HuSä

Najzelenšie fóra slovenského Internetu.

Všetky časy sú v UTC + 1 hodina [ letný čas ]




Vytvoriť novú tému Odpovedať na tému  [ Počet príspevkov: 84 ]  Prejsť na stránku Predchádzajúca  1, 2, 3, 4, 5, 6  Ďalšia
Autor Správa

Legenda
Obrázok používateľa

Založený: 29.11.2004
Príspevky: 1094
Body: 77

Neprítomný
Odpoveď s citáciou
alef0 napísal:
Citácia:
Nedavno som prichytil Java API, ktora bola nachylna na XML injekcie.

Ktore z tych milionov Java XML API konkretne?


Pracoval som na integracii s ePOS systemami, napisanymi v Jave, a tie boli nachylne na XML injekcie. Neviem, co pouzivaju na parsovanie a validaciu XML, kedze kod som nevidel. Mozno ich len napisali nekompetentni Javisti.


Hore
 Profil  

röndör
Obrázok používateľa

Založený: 21.07.2004
Príspevky: 15684
Body: 306
Pohlavie: Muž

Neprítomný
Odpoveď s citáciou
Pracoval som s prehliadacom od Microsoftu napisanym v C++, a ten bol nachylny na vzdialene utoky.

a.k.a. ak nevies okolnosti, resp. tie okolnosti su vagne, tak taketo obvinovanie je fakt wtf.

Lebo v lubovolnej technologii, ktora je nekompetentne pouzivana, je diera.

spakruky stare utoky cez JSON na implementaciu JavaScriptu v browseroch: http://haacked.com/archive/2009/06/25/j ... king.aspx/

_________________
Light hand of Empelol.


Hore
 Profil ICQ  

Legenda
Obrázok používateľa

Založený: 29.11.2004
Príspevky: 1094
Body: 77

Neprítomný
Odpoveď s citáciou
alef0 napísal:
Pracoval som s prehliadacom od Microsoftu napisanym v C++, a ten bol nachylny na vzdialene utoky.

a.k.a. ak nevies okolnosti, resp. tie okolnosti su vagne, tak taketo obvinovanie je fakt wtf.

Lebo v lubovolnej technologii, ktora je nekompetentne pouzivana, je diera.

spakruky stare utoky cez JSON na implementaciu JavaScriptu v browseroch: http://haacked.com/archive/2009/06/25/j ... king.aspx/


S tym C++ si dal uder do vzduchu.

Ja som len vravel, ze XML je zo svojej podstaty nebezpecnejsie ako JSON a nedoporucujem ho pouzivat, ak sa bez neho zaobides. Je to fakt, kedze XML ma features, ktore dovoluju nacitat subory z disku napriklad (entity), co v JSON nie je fakticky mozne. Dalej komplexna syntax XML je tiez ovela nebezpecnejsia a napisanie parseru pre XML je N krat zlozitejsie ako napisanie parseru pre JSON, cize statisticky tam bude viac bezpecnostnych dier. A tak dalej.

Jednoduchost a mocne restriktivna syntax (naproti XML, ktoreho syntax je prakticky bez restrikcii) JSON formatu znamena, ze je mensie riziko bezpecnostnych dier pocas parsovania.

Z tym JSON ok, ale sprav si rychly Google search, ze ci XML alebo JSON su castejsie spajane s bezpecnostnymi problemami.

Riso 2 : Alef 0


Hore
 Profil  

röndör
Obrázok používateľa

Založený: 21.07.2004
Príspevky: 15684
Body: 306
Pohlavie: Muž

Neprítomný
Odpoveď s citáciou
XML nie je samo o sebe nebezpecne, nebezpecne su mozno tak parsery.

Vid napriklad JSON security exploit v RoR: https://bugs.debian.org/cgi-bin/bugrepo ... bug=699226.

Ale pedpokladam v teame sudneho architekta, ktory pouzije overene a existujuce riesenie, ktore bugy nema alebo ak ma, tak sa snazi ich rychlo eliminovat.

Tak ako predpokladam, ze pri praci s JSONom nepouzival eval(), kde by to viedlo k analogickemu tvrdeniu. Dalej predpokladam, ze rozumne postavena sluzba z definicie neveri datam od klienta a napr. ma postaveneho uteseneho klienta (opat nad korektne napisanym parserom, btw v Jave je chalan, ktory ti to zvaliduje.

