Kreatywne dziennikarstwo (czyli Dziennik.pl i zmyślony wywiad?)

2 czerwca 2009, by: kozik

Dziennik opublikował 1 czerwca 2009 roku rzekomy wywiad z Jackiem Chwedorukiem (dyrektor zarządzający banku inwestycyjnego Rotschild Polska), dotyczący Janusza Palikota… który wydaje się być wywiadem wyssanym z palca.

Przeczytaj resztę wpisu o "Kreatywne dziennikarstwo (czyli Dziennik.pl i zmyślony wywiad?)" »

Wysłano w Blog - Kozik | Tagi: , | Brak komentarzy »

Które forum? Bierz MyBB!

21 kwietnia 2009, by: kozik

Ja to w sumie momentami ostro jechałem po MyBB, na którym siedzi forum PC Format i NEXT. Przede wszystkim narzekałem na obsługę zgłaszanych błędów, typowe pomyłki w podejściu programisty (np. czarna lista zamiast białej), problemy wydajnościowe (głównie z bazą danych), utrudnienia w aktualizacji pomiędzy wersjami… więc ktoś mógłby pomyśleć, że z MyBB nie jestem zadowolony. Otóż nie :) .

Przeczytaj resztę wpisu o "Które forum? Bierz MyBB!" »

Wysłano w Blog - Web | Tagi: , , , | 2 komentarzy »

Jadalny JavaScript – jQuery

3 kwietnia 2009, by: kozik

Nigdy nie lubiłem programować w JavaScripcie… Ciężkie debugowanie (teraz z Firefoksem jest łatwiej :) ), brak jednoznacznego standardu i dokumentacji (nie mówiąc o jakimś manualu), a mieszanie HTML+CSS+JS powodowało jeden wielki bajzel. A bajzlem się ciężko zarządza i trudno go utrzymuje – nie ma w tym przyjemności. Stąd od JS stroniłem. Trochę przyjemniej było z Dojo, ale do rozwijania własnych elementów dynamicznego interfejsu to się mniej nadawało. Od pewnego czasu używam jQuery i to jest właśnie to co tygrysy (koziołki ;) ) lubią najbardziej!

Przeczytaj resztę wpisu o "Jadalny JavaScript – jQuery" »

Wysłano w Blog - Web | Tagi: , | 1 komentarz »

Uczciwość marketingu i reklamy

2 marca 2009, by: kozik

Całkiem mocny tekst na Wyborczej poszedł – Fałszywe rekomendacje zalewają sieć. Pomijając odniesienia do forum dyskusyjnego PC Format, to jest on bardzo na czasie. Całkiem niedawno męczyłem się (i pewnie będę się dalej męczył) z plagą wpisów w serwisie i na forum NEXTA.

Przeczytaj resztę wpisu o "Uczciwość marketingu i reklamy" »

Wysłano w Blog - Web | Tagi: , , , , | Brak komentarzy »

Mobile

26 stycznia 2009, by: kozik

Kilka dni temu ruszyły przygotowywane przeze mnie serwisy mobilne PC Format i NEXT. W sumie to wśród popularnych polskich stron o technologiach (i stron magazynów komputerowych) to chyba jesteśmy pierwsi oferujący wersję on-line na komórkę :) .

Przeczytaj resztę wpisu o "Mobile" »

Wysłano w Blog - Web | Tagi: , , , | Brak komentarzy »

<reklama>Drugie miejsce w Google</reklama>

17 grudnia 2008, by: kozik

<reklama>Zarówno na Krzysztofa Kozłowskiego jak i na Kozika mam drugie miejsce w wynikach Google – zaraz po Wikipedii (z czym trudno byłoby walczyć…). Wyszło bez żadnego pozycjonowania – po prostu blog, czasem jakaś aktywność w internecie no i przykładanie się do jakości zawartości (np. banały takie jak TITLE czy ALT – ale o nich wszyscy zapominają… :) ).

