HuSä :: Zobrazenie témy - IT vseobecny pokec

Citácia:

Nedavno som prichytil Java API, ktora bola nachylna na XML injekcie.

Ktore z tych milionov Java XML API konkretne?

Pracoval som s prehliadacom od Microsoftu napisanym v C++, a ten bol nachylny na vzdialene utoky.

a.k.a. ak nevies okolnosti, resp. tie okolnosti su vagne, tak taketo obvinovanie je fakt wtf.

Lebo v lubovolnej technologii, ktora je nekompetentne pouzivana, je diera.

spakruky stare utoky cez JSON na implementaciu JavaScriptu v browseroch: http://haacked.com/archive/2009/06/25/j ... king.aspx/

On more relevant node: ten JavaScript s collatzom sa stratil?

jj, wakeup call pre MS

alebo pokrytie segmentu, kde MS nie je :_)

To je pravda, ale trochu sa to zacina menit. Pracoval som v par firmach, kde maku sharepointy, activedirectory a vobec komplet MS veci.... a dost casto sa snazia usetrit peniaze prechodom mensich systemov na linux. Taka prva lastovicka.

Samozrejme, ze pre velku firmu je tazke zbavit sa MS bullshitu, lebo vsetci zamestnanci su nan zvyknuty a vsetko je uzko integrovane, cize treba ist pospupne krocik po krociku a po troske setrit financie prechodom na lacnejsie a lepsie alternativy.

Manazeri pocuju na "ked tuna namiesto MS pouzijeme X, usetris Y rocne na licenciach a dalsich vydajoch", len problem je ze casto maju velke firmy uzatvorene dlhorocne kontrakty s MS, na pat ci aj desat rokov (som pocul aj o kontraktoch na 25 rokov, tak to sa velmi tazko potom da zmenit).

Inac, vas oblubeny data warehouse?

Prave pracujem s Netezza warehousom za asi 100 milionov a nejak nie som impressed.

Vadi mi, ze na to, ze je to super paralelny system, stale velmi paralelne SQL dotazy nezvlada.... na to ze tato hracka stala 100 melonov, tak neviem neviem, ci nieco ako Redshift by nebolo 10 krat lacnejsie a skalovatelnejsie.

Autor:	Riso [ Po. 28. Apr 2014, 12:06 ]
Predmet príspevku:	Re: IT vseobecny pokec
alef0 napísal: Citácia: Nedavno som prichytil Java API, ktora bola nachylna na XML injekcie. Ktore z tych milionov Java XML API konkretne? Pracoval som na integracii s ePOS systemami, napisanymi v Jave, a tie boli nachylne na XML injekcie. Neviem, co pouzivaju na parsovanie a validaciu XML, kedze kod som nevidel. Mozno ich len napisali nekompetentni Javisti.

Autor:	alef0 [ Ut. 29. Apr 2014, 1:38 ]
Predmet príspevku:	Re: IT vseobecny pokec
Pracoval som s prehliadacom od Microsoftu napisanym v C++, a ten bol nachylny na vzdialene utoky. a.k.a. ak nevies okolnosti, resp. tie okolnosti su vagne, tak taketo obvinovanie je fakt wtf. Lebo v lubovolnej technologii, ktora je nekompetentne pouzivana, je diera. spakruky stare utoky cez JSON na implementaciu JavaScriptu v browseroch: http://haacked.com/archive/2009/06/25/j ... king.aspx/