Skus aj ty nejake linky, ja som uz dal dva.

Citácia:
Riso 2 : Alef 0

:doh:

=========
On more relevant node: ten JavaScript s collatzom sa stratil?

_________________
Light hand of Empelol.


Hore
 Profil ICQ  

Legenda
Obrázok používateľa

Založený: 29.11.2004
Príspevky: 1094
Body: 77

Neprítomný
Odpoveď s citáciou
Citácia:
On more relevant node: ten JavaScript s collatzom sa stratil?


Nemam cas na zbyt momentalne, nie som akademik ;)


Hore
 Profil  

röndör
Obrázok používateľa

Založený: 21.07.2004
Príspevky: 15684
Body: 306
Pohlavie: Muž

Neprítomný
Odpoveď s citáciou
Nadobudol som dojem, ze ta ulohe je v JavaScripte na 10 minut. Z coho nevyplyvaju kadejake pozitivne dosledky.

Dobre, tak aspon tie linky k security?

Alefova gegentrollige teorema:
Cas venovany argumentom v diskusii je nepriamo umerny ich pozadovanemu poctu.

_________________
Light hand of Empelol.


Hore
 Profil ICQ  

Legenda
Obrázok používateľa

Založený: 29.11.2004
Príspevky: 1094
Body: 77

Neprítomný
Odpoveď s citáciou
Co vravite na dohodu IBM s Apple? Je to big deal alebo nie?


Hore
 Profil  

röndör
Obrázok používateľa

Založený: 21.07.2004
Príspevky: 15684
Body: 306
Pohlavie: Muž

Neprítomný
Odpoveď s citáciou
aku?

_________________
Light hand of Empelol.


Hore
 Profil ICQ  

tuláčka po hviezdach
Obrázok používateľa

Založený: 07.12.2006
Príspevky: 2299
Body: 117
Bydlisko: Spálene mlyny
Pohlavie: Žena

Neprítomný
Odpoveď s citáciou
alef0 napísal:
aku?
Ze budu spolu robit mobilne zariadenia. Applu sa totiz nepaci, ze maju image vyrobcu zariadeni pre hipsterov a blondiny tak chcu od IBM aby im zacala robit "firemne" aplikacie aby mohli konkurovat MS.


plus IBM a ich bazilion patentov rocne vyusti v este viac patentovych sporov ako je teraz

_________________
Obrázok


Hore
 Profil ICQ  

röndör
Obrázok používateľa

Založený: 21.07.2004
Príspevky: 15684
Body: 306
Pohlavie: Muž

Neprítomný
Odpoveď s citáciou
jj, wakeup call pre MS

alebo pokrytie segmentu, kde MS nie je :_)

_________________
Light hand of Empelol.


Hore
 Profil ICQ  

tuláčka po hviezdach
Obrázok používateľa

Založený: 07.12.2006
Príspevky: 2299
Body: 117
Bydlisko: Spálene mlyny
Pohlavie: Žena

Neprítomný
Odpoveď s citáciou
alef0 napísal:
jj, wakeup call pre MS

alebo pokrytie segmentu, kde MS nie je :_)
Praveze pokrytie segmentu kde MS je. Tam kde nie je to maju pokryte az az.

_________________
Obrázok


Hore
 Profil ICQ  

röndör
Obrázok používateľa

Založený: 21.07.2004
Príspevky: 15684
Body: 306
Pohlavie: Muž

Neprítomný
Odpoveď s citáciou
mozno malo poznam firmy, ale akonahle je niekde zalezeny MS so svojou infrastrukturou (sharepointy, servery, activedirectory), tak vyhnat odtial je ich dost narocne.

priestor by som videl skor tam, kde je napr. ibmka, a linuxy a podobne riesenia, kde koncove aplikacie budu ten zlomovy bod presviedcania pre nerozhodnych ci novych zakaznikov

_________________
Light hand of Empelol.


Hore
 Profil ICQ  

Legenda
Obrázok používateľa

Založený: 29.11.2004
Príspevky: 1094
Body: 77

Neprítomný
Odpoveď s citáciou
To je pravda, ale trochu sa to zacina menit. Pracoval som v par firmach, kde maku sharepointy, activedirectory a vobec komplet MS veci.... a dost casto sa snazia usetrit peniaze prechodom mensich systemov na linux. Taka prva lastovicka.

