Український КПК-блог. Львів. Світ цифрових асистентів PDA, Palm, Treo, Pocket PC у Львові. Новини світу КПК.

Реформуванню та зміні підлягають не тільки системи глобального пошуку, а й системи локального пошуку, інакше кажучи системи пошуку інформації у корпоративних системах. Системи такого типу дозволяють знайти фактично довільну інформацію – починаючи із текстових документів і закінчуючи вмістом кешу браузера, але, нагадую, в межах корпоративної системи. Основними постачальниками таких продуктів є Google, Yandex та ін. Пригадується, як кілька років тому на ринку тільки з’явився Google Desktop. Майже кілька днів по тому його встигли оголосити потенційно небезпечною програмою, через те що він проводив індексацію всіх поштових повідомлень, і цим самим можна було обійти пароль до поштової скриньки. Потім у системі Google Mini була віднайдена вразливість, в результаті якої можна було виконати сценарій чи html-код. Єдине що радує в роботі такого монстра, як Google це оперативна робота. Вразливості у програмних продуктах і так доволі рідко знаходять, так ще й реакція на них є блискавичною. Після виходу у світ Google Desktop 2 знову посипались обвинувачення на адресу цього продукту, який надавав доступ до закритої інформації. Але потім виявилось що це даремно, оскільки вразливість була у Internet Explorer. Підсумовуючи ці випадки, важливо замітити, що найбільша загроза яка виникає при використанні пошуковців такого типу – це втрата конфеденційної інформації. Але чи є тут вина таких пошуковців. Частково так, через помилки допущені при написанні таких програм. Проте основна вина все ж лежить на керівниках, відповідальних за безпеку інформаційної системи. Якщо є відсутньою система фільтрації документів, що відправляється у зовнішній світ, якщо немає контролю підключення до USB портів, якщо до конфеденційної інфрмації має доступ будь-яка особа то це вина аж ніяк не пошуковця.

У продовж останніх років одною з найважливіших задач сайтобудування є задача популяризації сайту. Існують різні підходи до вирішення даної задачі. Проте, для більшості з них характерним є боротьба за покращання позиції сайту в пошукових системах. Дана задача вимагає досить компексного аналізу сайту на всіх етапах розв'язання. Причому аналізу достатньо специфічного – аналізу не стільки “внутрішнього”, коли аналізується вміст, структура чи журнали сайту, а “зовнішнього”, коли аналізується ставлення WWW до сайту.

До 15 жовтня проводиться набір статтей у вісник "Комп"ютерні системи та мережі" Національного університету "Львівська політехніка" Інституту комп"ютерних технологій автоматики та метрології кафедри "Електронні обчилювальні машини". Вісник має статус ВАК, а тому і статті слід оформляти згідно вимог. З питань оформлення та прийому статті звертатись на поштову скриньку andrie83@gmail.com до Андрухіва Андрія( додаткова контактна інформація за адресою http://it.ridne.net/user/123)

З 27 по 29 вересня 2007 року в Національному університеті “Львівська політехніка” проводиться Міжнародна науково-технічна конференція “Комп’ютерні науки та інформаційні технології” (CSIT-2007). Організаторами конференції є Міністерство освіти і науки України, Національний університет "Львівська політехніка", Інститут комп’ютерних наук та інформаційних технологій за участю Західно-Українського відділення IEEE. Метою конференції є висвітлення найважливіших досягнень у комп'ютерних науках та інформаційних технологіях і визначення перспективних напрямків розвитку цих галузей. Для участі в конференції запрошуються науковці України та міжнародної спільноти. В рамках роботи конференції планується проведення круглого столу з представниками Міністерства освіти і науки, провідними вченими та викладачами навчальних закладів та ІТ-індустрії (компанії SoftServe, InterObject, Eleks, Lohika, Advantis), на якому відбудеться обговорення питань підвищення якості та ефективності освіти у галузі ІТ та ефективної співпраці між наукою, освітою та промисловістю.

