Епизод 46 (новини)

Епизод 46 на Nerds2Nerds записан на 23.11.2014

Обзор на новините

 

Директен линк към част 1 (mp3) (ogg)

00:00 – Кацнахме на комета, защото можем 🙂
16:10 – .NET става Open Source
31:30 – Firefox Developer Edition – ако правите нещо за WEB, това е инструмента
40:45 – Yahoo вече ще е търсещата система по подразбиране във Firefox
43:30 – Заговори се сериозно, че Google трябва да се разцепят заради монополното си положение
45:45 – Windows закърпва две сериозни дупки в сигурността. Силно се препоръчва да обновите, ако нямате пуснати автоматичните обновявания.
50:20 – Mozilla изграждат система за безплатни SSL сертификати
56:00 – Nokia (или по-скоро Foxconn) пускат таблет, който прекалено много прилича на iPad
57:40 – Jolla пускат таблет.
59:25 – Amazon пуснаха скалеруема релационна база данни съвместима с MySQL
1:01:10 – WhatsApp пуска end to end encryption, но с уловка. Защо ли не я споменаха?
1:03:30 – Google пускат music key, спират Google Wallet за дигитални услуги и тестват система, в която плащате за да не гледате реклами (но пак сте следени)
1:10:15 – Facebook  пускат Flow – статичен type checker за JavaScript
1:15:00 – Подкараха Windows 95 на iPhone 6 Plus
1:15:45 – FBI официално признаха, че не могат да се справят с китайските хакери
1:16:30 – Lenovo отново с ръст при продажбите на настолни машини
1:17:00 – Песен слушана 168 милиона пъти донесе само $4000 на автора.
1:18:00 – Интересен начин за обир на банкомати

| ноември 23rd, 2014 | Posted in Uncategorized |

25 Responses to “Епизод 46 (новини)”

  1. wqw Says:

    Това е Оле-то ме разби, леко смешно прозвуча :-)) Функцията е за resize на масиви, смятай колко е базов проблема. JScript отново ползва COM, възможно е масивите му да не са VARIANT базирани, но се съмнявам, т.е. би трябвало да е атак-вектор като VBScript.

    Тъпото е, че като фикснаха security проблема счупиха ReDim Preserve на VBScript и VB6 (който ползва същото проблемно API) в някои edge case-ове: http://www.vbforums.com/showthread.php?780891

  2. Желю Желев Says:

    Не съм писал тук от доста време, следя но следя редовно. Казвайте от къде да си купим ризка 🙂 Даже ще взема една за мацката, тя ще си я носи с кеф.
    Иначе мерси за Flow, сефте го виждам това но ще ми свърши много работа. Някой разцъкал ли го е ? Пишете какви са разликите с други инструменти като JSLint например.
    Firefox Developer Edition го ползвам активно от седмица, обаче интеграцията с Firebug e кофти. Ъпдейтнете ли до новия Firebug alpha ще ви коства шрифтовете във Developer tools и при тъмна тема на не се вижда абсолютно нищо. Единственто което дава тая интеграция, е DOM структурата. Останалото си е оригиналната функционалност от developer tools. Te впрочем доста са напреднали обаче са далеч от това което дава стария Firebug.

  3. Желю Желев Says:

    PS. Защо вече не мога да се логна в системата ?

  4. GladikTaralej Says:

    oleeeeeeeey \(^v^)/

  5. !ntel Says:

    😀 „Цоцат..“ 😀
    Света е едно голямо цоцане – затова се примирете и цоцайте докато може 😀

  6. thd Says:

    @Желю Желев, при тъмна тема и другата версия е проблемна, ама аз съм му намерил финт, понеже не ми понасят светли теми … 🙂 , със Stylish , Write New Style, Name: all , Примерно съдържание:

    input {
    color: #000000;
    background: #ffffff;
    }
    textarea {
    color: #000000;
    background: #ffffff;
    }
    select {
    color: #000000;
    background: #ffffff;
    }

    !!!Без таг за домейн и неймспейс!!!:

    @-moz-document domain(domain.com)
    {
    }

    И вкарва параметрите за всички полета по браузъра …

  7. Stilgar Says:

    @Желю Желев http://shirtstorm.blogspot.co.uk/ ей тук ще пускат updates за ризите. Във Facebook може да се следи тука – https://www.facebook.com/ellyprizemanltd
    Това е ако искаш от същото място където ги взима доктор Taylor иначе ги има по нета ама свършват много бързо.

  8. gatakka Says:

    @Желю Желев заради зверски спам атаки се наложи като крайна мярка да спрем входа в системата.
    От хостинг компанията ми писаха, че ще спрат сайта, ако не направим нещо. Сега мисля варианти как да го оправя, че явно много ни бяха налазили, щом и JS защитите прескочиха.

  9. thd Says:

    Ей туй изглежда добре http://demo.visualcaptcha.net/ може леко преводче да му се направи, някой ако не знае кое какво е … 🙂

  10. Желю Желев Says:

    Е що не си вдигнете подкаста на Laravel примерно, защо го влачите тоя умрелия WordPress ? То е пословично, че където има WordPress бива ако не хакнат, то сериозно атакуван. Пък един блог с коментари не ми се вярва да глътне много време.