Autor:	Riso [ St. 30. Apr 2014, 12:33 ]
Predmet príspevku:	Re: IT vseobecny pokec
alef0 napísal: Pracoval som s prehliadacom od Microsoftu napisanym v C++, a ten bol nachylny na vzdialene utoky. a.k.a. ak nevies okolnosti, resp. tie okolnosti su vagne, tak taketo obvinovanie je fakt wtf. Lebo v lubovolnej technologii, ktora je nekompetentne pouzivana, je diera. spakruky stare utoky cez JSON na implementaciu JavaScriptu v browseroch: http://haacked.com/archive/2009/06/25/j ... king.aspx/ S tym C++ si dal uder do vzduchu. Ja som len vravel, ze XML je zo svojej podstaty nebezpecnejsie ako JSON a nedoporucujem ho pouzivat, ak sa bez neho zaobides. Je to fakt, kedze XML ma features, ktore dovoluju nacitat subory z disku napriklad (entity), co v JSON nie je fakticky mozne. Dalej komplexna syntax XML je tiez ovela nebezpecnejsia a napisanie parseru pre XML je N krat zlozitejsie ako napisanie parseru pre JSON, cize statisticky tam bude viac bezpecnostnych dier. A tak dalej. Jednoduchost a mocne restriktivna syntax (naproti XML, ktoreho syntax je prakticky bez restrikcii) JSON formatu znamena, ze je mensie riziko bezpecnostnych dier pocas parsovania. Z tym JSON ok, ale sprav si rychly Google search, ze ci XML alebo JSON su castejsie spajane s bezpecnostnymi problemami. Riso 2 : Alef 0

Autor:	alef0 [ St. 30. Apr 2014, 13:24 ]
Predmet príspevku:	Re: IT vseobecny pokec
XML nie je samo o sebe nebezpecne, nebezpecne su mozno tak parsery. Vid napriklad JSON security exploit v RoR: https://bugs.debian.org/cgi-bin/bugrepo ... bug=699226. Ale pedpokladam v teame sudneho architekta, ktory pouzije overene a existujuce riesenie, ktore bugy nema alebo ak ma, tak sa snazi ich rychlo eliminovat. Tak ako predpokladam, ze pri praci s JSONom nepouzival eval(), kde by to viedlo k analogickemu tvrdeniu. Dalej predpokladam, ze rozumne postavena sluzba z definicie neveri datam od klienta a napr. ma postaveneho uteseneho klienta (opat nad korektne napisanym parserom, btw v Jave je chalan, ktory ti to zvaliduje. Skus aj ty nejake linky, ja som uz dal dva. Citácia: Riso 2 : Alef 0 ========= On more relevant node: ten JavaScript s collatzom sa stratil?

Autor:	Riso [ St. 30. Apr 2014, 18:07 ]
Predmet príspevku:	Re: IT vseobecny pokec
Citácia: On more relevant node: ten JavaScript s collatzom sa stratil? Nemam cas na zbyt momentalne, nie som akademik

HuSä http://annun.sk/

IT vseobecny pokec http://annun.sk/viewtopic.php?f=69&t=8469	Stránka 5 z 6

Autor:	alef0 [ Št. 01. Máj 2014, 15:35 ]
Predmet príspevku:	Re: IT vseobecny pokec
Nadobudol som dojem, ze ta ulohe je v JavaScripte na 10 minut. Z coho nevyplyvaju kadejake pozitivne dosledky. Dobre, tak aspon tie linky k security? Alefova gegentrollige teorema: Cas venovany argumentom v diskusii je nepriamo umerny ich pozadovanemu poctu.

Autor:	Riso [ Pi. 18. Júl 2014, 12:54 ]
Predmet príspevku:	Re: IT vseobecny pokec
Co vravite na dohodu IBM s Apple? Je to big deal alebo nie?

Autor:	alef0 [ St. 23. Júl 2014, 14:58 ]
Predmet príspevku:	Re: IT vseobecny pokec
aku?

Autor:	axxis [ Št. 24. Júl 2014, 18:01 ]
Predmet príspevku:	Re: IT vseobecny pokec
alef0 napísal: aku? Ze budu spolu robit mobilne zariadenia. Applu sa totiz nepaci, ze maju image vyrobcu zariadeni pre hipsterov a blondiny tak chcu od IBM aby im zacala robit "firemne" aplikacie aby mohli konkurovat MS. plus IBM a ich bazilion patentov rocne vyusti v este viac patentovych sporov ako je teraz

Autor:	alef0 [ Pi. 25. Júl 2014, 10:46 ]
Predmet príspevku:	Re: IT vseobecny pokec
jj, wakeup call pre MS alebo pokrytie segmentu, kde MS nie je :_)

Autor:	axxis [ Pi. 25. Júl 2014, 23:35 ]
Predmet príspevku:	Re: IT vseobecny pokec
alef0 napísal: jj, wakeup call pre MS alebo pokrytie segmentu, kde MS nie je :_) Praveze pokrytie segmentu kde MS je. Tam kde nie je to maju pokryte az az.

