Archiwum na lipiec, 2007

Z dwudniowym opóźnieniem wynikającym z braku dostępu do Internetu ogłaszam najnowsze wersje:

  • jTemplates 0.4.1 - systemu szablonów w JavaScript
  • Allegro Widget 0.2.1 - plugin do Wordpress pokazujący w na pasu bocznym aktualne aukcje użytkownika

jTemplates 0.4.1

Wersja 0.4 przede wszystkim nacisk kładzie na bezpieczeństwo. Dane wejściowe (oznaczone zmienną $T) są sprawdzane pod kątem występowania znaków specjalnych stosowanych w XHTML: <, >, ‘, ” oraz &. Znaki te są zmieniane na bezpieczne odpowiedniki. Dodatkowo został zaimplementowany detektor funkcji dla danych $T, co ma uniemożliwić dokonywanie ataków wstrzykiwania kodu.

Zabezpieczenia te są domyślnie włączone. Istnieje możliwość ich wyłączenia, co gwarantuje zgodność z wcześniejszymi wersjami jTemplates.

Allegro Widget 0.1.2

Najnowsza wersja wprowadza niewielkie korekty w wyświetlaniu widgetu. Dzięki temu nie wyróżnia się od zbyt mocno od reszty elementów na pasku.

Niedawno głośno było o błędzie w przeglądarce Firefox polegającym na braku filtrowania danych pochodzących z wywołania przy pomocy firefoxurl:// (http://secunia.com/advisories/25984/). W rzeczywistości problem ten w równym stopniu obciążał zarówno Firefoxa jak i autorów przeglądarki IE, dzięki której atak był możliwy. Mozilla Foundation poprawiła błąd wraz z wersją 2.0.0.5, problem po stronie IE został po raz kolejny zignorowany (wprawdzie w tym przypadku jest to częściowo zrozumiałe, gdyż przecież istnieje możliwość, że inne programy nie akceptują przefiltrowanych danych a także powstaje pytanie o stopień filtracji; ale jednocześnie działanie Microsoftu można porównać to producenta samochodów, który nie montuje pasów bezpieczeństwa, gdyż nie każdy je zakłady, zmniejszają komfort jazdy i - co najważniejsze - o bezpieczeństwo jazdy powinni troszczyć się inni, w szczególności kierowca).

Atak przy pomocy IE polegał na utworzeniu odpowiednio spreparowanego odnośnika, którego naciśnięcie powodowało uruchomienie Firefoxa wraz dodatkowymi atrybutami (wstrzyknięcie kodu).

Niedługo po pojawieniu się “załatanego” Firefoxa analogiczny problem jak w IE został wykryty w samym FF! Błąd polega na niewłaściwym filtrowania znaku cudzysłów w adresach url zewnętrznych protokołów. Więcej informacji można znaleźć na stronie http://xs-sniper.com/blog/remote-command-exec-firefox-2005/

Problem jest o tyle poważny, iż pozwala na zdalne uruchomienie dowolnego programu zainstalowanego na systemie użytkownika! Prosta prezentacja:

EXPLOIT

(ps. jeżeli powyższy przykład u Ciebie nie działa, nie oznacza to, iż jesteś bezpieczny; po prostu atakujący musi użyć innego protokołu niż mailto)

Tak więc wszystkich użytkowników FF (IE także) namawiam do dokładnego sprawdzania linków, które się klika…

Poniżej zamieszczam krótki film przedstawiający instalację oraz podstawową funkcjonalność pluginu do Wordpress o nazwie Allegro Widget.

Więcej informacji na stronie: Allegro-Widget

Dzisiaj publikuję pierwszą publiczną (wciąż testową) wersja pluginu do Wordpress o nazwie Allegro Widget.

Plugin, a właściwie widget, pokazuje aktualnie trwające aukcje użytkownika z portalu Allegro.pl (oraz potomnych zagranicznych) .

Więcej informacji pod adresem: http://www.tpython.com/allegro-widget/ lub http://www.tpython.com/index.php/projekty/allegro-widget/

Zapraszam do testowania.

Na stronie http://futurist.se/gldt/ można odnaleźć linię czasu przedstawiającą żywotność wielu (prawie 200!) dystrybucji Linuksa. Lista jest stale aktualizowana.
Na chwilę pisanie tego posta, aktualna wersja była datowana na 21.06.2007: http://futurist.se/gldt/gldt76.png

Poprzednia wersja jTemplates (0.2) wprowadziła spore zmiany (zwłaszcza obsługę wielu szablonów w jednym pliku), ale też miała kilka problemów. Jednym z nich był błąd w przypadku wielokrotnego wykorzystania tego samego szablonu w różnych kontekstach. Błąd ten został poprawiony w wersji 0.2.1.

Dodatkowo w wersji 0.2.2 pojawiło się wsparcie dla tagu {#elseif}.

Więcej informacji na stronie projektu: http://jtemplates.tpython.com 

Nowości w jTemplates 0.2:

- MultiTemplates

Pozwalają na umieszczeniu wielu szablonów w jednym pliku, przykład:

{#template MAIN}
 <div id="header">{$T.name}</div>
 <table>
 {#foreach $T.table as r}
  {#include row root=$T.r}
 {#/for}
 </table>
{#/template MAIN}

{#template row}
 <tr bgcolor="{#cycle values=[‘#AAAAEE’,'#CCCCFF’]}">
  <td>{$T.name.bold()}</td>
  <td>{$T.age}</td>
  <td>{$T.mail.link(‘mailto:’+$T.mail)}</td>
 </tr>
{#/template row}

- korekta kilku błędów (na przykład obsługa #literal) i zmniejszenie obciążenia pamięciowego

Więcej na stronie: http://jtemplates.tpython.com

Światło dzienne ujrzała odrestaurowana wersja polskiego serwisu Linux News. Obecnie wykazuje zgodność z trendem Web 2.0 i portalami społecznościowymi (jak digg, lub polski Wykop).

Dzień po dniu przynosi kolejne nowości…

Tym razem pora na Slackware 12.0!

W nowym Slacku całkowicie zrezygnowano ze wsparcia dla starszej linii jądra (2.4). Domyślny kernel nosi numerek 2.6.21.5.

Środowiska graficzne to KDE 3.5.7 i Xfce 4.4.1.

Pełna charakterystyka znajduje się na stroni: http://slackware.com/announce/12.0.php

Wczoraj (a właściwie dzisiaj, bo przez ostatnie 24 godziny strona nie wytrzymała obciążenie i była sporadycznie dostępna) ukazała się kolejna (1.1.3) wersja biblioteki JavaScript pod nazwą jQuery.

Wśród nowości na szczególną uwagę zwraca deklarowane przyspieszenie działania nawet kilkukrotne (średnio 867%)!

Więcej informacji w blogu autora.