    @thd, мерси за инфото
    @Stilgar ще го следим това.

  11. Йордан Иванов Says:

    Относно Firefox DE: Аз го ползвам от както излезе и като цяло съм много доволен, но мен много ме дразни мемори профайлинга.

    Относно SSL: От известно време на сам Cloud Flare предлагат безплатен SSL за всички клиенти от известно време на сам (https://www.cloudflare.com/plans).

    За Спотифай: Тейлър Суифт до колкото разбрах аз, е трябвало да вземе доста пари (http://hicomm.bg/hronika/tejlyr-suift-zagubi-6-mln-dolara-ot-spotify.html/).

  12. Йордан Иванов Says:

    Още нещо: По принцип пиша с ник ProXy, спам бота е скапан и не ми дава да го ползвам. 🙁

  13. thd Says:

    @Желю Желев, абе то и настройка имало :), за тема на дев туул, на зъбчатката като цъкнеш (ToolBox Options), по средата, Light Theme , Dark Theme … 🙂 И на Firebug има и на вградения …

  14. deyan Says:

    Ванка,отностно selfish,това е старото meego сериозно доработено базирано на QT

  15. Киро Says:

    За Европа Google си остава търсачката по подразбиране във Firefox 🙂

    http://searchengineland.com/google-firefox-europe-209378

  16. Хнас Says:

    Както deyan казва SailfishOS e ГНУ/Линукс дистрибуция произлязала от Мииго, но сега базирана на изцяло свободния Mer. В много отношения е сравнима със Убунту Мобайл, но за разлика от него е реално съществуващ продукт на съществуващ вече от една година на пазара телефон. Да не говорим, че Убунту ползва една от най-важните разработки на Карстен Мунк от Йола: libhybris, която разрешава ползването на glibc върху андроидски хардуер с андроидски драйвери отдолу. Отделно, че по този начин имаш истинска ГНУ/Линукс със всички познати от там библиотеки плюс нейтив пърформанс за Андроид аповете.
    Чудно ми е, че gatakka, като човек с афинитет към свободните алтернативи не знае почти нищо за Йола.

  17. gatakka Says:

    @Хнас За съжаление не мога да следя всичко. Ето за това са тези „форми“ на комуникация, да споделяме. Благодаря за детайлното разяснение какво е Йола. Определено съм заинтересуван вече 🙂

  18. thd Says:

    Никога не си инсталирайте E17 – Enlightenment 🙂 !!! Тотално повръщано е това, днес направих 2-ри и последен опит (мислех че са го пооправили).

  19. Хнас Says:

    @gatakkа, така е, прав си. Йола са много впечатляваща фирмичка, не повече от 150 човека, а правят наистина уникални неща – не преопаковани андроиди, а истинска алтернативна отворена мобилна система, която на всичкото отгоре функционира повече от добре. Честно казано просто нямам идея как толкова малко хора могат да направят толкова добър продукт, но финландци, какво да ги правиш.
    Заслужава си да бъдат подкрепяни, защото са истинска глътка свеж въздух и напълно извън стандартите.

  20. +o Says:

    Идеята ми беше да напиша с по две-три думи един текст за симетричното и
    несиметричното криптиране, ключове, подпис и верификация, приложение, уеб
    приложение и т.н. но само го исках!
    За това пиша този коментар, който няма нищо общо с първоначалната идея 🙂

    1. Свободно въведение (доста свободно и кратко)

    Според мен ip-то няма нищо общо с ssl сертификатите.
    Мигрирайте си сайта със сертификат подписан от CA (certification authority) на 20 сървъра с 20 ip-та, няма проблем, просто си пренасочвайте А записа за съответния домейн в днс сървъра или направо хостнете сайта на локалната си машина но опишете в хост файла, че за този домейн ип-то е 127.0.0.1, броузера ще го отвори без никакъв месидж или нотификация, абсолютно редовно. Това което прави браузера е да провери дали домейна от заявката отговаря на домейна от сертификата и дали този сертификат е подписан от CA за който вашия браузер има информация и му вярва. Точно за това плащат и CA-тата, публичните им ключове да са папката от която броузера може да verify-не вашия сертификат. Ето защо всички нормални хора смятат, че CA-тата смучат на готово, и вземат едни много хубави пари при това.
    Не помня добре записа, но имаше нещо, че ип-то се ползва като превенция за фишинг. Според мен най-важното в един сертификат е името домейна, точно той е превенцията срещу фишинг. Да си призная направо си отричам тезата, че ip-то се ползва дори и на някакво супер корпоративно ниво. Какво остава за нашите сайтчета.

