Vaidas Žilionis Internetas, technologijos, programavimas…

Kai kurie mėgsta Operą, o ją galima gauti ją for free, ta prasme be bamerių. O tai leidžia padaryti Operos 10 metu gimtadienis, tereikia užsukti adresu: http://my.opera.com/community/party/reg.dml

Paskubėkite kol dar veikia :P

Beskaitant rytinę rss naujienų dozę radau vieną įrašą “Web Application Security Reviews” patiko keletas tesisingų minčių. Štai ir jums paskaityti orginalia kalba

1. All important work processes must include a maker and a checker. In other words, if i make an important request (the maker), then someone else must check and authorize (the checker).
2. All transactions must store an unique ID, parties who were active in the transaction, the data that was changed (before and after) and a timestamp.
3. All database passwords used in PHP/ASP must be encrypted.
4. Tripwire (to detect files that have been modified) must be installed if the web app is open to the Internet.
5. Database connection (and password decryption) must be made through DLL or compiled script.
6. The password key should not be stored in clear text in the compiled code, but obfusticated or split into multiple parts.
7. Users must change passwords on first login.
8. All database passwords must be encrypted using the bank’s favorite algorithm (eg. SHA-1, 3DES, AES, etc).
9. All user passwords must be encrypted using the bank’s favorite algorithm (eg. SHA-1, 3DES, AES, etc).
10. Users are locked out after X failed attempts. An exception is made for the main administrator.
11. Users can be barred from logging in.
12. All critical passwords of powerful accounts have to be split and held by 2 people.
13. All passwords must be a mix of alpha and numeric, and of a configurable minimum length.
14. Passwords must be changed every X days, typically 30-90 days.
15. Passwords cannot be repeated X times; the highest value i have seen is 24.
16. Passwords must not begin with the first X characters of user id.
17. Session keys must be regenerated on every login [use regenerate_session_id()]. In one case, the audit team used a http proxy server to confirm this and the next item.
18. Cookies must not hold important information, eg. only the session id and similar info.
19. Cross-site scripting was tested. The same audit team entered <script>alert(‘attack’)</script> in a sampling of our input fields.
20. Reports such as “accounts dormant for more than X days”, “login attempts and failures”, “user access matrix” have to be available.
21. File permissions are also audited and limited.
22. No service nor job is allowed to run with superuser rights.
23. Session timouts are configurable, and browser must logoff the user after timeout (this has to be done with Javascript as PHP sessions are not removed immediately)
24. Administrator can force a user to logout remotely (this means giving a UI for manually deleting the session records stored in the database)

Šaltinis PHPLens.com

Įdomu keliomis išjų laikomės mes ?

Heh atgaivinau pagaliau savo moblog’ą. Buvo nutrūkęs dėl labai paprastos priežasties. Perkraustėm el. pašto serveriuką į kitą serverį negu mano svetainė sėdi, tad netekau galimybės mobloginti. Tuomet naujas nuotraukas siųsdavau el. paštu kaip prielipas.

Ne per seniausiai gryžome su savo ESC (www.esc.rodiklis.lt) kolektyvu iš savaitgalio iškylos. Prigaminom daug nuotraukėlių ir pan. Teko sumastyti kokią čia galeriją sumetus, kad savi persižiūrėtų vaizdelius. Visai nebloga buvo Gallery 2 sistema (http://gallery.sf.net/).  Beinstaliuojant “atradau” naują dalyką, pasirodo vienas iš galimų modulių yra “Nokia Imager Upload Server API” kažkoks moduliukas. Net įdomu pasidarė, kas tai per velnias. Pagooglinau truputį susiradau kažką panašaus į info. Parašytą programėlę, nors labai norėjau susirasti API apraštymą. Tiekto, pažiūrėjas maždaug kaip pagaminta (nes reikėjo su “API” susipažinti)  pasigaminau savo.

Nors tiesa sakant niekam tie moblog neįdomus, nebent moblogintu kokia fainulka mergička… :)

Vakar vakare, guliu išvertęs pilvą žiūrių TV, Na ką atėjo reklamos eilė… Žiūriu kažkokia nematyta nauja reklama, įdomiai pastatyta ir t.t. Galvojau kokį TV ar kinoteatra reklamuos… Ogi omnitel sako “Naujos kartos mobilus internetas jau greitai” ir pasirodo užsklanda 3G

Kaip ir kiekvieną mėnesš išėjo PHP architekto žurnaliukas.

Ką galima rasti naujo?

• Input filtering – na ką dar viena saugumo pamokėlė
• AJAX pristatymas su JSPAN biblioteka
• Licenzijos. Gan neblogas straipsniukas
• Apie projektus ir PEAR 1.4.0
• Pristatoma programėlė PHP runner
• Saugumo temelė apie Shared Hosting
• ir pan…

Google pristate naują paslaugą Google Talk (beta).

Turbūt to ir reikėjo tikėtis, kad Google išleis ką nors panašaus, juk dar vis yra gandų apie kažkokią naršyklę. Šis klientas gali ne tik siųsti žinutes, bet ir kalbėtis tarpusavyje. Sistema naudoja  Jabber (http://www.jabber.org) technologiją.

Sistema grynai susieta su Gmail vartotojais, tad jei neturi Gmail vartotojo, neteks galimybės ir naudoti šiuo messengeriu. Tad jei neturi Gmail vartotojo prašyk kolegų kvietimo… Heh… turbūt nepatogu ania?

Kas blogiausia tai panašėja jau į monopoliją. Turbūt suinstaliavus reikės jį greit ištrinti, nebent pridėtų galimybę naudoti ir ICQ ir MSN tinklus :)

Kas nori patestuoti keliaukite adresu http://www.google.com/talk/ 

Sveiki,

gal yra žaidimų mėgėjų kaip ir aš kurie norėtų įsigyti World of Warcraft acountą ir orginalius CD. Dėl kainos susitarsim, tiesa reikės jums patiems susimokėti mėnesinį mokestį, nes jis pasibaigęs. Jei kas susidomėjo gali su manimi kontaktuoti . Veiksmas Kaune.