Десь весною цього року (ще до парламентської кризи) ВРУ прийняла, а Президент підписав закон "Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки". Закон сам по собі чарівний. Прочитав. Одна суцільна декларація. При тому безсистемна. Єдині цифри, що є в законі - це роки :). Іншої конкретики також катма. Ну Бог з ним. Прикололо інше. Натрапив на сторінку http://www.stc.gov.ua/uk/publish/article/56836 , де мають бути "план заходів з виконання завдань, передбачених Законом України "Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки"" - а це вже цікавіше і ближче до життя. Але на жаль, після клацу на лінк " „Про затвердження плану заходів з виконання завдань, передбачених Законом України "Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки”" де власне, напевне і є напевно перелік заходів включно фінансуванням, виконавцями і термінами потрапляю на сторінку з печальним текстом

В цій статті ми розглянемо загальні принципи проектування зручного Web-сайту. Тобто, спробуємо розібратись, як організувати Web-сторінку так, щоб вона була максимально зручною для відвідувача. 1. Як правильно організувати загальний шаблон сторінки Перш ніж приступити до роботи потрібно обрати один із способів верстки (гумовий дизайн, дизайн з фіксованою шириною). Розглянемо трохи детальніше ці дві можливості. Т. з. “гумові” сайти не мають сталої ширини. Цей вид верстки є найбільш популярним. Перевагою таких сайтів є 100%-ве використання робочої області браузера. До недоліку гумової верстки відносять те, що рядки (на моніторах з великим розрішенням екрану або великою діагоналлю) занадто довгі і очі втомлюються по ним бігати. З цією ж проблемою зіштовхуються редактори газет і щоб уникнути її розбивають всі рядки на колонки. З Web-сайтами ситуація дещо простіша. Адже, ширину браузера при потребі можна зменшити і тим самим полегшити процес читання. Але чи всі користувачі захочуть це робити? Тому намагайтесь продумати такого роду ситуації.

3 роки ув'язнення загрожує поляку, який використав технологію розкрутки сайту за допомогою зовнішніх посилань з метою образи Президента Польщі. Він успішно досягнув того, що за одним лайливим польським словом офіційний сайт Президента Польщі кілька місяців займав перше місце на Гуглі. Такий вид "оптимізації" не є чимось новим, і має навіть власний термін - Google Bombing. І ніби (за деякою інформацією з тематичних форумів) Google якось пробує від нього захиститися, але видно, поки що не дуже успішно. Новим тут є притягнення чоловіка до кримінальної відповідальності за такі дії. Звичайно, така справа нова для правосуддя, тому не виключено, що жорсткої кари не буде, проте сам факт такого "бомбування" встановлено достеменно. Детальніше про справу можна почитати тут http://wiadomosci.gazeta.pl/Wiadomosci/1,80269,4477719.html

Зараз існує ціла серія програмних сканерів безпеки які цілком якісно можуть провести діагностику захисту сервера. В більшості серверів сканер видає повідомлення про наявність(функціонування) методу trace. Чомусь прийнято вважати, що це діра в захисті і її можна використати для взламування. Це правда, але часково. Метод TRACE призначений для діагностики мережі. Принцип роботи приблизно наступний – клієнт відсилає серверу певну інформацію, а сервер у свою чергу відпраляє отриману інформацію назад. Якщо в результаті була отримана видозмінена інформація – що десь не спрацювало. Проте цей метод був використаний для здійснення XSS атак: в TRACE запиті на сервер передаються кукіси, якщо вони є. Тому можна запит перехватити і витягнути звідти все що потрібно.

Цього разу як доповнення до Google Earth компанія випустила Google Sky. Користувачі сервісу мають тепер змогу побачити супутникові знимки Землі із пристойним розширенням. Крім цього, як стверджує Reuters можна побачити біля 100 млн зірок і 200 млн галактик. Всі знимки для Google Sky надала Digital Sky Survey, каліфорнійська обсерваторія Паломар та центр астрономії Об’єднаного Королівства. Нагадаю, що створити такий сервіс Google хотіла вже давно. Першими спробами були карти Місяця та Марса.