    2. Къде може би е проблема ? (още по-свободно изложение)

    Най-вероятно става въпрос за следния проблем.При конекция на 443 първо се случва ssl handshake-a да кажем това е още tcp layer-a по OSI модела, обаче как да разберем кой сертификат да дадем, като още не знаем кой хост търсят, защото хоста е в HTTP header-a, който ще го чете чак на application layer-a и ще го чете уеб сървъра. Един вид за да прочетем хоста, първо трябва да направим ssl handshake,а за да направим handshake с правилния сертификат трябва да прочетем хоста, който е в http header-a. Ключа за чекмеджето е в чекмеджето.
    Когато имаме за 1 ip един сертификат, сървъра не се интересува от VirtualHosts, той ще гледа сертификата за това ип и ще го даде, но когато имаме 1 ип с 20 virtualhosta не знае какво да прави. Тук напомням, че нещата са се развивали във времето, първо сървърите са подържали по един сайт (т.е. 1машина = един сайт),идват Apache, които въвеждат виртуалните хостовете (1 машина = много сайтове), обаче тези виртуални хостовете са на ниво аппликейшън, сървъра чете хттп хедъра и ви дава сайта, който искате.Тогава се решава
    проблема и мулти хостването отваря супер пазар пред Апачи, но проблема с ssl не е решен, заради ограниченията със ssl

    Проблема се решава като се променя ssl handshake-а като се добавя hello extension, който да укаже и хоста ( вижте Server Name Indication
    http://tools.ietf.org/html/rfc3546#page-8 разцъкайте нагоре-надолу ще видите и host_name променливата и описанията на hello extension-a)
    След имплементацията на SNI в OpenSSL Апачи бързо го интегрират (версия 2.2.12 някъде може би 2010г).
    Като цяло и на мен не ми е много ясна интеграцията на sni и участието на сървъра в нея.

    Заключние и извод (пак свободно)

    В момента много хостинги лъжат и мажат, просто защото някакви хора са свикнали да вземат едни пари и карат служителите си да мънкат лъжейки. Има дори хостинги, които няма да ви лъжат, направо няма да сложат сертификат, който не е издаден от тях (GoDaddy, hostgator). На тях не им пука, те имат супер голям юзербейс, а и ако 95% от хората са съгласни, тях не ги касаят онези 5%, които са против. В тая игра не са само CA-тата но и хостингите, като по-големите хостинги лапат като сами издават сертификати и ползват само тях, а отделно може да Ви поискат пари и за отделно ip . В случая става въпрос за милиарди, плащани защото хората искат някой да им даде
    гаранция за все пак някаква сигурна връзка. Ето кой лапа парите, а на тоя фон openSSL можеше поне да разполага със средства за достатъчно разработчици и одитори (тук stilgar e много прав). Пожелавам на Firefox Foundation успех в това начинание.

    Ако искате да видите дали ви лъжат, просто проверете дали сървъра на който хоствате поддържа SNI, ако подържа и ви вземат пари за отделно ip значи ви продават нещо, от което нямате нужда.

    apache от 2.2.12 поддържа
    nginx-a не знам версия, но може да се провери мисля със „nginx -V“ гледайте за „SNI enabled“

  21. +o Says:

    Browsers & Servers supports SNI:
    http://en.wikipedia.org/wiki/Server_Name_Indication#Web_browsers.5B6.5D

  22. thd Says:

    То е хубаво всички сайтове да са с SSL , ама смятате ли колко ще скочи товара на машините, от там консумация на енергия и цена на хостинг 🙂

  23. Stilgar Says:

    Има логика това дето +о вика. IIS го поддържа от 8 значи до сравнително скоро Windows хостингите не са го поддържали (и тея дето ползват Windows Server 2008 не го поддържат). Обаче май тея дето са upgrade-нали си карат по инерция.

  24. thd Says:

    Да споделя един бърз и лесен начин, за ползване на encfs криптиране на директория, без излишно и втръсващо писане в конзола всеки път или неудобно GUI :). Примера е за xfce ама аналогично и на другите десктоп среди…:

    Settings, Keyboard, Application Shortcuts,

    Add: xfce4-terminal -e „encfs /home/user/.encrypted /home/user/decrypted“ Ctrl+Shift+D
    Add: xfce4-terminal -e „fusermount -u /home/user/decrypted“ Ctrl+Shift+E

    Пълния път е задължителине, няма да стане с „~/“ или „./“ 🙂

  25. Кирил Says:

    Сега за таблета малко информация:
    Самият таблет: http://jolla.com/tablet/
    Кампанията за събиране на пари за проекта:
    https://www.indiegogo.com/projects/jolla-tablet-world-s-first-crowdsourced-tablet
    Кампанията е събрала нужните пари за няколко дни. Ако искате може да спонсорирате кампанията, но вече са събрали почти милион над това което им е трябвало за да произвеждат таблета.
    На този сайт може да си поръчате таблета. Ако го порътчате сега ще е „на промоция“ за 230 щатски долара – 210 за самият таблет и 20 за транспортни разходи. НО СЕ ОЧАКВА ДА ГО ПОЛУЧИТЕ ЧАК МАЙ, А И МОЖЕ НЕЩО ДА СЕ ОБЪРКА И ПАРТИДАТА ДА СЕ ЗАБАВИ.

Leave a Reply