Samozrejme, ze pre velku firmu je tazke zbavit sa MS bullshitu, lebo vsetci zamestnanci su nan zvyknuty a vsetko je uzko integrovane, cize treba ist pospupne krocik po krociku a po troske setrit financie prechodom na lacnejsie a lepsie alternativy.

Manazeri pocuju na "ked tuna namiesto MS pouzijeme X, usetris Y rocne na licenciach a dalsich vydajoch", len problem je ze casto maju velke firmy uzatvorene dlhorocne kontrakty s MS, na pat ci aj desat rokov (som pocul aj o kontraktoch na 25 rokov, tak to sa velmi tazko potom da zmenit).


Hore
 Profil  

Legenda
Obrázok používateľa

Založený: 29.11.2004
Príspevky: 1094
Body: 77

Neprítomný
Odpoveď s citáciou
Inac, vas oblubeny data warehouse?

Prave pracujem s Netezza warehousom za asi 100 milionov a nejak nie som impressed.

Vadi mi, ze na to, ze je to super paralelny system, stale velmi paralelne SQL dotazy nezvlada.... na to ze tato hracka stala 100 melonov, tak neviem neviem, ci nieco ako Redshift by nebolo 10 krat lacnejsie a skalovatelnejsie.


Hore
 Profil  

tuláčka po hviezdach
Obrázok používateľa

Založený: 07.12.2006
Príspevky: 2299
Body: 117
Bydlisko: Spálene mlyny
Pohlavie: Žena

Neprítomný
Odpoveď s citáciou
Riso napísal:
To je pravda, ale trochu sa to zacina menit. Pracoval som v par firmach, kde maku sharepointy, activedirectory a vobec komplet MS veci.... a dost casto sa snazia usetrit peniaze prechodom mensich systemov na linux. Taka prva lastovicka.

Samozrejme, ze pre velku firmu je tazke zbavit sa MS bullshitu, lebo vsetci zamestnanci su nan zvyknuty a vsetko je uzko integrovane, cize treba ist pospupne krocik po krociku a po troske setrit financie prechodom na lacnejsie a lepsie alternativy.

Manazeri pocuju na "ked tuna namiesto MS pouzijeme X, usetris Y rocne na licenciach a dalsich vydajoch", len problem je ze casto maju velke firmy uzatvorene dlhorocne kontrakty s MS, na pat ci aj desat rokov (som pocul aj o kontraktoch na 25 rokov, tak to sa velmi tazko potom da zmenit).
Najvacsi IT odbornik fora strikes back. A ako vzdy su jeho tvrdenia podlozene mnohymi realnymi prikladmi ako "robil som v par firmax"

http://www.zdnet.com/after-a-10-year-li ... 000032714/
a keby si trochu sledoval dianie tak by si videl ako na Slovensku dopadli s pristupom: Ideme 50 rocne uradnicky naucit open office miesto wordu. usetrim Ti hladania a rovno poviem, ze to nedopadlo slavne.

Riso napísal:
Inac, vas oblubeny data warehouse?

Prave pracujem s Netezza warehousom za asi 100 milionov a nejak nie som impressed.

Vadi mi, ze na to, ze je to super paralelny system, stale velmi paralelne SQL dotazy nezvlada.... na to ze tato hracka stala 100 melonov, tak neviem neviem, ci nieco ako Redshift by nebolo 10 krat lacnejsie a skalovatelnejsie.
Vypracuj pripadovku. presvedc management, ze usetria 90mega. Rozbehaj to na Linuxe tak usetria 95 mega zo 100. Stanes sa zamestnancom mesiaca.

_________________
Obrázok


Hore
 Profil ICQ  
Zobraziť príspevky za obdobie posledných:  Usporiadať podľa  
Vytvoriť novú tému Odpovedať na tému  [ Počet príspevkov: 84 ]  Prejsť na stránku Predchádzajúca  1, 2, 3, 4, 5, 6  Ďalšia

Všetky časy sú v UTC + 1 hodina [ letný čas ]


Kto je prítomný

Ľudia sediaci pri tomto stole: Žiadny registrovaný používateľ a 2 hostí.


Nemôžete zakladať nové témy pri tomto stole
Nemôžete odpovedať na témy pri tomto stole
Nemôžete upravovať svoje príspevky pri tomto stole
Nemôžete mazať svoje príspevky pri tomto stole

Hľadať:
Skočiť na:  
cron
Little spaceships
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Karma MOD © 2007, 2009 m157y, modifications © 2010 Annun