Archiwum na maj, 2007

TeamSpeak jest programem typu VOIP do przeprowadzenia rozmów konferencyjnych, szczególnie często wykorzystywany w przypadku gier MMOG.

Nie tak dawno miałem wątpliwą przyjemność obserwowania rezultatów działania exploita na TS. Tworzył on masowo kanały, których następnie nie można było w żaden prosty sposobów usunąć, gdyż powodowały zawieszenie klienta.

Nie musiałem szukać specjalnego programów, bowiem atak jest bardzo łatwo przeprowadzić bez dodatkowych narzędzi: TS2 exploit

Atak polega na ustawieniu odpowiedniej wartości w polu Topic, gdyż ta wartość nie jest właściwie filtrowana. Nie potrafię w tech chwile określić, czy przeprowadzenie tego ataku może być poważniejsze w skutkach niż tylko zawieszenie programu klienckiego.

Ze względu, iż kod TS nie jest dostępny publicznie, jedyne co pozostaje to cierpliwie czekać na patche ze strony autorów. Doraźne lekarstwo polega na ingerencję w bazę danych i edycję lub usunięcie nieprawidłowych wpisów.

Błąd został potwierdzony w wersjach:

  • TeamSpeak 2 Client (Windows): 2.0.32.60
  • TeamSpeak 2 Server (Linux/Windows): 2.0.20.1

Dodatkowo TS2 został napisanych bez poszanowania prywatności - wszystkie hasła w bazie danych są w postaci niezaszyfrowanej!

TeamSpeak2 hasła JPG

Szkoda słów…

Dwa ostatnie posty raczej przygnębiały, więc teraz dla odmiany trochę humoru.

Wredni Steve Jobs i Bertrand Serlet z Apple atakują Microsoft, że sklonował MacOS X:

Dowód na to, iż Microsoft nie sklonował interfejsu MacOS X w systemie Vista:

Długo się zbierałem aby napisać komentarz do wczorajszych wydarzeń, ale “efekt slashdot” dopadł również mnie, tyle iż zadziałał inaczej - nie padłem, a wręcz zebrałem się do pracy.

Otóż właśnie dzisiaj w serwisie Slashdot pojawiała się na stronie głównej notatka Polish Fans Held By Police For Movie Translations, nawiązująca do wczorajszych wydarzeń związanych z zamknięciem serwisu Napisy.org. Jak zawsze ruszyła lawina komentarzy; sprawa znana już jest na całym świecie. W polskich mediach spotkałem się z komentarzem policji o brawurowej akcji policji przeciwko piratom, którzy posiadali tysiące nielegalnych filmów i na ich podstawie tworzyli tłumaczenia.

Spróbujmy odpowiedzieć na pytanie: Czy tworzenie i rozpowszechnianie tłumaczeń do filmów jest nielegalne?

Wedle ustawy o prawie autorskim: i prawach pokrewnych:

1. Opracowanie cudzego utworu, w szczególności tłumaczenie, przeróbka, adaptacja, jest przedmiotem prawa autorskiego bez uszczerbku dla prawa do utworu pierwotnego.

2. Rozporządzanie i korzystanie z opracowania zależy od zezwolenia twórcy utworu pierwotnego (prawo zależne), chyba że autorskie prawa majątkowe do utworu pierwotnego wygasły. W przypadku baz danych spełniających cechy utworu zezwolenie twórcy jest konieczne także na sporządzenie opracowania.

Nie jestem prawnikiem, ale skoro “korzystanie z opracowania zależy od zezwolenia twórcy” to czy wszystkie osoby korzystające z tłumaczeń złamały prawo?

Zobaczmy dalej:

Dokonanie tłumaczenia warstwy słownej utworu audiowizualnego nie stanowi jego opracowania jako całości.

Głosi wyrok sądu Wyrok Sądu Najwyższego - Izba Cywilna z dnia 23 stycznia 2003 r. (II CKN 1399/2000).

Skoro tłumaczenie nie jest opracowaniem, więc przytoczone poprzednio paragrafy nie mają odniesienia w tym przypadku. Jakimi przepisami kierowała się policja przy zatrzymaniu nie podano do publicznej informacji.