Fajnie :) </reklama>

Wysłano w Blog - Kozik | Tagi: , | 1 komentarz »

XSS flaw in MyBB still exists

28 października 2008, by: kozik

MyBB 1.4.3 did not fix XSS flaw mentioned yesterday. MyBB’s patch is a simple black list – it replaces ‘ with \’… which does not protect when you use attack like this:

http://www.victim.example/mybb/moderation.php?action=removesubscriptions

&ajax=1&url=\’%2Balert(‘XSS!’)//

Better way to solve this is to use addslashes() (see my previous post) and the best way – use white list.

Update (2.12.2008): They fixed it properly (with addslashes()) in MyBB 1.4.4.

Wysłano w Blog - Web | Tagi: , , , | Brak komentarzy »

Przykład niebezpiecznego debilizmu (ING BSK)

28 października 2008, by: kozik

W jaki sposób zmusić użytkownika banku do zapisywania hasła dostępu do panelu on-line na karteczce? Hasła, które powinno być tylko w jego pamięci… a jeśli zapisane, to w jakimś bezpiecznym, szyfrowanym kontenerze? Jak zmusić go do umieszczenia tego hasła literka po literce na KARTCE? Genialny sposób znalazł ING BSK i Pekao (i być może i inne banki).

Przeczytaj resztę wpisu o "Przykład niebezpiecznego debilizmu (ING BSK)" »

Wysłano w Blog - Kozik | Tagi: , , | 10 komentarzy »

Dziura XSS w MyBB (0-day) /FIX: MyBB 1.4.3/

27 października 2008, by: kozik

Na BugTraqu znaleźć można proof of concept dla niezałatanych luk do MyBB 1.4 (w tym najnowszej wersji 1.4.2). Pierwszy błąd polega na braku walidacji parametru url przy przekierowywaniu po wykonanej czynności moderatorskiej. W efekcie jest luka Cross-site scripting, której wykorzystanie skierowane może być do użytkowników z uprawnieniami moderatora lub wyżej. Oprócz tego jeszcze dwie (mniej istotne) słabości skryptu. W samą historię luki (patrz link), biorąc pod uwagę niefrasobliwość deweloperów MyBB w podejściu do błędów, jestem w stanie uwierzyć… Prosta łata, póki producent nie wypuści poprawnego patcha:

File: functions.php, function redirect()

FIND:
function redirect($url, $message="", $title="")
{
global $header, $footer, $mybb, $theme, $headerinclude, $templates, $lang, $plugins;

$redirect_args = array('url' => &$url, 'message' => &$message, 'title' => &$title);

$plugins->run_hooks_by_ref("redirect", $redirect_args);

if($mybb->input['ajax'])

REPLACE WITH:
function redirect($url, $message="", $title="")
{
global $header, $footer, $mybb, $theme, $headerinclude, $templates, $lang, $plugins;

$redirect_args = array('url' => &$url, 'message' => &$message, 'title' => &$title);

$plugins->run_hooks_by_ref("redirect", $redirect_args);

$url = addslashes($url) ;
if($mybb->input['ajax'])


Update: MyBB 1.4.3 łata dziurę, aczkolwiek (podobnie do mojej zmiany powyżej) tylko na zasadzie czarnej listy…

Wysłano w Blog - Web | Tagi: , , , | Brak komentarzy »

MyBB jako open-source!

12 października 2008, by: kozik

Wspaniała nowina – MyBB dołączyło do grona Wolnego Oprogramowania – z licencją GPL v3. Od półtora roku używam MyBB jako mechanizmu dla forum dyskusyjnego PC Format (i później również i NEXT). Wprowadziłem do niego mnóstwo poprawek na własny użytek jak i znalazłem co nieco błędów (zgłoszonych upstream). Obecnie cała ta włożona praca będzie miała sens – licencja zapewni, że z oprogramowania każdy będzie mógł skorzystać. Nareszcie to, co daje mechanizmowi sama społeczność (jej modyfikacje, pomysły, czas i praca), będzie w pełni bezpiecznie dystrybuowane – skorzystać będą mogli wszyscy.

Wysłano w Blog - Web | Tagi: , , | Brak komentarzy »

« Previous Entries