Ось тут Штучний інтелект для штучного інтелекту на нашому сайті Сергієм Адамчуком уже піднімалося питання того, що штучний інтелект потребує не раз зовнішньої підтримки, яка приходить у формі залучення рядових користувачів Інтернету до виконання рутинно-інтелектуальних дій. Такий собі "Штучний інтелект для штучного інтелекту". У першу чергу це стосується задач розпізнавання графічних образів. Звичайно, такий підхід вимагає мотивації користувачів. А платити ніхто не хоче. І тоді замість матеріальної мотивації використовується, скажемо так, слабкість людського духу. Мені відомі випадки, коли такі задачі доручалися людям взамін за доступ до порно ресурсів. Тобто для входу в закриту зону сайту з порноконтентом користувач повинен був розпізнати капчу або щось подібне, яка насправді не була оригінальною капчою порносайту, а зображенням з якогось сайту, де вона була бар'єром на шляху бота. Коли користувач правильно розпізнавав капчу, бот виконував свою "чорну" справу, а користувач добирався до такого бажаного контенту. Але виявляється, хіть не єдина людська слабкість, що дає можливість запрягти людину у таку специфічну діяльність. Азарт - ось наступна вада людини, що стала використувуватися у подібних задачах. Проте, на цей раз, азарт користувачів використовують не якісь безіменні хакери чи бездушні боти, а, як це не дивно, сам Google. Як це відбувається і для чого? Якщо вам цікаво подивитися, то вам сюди - http://images.google.com/imagelabeler/

Якось нещодавно довелось мені зустрітись із проблемою недовіри користувачам. Проблема є тривіальною, проте програмери роблять стільки помилок, що аж волосся випадає, при чому не тільки в мене. У даному випадку я наведу приклад від якого можна відштовхуватись і на його базі буде представлена концепція взаємодії з користувачами. А суть проста, як двері – не довіряти нікому, навіть якщо користувачем є рідна мама. Наприклад є така форма 1.form action=log.php method=GET 2.input maxlength=10 type=”input” name=”username”>Username /input 3./form От ніби класична форма, яку завше використовують(тут ще повинні бути розставлені символи , але фільтр it.ridne.net їх не пропускав, тому я їх видалив, скористайтесь фантазією і поставте їх де потрібно). Але вона містить потенційну вразливість. І полягає вона в обмеженні довжини до 10 символів(2-а стрічка). Справа в тому, що це обмеження спрацьовує на стороні клієнта, а не сервера. Це означає, що я можу : використати браузер який нехтує параметром maxlength , можу написати свій браузер який буде нехтувати цей параметр і зрештою направити наступний url :

Вступ Чи доводилось вам відправляти СМСки своїм друзям та близьким з інтернету? Якщо ви проводите значну частину свого часу за комп'ютером, то я впевнений що так. В такому разі ґаджет SendSMS.com.ua саме для вас, всі українські оператори у компактному ґаджеті, та ще й ваші контакти зберігатимуться. Я вже зустрічав у блоґах невеличкі огляди свого ґаджету для відправки СМС, на цей раз представляю вашій увазі власний розгорнутий огляд ґаджету SendSMS.com.ua. Спробую поділитись інформацією, у чому я бачу особливість цього ґаджету. Перш за все ґаджет призначений для швидкої і безкоштовної відправки СМС на всі мобільні оператори України. Користуватись ґаджетом можуть усі, у кого є браузер, ніякого особливого програманого забезпечення не потрібно, і ваші контакти будуть доступні вам будь-де, де є доступ до інтернету.