Do akcji nigdy by zresztą nie doszło gdyby nie FOTA (Fundacji Ochrony Twórczości Audiowizualnej). Mogli oni zgłosić popełnienie przestępstwa dokonane(?) przez autorów napisy.org, w efekcie wymuszając na policji interwencje z zabezpieczeniem serwerów. Przy przeszukaniu (wg danych policji) odnaleziono pewne ilości nielegalnych płyt cd z filmami. O co dokładnie FOTA oskarża autorów? Nie potrafię na to odpowiedzieć.

Z tego powodów nie popieram ostatniej akcji blokowania serwerów policji poprzez ataki DDOS, choć niewątpliwie odniosły one skutek, jakim jest nagłośnienie całej sprawy. Nagłośnienie nie tylko w Polsce, ale na całym świecie. W efekcie Polska została ukazana w raczej negatywnym świetle (co w tym przypadku nie jest najgorsze). Ale głównym powodem tego nie było ani niejasne prawo, ani serwis napisy.org, a właśnie działalność FOTA, zbliżona do akcji przeprowadzanych w Stanach (i na całym świecie) przez MPAA i RIAA.

Przypadający wczoraj Światowy Dzień Społeczeństwa Informacyjnego przyniósł wiele atrakcji, których losy warto nadal obserwować.

Bardzo ciekawe potraktowanie tematu można znaleźć w blogu VaGla

W świetle ostatnich oskarżeń ze strony MS pod kierunkiem autorów oprogramowanie OpenSource należy zwrócić uwagę na kilka efektów prawa patentowego w Stanach Zjednoczonych:

  1. Obecnie trudno napisać nawet mały projekt bez naruszenia (przypadkowego) kilku patentów.
  2. Patenty w niewielkim stopniu chronią prawdziwego autora - czyli ludzki umysł. Chronią interesy monopoli rynkowych. Trwa zimna wojna między największymi firmami, które się wzajemnie straszą pozwami do sądu. Małe firmy bez odpowiedniej liczny patentów zostaną zadeptane tylko gdy zaczną odnosić sukcesy.
  3. Tylko duże firmy mogą sobie pozwolić na innowacyjność. Patrz pkt. 1 i 2. Niestety zazwyczaj tego nie robią. Chyba jedynymi wyjątkami są Apple i Google.
  4. Dawniej uważałem, że jednym powodem tworzenia własnych rozwiązań przez MS w miejsce istniejących standardów było uzależnienie odbiorów. Teraz dochodzi jeszcze fakt, iż pisanie wg standardów może “upodobnić” kod do rozwiązań zastosowanych w innych produktach, co oczywiście również ma związek z potencjalnym naruszeniem patentów.
  5. Firmy ubezpieczeniowe w Stanach sprzedają polisy ochraniające przez skutkami wynikającymi z naruszenia patentów. Hmmm…. czyli ubezpieczają złodzieja przed tym, że zostanie ukarany za kradzież?

Chyba dobrze, że jeszcze mieszkam w Europie…

Na koniec zapraszam na interesującą lekturę na ten temat z Fortune: http://money.cnn.com/magazines/fortune/fortune_archive/2007/05/28/100033867/index.htm

Ajax jako młoda i dynamicznie rozwijająca się dziedzina programowania webowego nie narodziła wciąż szablonowych zasad debugowania. Do niedawna programiści byli zmuszeni do stosowania kilku programów: debuggera JavaScriptu, loggera wywołań, inspektora DOM. “Do niedawna” - gdyż historia programu o nazwie FireBug nie jest długa.

Firebug nie jest osobnym programem, ale darmowym pluginem do Firefoxa. Słowo “tylko” jest wyjątkowo niefortunne, gdyż pod względem możliwości Firebug przewyższa większość podobnym komercyjnych programów.

Do dyspozycji mamy zintegrowany debugger JavaScript (z obsługą pułapek warunkowych i edycji zmiennych w czasie wykonania!), rozbudowany inspektor DOM, umożliwiający na pełną edycję strony, logger wywołań ajaxowych, profiler i wiele więcej.

