ramach sprawdzenia swojej formy po zimowym leniuchowaniu (totalnym, w tym przybraniu na wadze około 10 kilogramów) poszedłem sobie pobiegać. I muszę przyznać, że jestem z siebie zadowolony. Jeśli po takim totalnym lenistwie jestem w stanie przebiec 2 kilometry w czasie poniżej 10 minut tempem, które określę jako spacerowe i to bez zadyszki, to chyba nie jest ze mną tak źle :) W sobotę odczyściłem rolki, muszę tylko teraz nabyć nowe kółeczka. Planuję też nabyć kije do nordic walking, przy czym oczywiście nie zamierzam chodzić, lecz jeździć z nimi na rolkach. Mam ambicję przekroczyć w ten sposób 40 kilometrów na godzinę na rolkach. Oczywiście rower też oddaję najpierw do myjni, a później do serwisu...
Dzisiaj napotkałem groźnie brzmiące informacje: (...) Błąd w Viście dotyczy składnika, który niewłaściwie identyfikuje prawa użytkownika. W wyniku tego atakujący może skraść z komputera dane osobiste. Okazuje się, że luka dotyczy nie tylko Visty, lecz również Windows XP, 2000 i Server 2003. (...)
No straszne... Tylko teraz tradycyjnie należy udać się do źródła, a tam: Any unprivileged user with LIST access to parent directory can monitor any files in child directories regardless of files permissions. Because by default Windows updates access time of any accessed files on NTFS volumes, it makes it possible for user to gather information about NTFS-protected files, their names and time of access to the files (reading, writing, creation, deletion, renaming, etc). Filenames may contain sensitive information or leak information about user's behavior (e.g. cookies files).
Jeśli do tego doda się dokumentację do funkcji ReadDirectoryChangesW, a w szczególności informację o FILENOTIFYINFORMATION, to chyba oczywiste się staje, że problem rzeczywiście jest interesujący , ale stwierdzenie o tym, że atakujący może skraść z komputera dane osobiste jest, wcale nie tak trochę, naciągane...
Przez naszego premiera na przykładzie doliny Rospudy. Co robić, gdy trzeba podjąć decyzję, a nie można ewentualną winą obarczyć układu lub określonych środowisk? Premier Jarosław Kaczyński ogłosił na konferencji prasowej, że jedynym wyjściem w kwestii obwodnicy przechodzącej przez teren rozlewiska Rospudy jest referendum w województwie podlaskim – informuje TVN 24. (...) Premier zaznaczył też, iż projekt obwodnicy nie jest autorstwa jego rządu – a zamknięcie przejścia granicznego z Litwą nie wchodzi w grę.
- Dlatego też jedynym prawnym rozwiązaniem jest rozpisanie referendum w województwie podlaskim i zapytanie mieszkańców regionu o zdanie – powiedział premier. (...)
No cóż, widać, że premier miał dylemat. Bo w sumie to i obwodnica dobra rzecz, a i te ptaszki, drzewka i bajorka takie urocze... No to powiedzmy, że pomysł nie był nasz, ale my go nie ukręcimy, tylko zrobimy referendum. Niech ONI (w razie potrzeby zmieni się na układ albo określone środowiska) zdecydują i za łby wezmą, a ja rząd pozostanie niewinny jak słowiańska dziewica.
Temat jest prosty(?) Vista, UAC i opinia o nim przedstawiona przez Joannę Rutkowską. A teraz do rzeczy. Najpierw oczywiście mrożący krew w żyłach artykuł o sporze Microsoftu i Joanny Rutkowskiej. Swoją drogą zjeżyło mnie tłumaczenie pojęcia integrity level jako poziom integracji. Temat żyje swoim życiem, pisze o nim nawet Bruce Schneier w swoim blogu. Ale można przeczytać również u źródła, czyli na Invisible Things, a konkretnie tu (Running Vista Every Day!), tu (Vista Security Model – A Big Joke?) itu (Confiusion About The “Joke Post”). A na koniec warto przeczytać to, co napisał Mark Russinovich. ...i w sumie wszystko OK, tylko gdzie ten wielki spór? Gdzie ta ziejąca ogniem dziura w Windows Vista? Teksty Joanny Rutkowskiej i Marka Russinovicha (mimo różnicy zdań, a może właśnie dlatego) są bardzo interesujące i inspirujące. Otoczka wokół jest trochę żałosna... A ja i tak swoje wiem. Pracuję jako “zwykły użytkownik” od lat wielu (tak, dało się na Windows 2000, dało się na Windows XP, tak samo będzie w Vista). Ale i tak wiem, że przed uruchomieniem złego kodu nie uchroni mnie nic, poza mną samym. I to nie tylko w Windows. I ponownie przypomnę o takim pomyśle (Core Forece).
Od pewnego czasu irytowało mnie wyraźne “przymieranie” połączeń TCP po WiFi, szczególnie, gdy siedziałem sobie wygodnie na łóżku z laptopem na kolanach. Po długich zmaganiach chyba doszedłem do przyczyn mojej irytacji. Mam wrażenie, że zachowanie takie spowodowane jest ustawieniami oszczędzania energii w trakcie pracy na baterii. W chwili obecnej zamiast wartości domyślnych poprzestawiałem suwaki w taki sposób, że siedząc sobie na łóżku sesja SSH do obszczymurka jest responsywna i się nie wiesza... Ech, ta nowoczesna technologia. A podejrzewałem, że pf ma problemy ze scrub albo modulate state.
...w którym pobożni kanibale jedzą rybaków. A co robią pobożni rybacy? Jedzą kosmitów! Rybacy z rosyjskiego portu Taganrog wyłowili z morza ufoludka. Nie ma jednak szans na przeprowadzenie przełomowych badań, bo przestraszeni odkryciem rybacy uznali, że najbezpieczniej będzie kosmitę zjeść – informuje “Fakt”.
...jakiś czas zrobiłem sobie IPSec w trybie tunelowym między moim laptopem i AP. Wszystko w tym celu, by zabezpieczyć się przed ewentualnym podsłuchem ruchu WiFi. Niestety, jest jeden, mały problem: You can configure Windows XP as the endpoint of a tunnel mode IPSec connection. However, we do not recommend this. If you use the IPSec connection in tunnel mode, the Windows XP SP2 Windows Firewall feature does not filter any packets that come out of the IPSec tunnel. However, packets that come from other directions are filtered by the Windows Firewall feature.
Wcześniej pisałem, że w trakcie fazy analizy wymagań dla aplikacji webowej i tworzenia jej projektu, warto zdefiniować dokładnie jakie dane będą do niej wchodziły i określić na podstawie tych informacji reguły ich walidacji. Sama walidacja to nie wszystko, bo może okazać się, że w określone pole powinno się dać wpisać wszystko... I wówczas pojawia się kolejne zagrożenie, czyli interpreter injection.