Але перед тим як дати опис тої фігні хотілося б дати опис програм для пошуку точок входу у програму. Для застарілої Windows NT перелік засобів для перегляду реєстра і файлової системи розміщені за адресою http://www.sysinternals.com . Найбільш популярні програми це filemon та regmon. Інший тип програм це АРІ монітори. Ці програми підключаються до певних викликів АРІ і дозволяють визначити, які параметри передаються цим викликам. Для зміни викликів функцій АРІ можна використати програму Failure Simulation Tool компанії Cigital. Програма FST працює між програмою і DLL за допомогою перезапису таблиці адрес переривань. Завдяки такому підходу видно, які функції АРІ викликаються і які параметри передаються. Програму можна використовувати для генерації рапорту про помилки в програмах. А якщо є помилки – то програма швидше ламається. Цей відступ був для загального розвитку, просто щось собі нагадалось.

Google знову задає новий стандарт для пошукових систем. Після появи ряду нових технологій та розширень, зокрема технології sitemap, це вже стає доброю традицією. На цей раз Google пропонує певний контроль за часом зберігання сторінки в кеші пошукової системи. З цією метою він уводить новий мета-таг unavailable_after. Суть нововедення наступна. Даним тегом 2. Відповідальний за деякі аспекти розробки та супроводження сайту">Веб-майстер може зазначити, доки дана сторінка зберігатиме актуальність і відповідно, доки її доцільно зберігати в БД пошукової системи. Ось приклад такого визначення Як відзначають аналітики на тематичних блогах і форумах, особливо цінним даний таг є для електронних магазинів, де таким чином можна описувати актуальність розміщених пропозицій (щоби вони потім не уводили в оману у результатах пошуку Google), та для різного роду видань, у яких є безкоштовні та платні розділи. Наприклад, цей таг може стати у пригоді, якщо планується переміщення матеріалу з безкоштовної в платну зону.

У матеріалі мова йтиме про слабкості фільтрів вхідних даних при роботі з веб-серверами. Так наприклад, стрічки http://server/dir\..\..\..\winnt та http://server/dir/../../../winnt є еквівалентними. А це означає, що якщо проходить фільтрація символу «/» то я спокійно використаю символ «\» . А ще існує така річ як кодування url, utf-8, Unicode. Наприклад, стрічка, еквівалентна до попередньої прийме вигляд http://server/dir\..%5C..%5C..\winnt ( %5C те саме що і символ «\»). Багато фільтрів виконують пошук мета символів, але можуть пропустити деякі з них при наявності символу ESC . Він, зазвичай, встановлюється на початку керуючої послідовності символів. Без цього символу керуюча послідовність буде перетворена на інший символ:

Приємна новина для користувачів Лінукса на робочих станціях. Google випустив у світ свій популярний пошук по локальному комп'ютеру Google Desktop для платформи Linux. Раніше свою популярність Google Desktop набував на машинах з Windows. Такий крок знову ж свідчить про підтримкою Google платформи Linux, проте сам Google Desktop до відкритого ПЗ не відноситься. Розробники стверджують, що підтримуються версії Debian 4.0, Fedora Core 6, Ubuntu 6.10, Novell Suse 10.1 та Red Hat 5. Графічний інтерфейс працює під KDE та GNOME. Лежить даний програмний продукт тут http://desktop.google.com/linux

За повідомленням компанії Calyptix Security у програмному забезпеченні мережних пристроїв багатьох відомих виробників віднайдена серйозна вразливість. Це вразливість, що дозволяє реалізацію CSRF атак. Суть атаки полягає у можливості контролювання атакуємий пристрій шляхом генерації запиту від імені авторизованого користувача. Для реалізації такої атаки на мережний пристрій потрібно заставити користувача, що має доступ до пристрою, під’єднатися через до пристрою через веб-інтерфейс і в цей момент відкрити в браузері сформований певним чином сайт. Атакам такого типу можуть підлягати апаратні брандмауери, маршрутизатори, мережні принтери та ін. Через вразливість можна створювати нові облікові записи, змінювати паролі користувачів, налаштування. Найцікавіше тут, те що виробники мережних пристроїв чомусь не збираються виправляти помилки програмного забезпечення (крім Check Point Software Technologies, яка блискавично відреагувала на виявлення вразливості і відразу її ліквідувала ). Інші компанії намагаються відмовчатися.