Wywołania ajaxowe są bardzo dobrze przestawione: parametry żądania, nagłówki, pełna odpowiedź. Wbudowany interpreter pozwala na manualne wprowadzenia i wykonania kodu JavaScript.

Prawdę klikając muszę stwierdzić iż jestem pod wielkim wrażeniem Dzieła autora. Aby tak dalej. Polecam.

Wiem, wiem - to rozwiązanie zostało już opisane w tysiącu lokalizacji w Internecie; to od dzisiaj będzie i w tysiąc pierwszym miejscu. Zaznaczam iż przed wykorzystaniem poniższych metod należy zapoznać się z regulaminem danego serwisu i nie działać wbrew zapisom regulaminowym. Informacje tutaj zawarte mają charakter wyłącznie poglądowy.

Większość serwisów downloadu plików (np. www.megaupload.com) wprowadzają szereg ograniczeń na ściąganie danych (ilość połączeń z danego kraju/IP, ilość pobranych danych, itp.). Niektóre oferują wspaniałomyślnie zniesienie tych barier albo po odpowiedniej i regularnej opłacie na konto właściciela serwera, albo po zainstalowaniu u sobie dodatkowych programów z pogranicza użyteczności i backdoora dla wszystkich malware świata.

Jednym z takich programów jest toolbar Alexa. Nie będę się rozwodził co do kwestii bezpieczeństwa jego użytkowania, bo to nie jest moim zamiarem. Bardziej znaczącym faktem jest, iż działa on obecnie tylko w przeglądarce rodem z Redmond, a autorzy Alexa tak komentują fakt braku wersja dla innych programów:

Ask FireFox to include Alexa. In 1998, Alexa built a feature for both Netscape and Mozilla browsers called What’s Related. Unfortunately that feature is not included in the FireFox browser. Write a note (http://www.mozilla.org/contact/) to the folks at Mozilla/Firefox to let them know you want Alexa AND FireFox.

oraz:

Build Your Own Alexa Toolbar. Because Firefox is an open source browser, an enterprising developer might make use of that functionality and our Web Information Services Feed to create such a Toolbar.

No to za parę chwil zbudujemy odpowiedni “toolbar”. Ale wróćmy do problemu z megaupload. Ograniczenia na transfer są nanoszone kiedy serwis nie wykryje pluginu Alexa. A jak są wykrywane? Na postawie useragent przeglądarki. A w takich przeglądarkach jak Mozilla Firefox czy Opera zmienną tę można ustawiać ręcznie. Na jaką wartość? Na przykład taką:

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; FDM; Alexa Toolbar)

Od tego czasu nie jesteśmy blokowani przez megaupload.

Ręczne modyfikowanie useragent nie jest zbyt wygodne, ale od czego mamy pluginy do FF. Nie będziemy tworzyć nowego, jedynie zmodyfikujemy istniejący.
Quick Preference Button autorstwa max1million jest jednym z najciekawszych pluginów do FF. Wśród oferowanych przez niego funkcji jest również modyfikacja useragent, ale tylko na odgórnie ustalone. Dlatego w celu dodanie obsługi useragent Alexa niezbędne są zmiany w kodzie źródłowym:

Plik /content/qprefbtn.js

W funkcji qprfSetRadiogroup() dodajemy linie (łatwo się domyśleć, w którym miejscu):

if (/Alexa/.test(prefvalue)) (prefvalue = "browserAlexa");

oraz w metodzie processqprfRadiogroup() dodajemy:

if (value == "browserAlexa") value = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; FDM; Alexa Toolbar)";

Plik /content/qprfbttnPopup.xul

Pod koniec pliku dodajemy linie:

<radio value="browserAlexa" label="Alexa" tooltiptext="Alexa"/>

I to tyle. Po przeładowaniu przeglądarki w menu qprefs powinna pojawić się nowa pozycja.

Oto przykład przykład

Pamiętajcie, że robicie i wykorzystujecie to wyłącznie na własną odpowiedzialność!