Autor:	alef0 [ So. 26. Júl 2014, 12:55 ]
Predmet príspevku:	Re: IT vseobecny pokec
mozno malo poznam firmy, ale akonahle je niekde zalezeny MS so svojou infrastrukturou (sharepointy, servery, activedirectory), tak vyhnat odtial je ich dost narocne. priestor by som videl skor tam, kde je napr. ibmka, a linuxy a podobne riesenia, kde koncove aplikacie budu ten zlomovy bod presviedcania pre nerozhodnych ci novych zakaznikov

Autor:	Riso [ Pi. 29. Aug 2014, 11:31 ]
Predmet príspevku:	Re: IT vseobecny pokec
To je pravda, ale trochu sa to zacina menit. Pracoval som v par firmach, kde maku sharepointy, activedirectory a vobec komplet MS veci.... a dost casto sa snazia usetrit peniaze prechodom mensich systemov na linux. Taka prva lastovicka. Samozrejme, ze pre velku firmu je tazke zbavit sa MS bullshitu, lebo vsetci zamestnanci su nan zvyknuty a vsetko je uzko integrovane, cize treba ist pospupne krocik po krociku a po troske setrit financie prechodom na lacnejsie a lepsie alternativy. Manazeri pocuju na "ked tuna namiesto MS pouzijeme X, usetris Y rocne na licenciach a dalsich vydajoch", len problem je ze casto maju velke firmy uzatvorene dlhorocne kontrakty s MS, na pat ci aj desat rokov (som pocul aj o kontraktoch na 25 rokov, tak to sa velmi tazko potom da zmenit).

Autor:	Riso [ Pi. 29. Aug 2014, 11:35 ]
Predmet príspevku:	Re: IT vseobecny pokec
Inac, vas oblubeny data warehouse? Prave pracujem s Netezza warehousom za asi 100 milionov a nejak nie som impressed. Vadi mi, ze na to, ze je to super paralelny system, stale velmi paralelne SQL dotazy nezvlada.... na to ze tato hracka stala 100 melonov, tak neviem neviem, ci nieco ako Redshift by nebolo 10 krat lacnejsie a skalovatelnejsie.

Stránka 5 z 6	Všetky časy sú v UTC + 1 hodina [ letný čas ]
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/

Autor:	axxis [ Po. 01. Sep 2014, 18:14 ]
Predmet príspevku:	Re: IT vseobecny pokec
Riso napísal: To je pravda, ale trochu sa to zacina menit. Pracoval som v par firmach, kde maku sharepointy, activedirectory a vobec komplet MS veci.... a dost casto sa snazia usetrit peniaze prechodom mensich systemov na linux. Taka prva lastovicka. Samozrejme, ze pre velku firmu je tazke zbavit sa MS bullshitu, lebo vsetci zamestnanci su nan zvyknuty a vsetko je uzko integrovane, cize treba ist pospupne krocik po krociku a po troske setrit financie prechodom na lacnejsie a lepsie alternativy. Manazeri pocuju na "ked tuna namiesto MS pouzijeme X, usetris Y rocne na licenciach a dalsich vydajoch", len problem je ze casto maju velke firmy uzatvorene dlhorocne kontrakty s MS, na pat ci aj desat rokov (som pocul aj o kontraktoch na 25 rokov, tak to sa velmi tazko potom da zmenit). Najvacsi IT odbornik fora strikes back. A ako vzdy su jeho tvrdenia podlozene mnohymi realnymi prikladmi ako "robil som v par firmax" http://www.zdnet.com/after-a-10-year-li ... 000032714/ a keby si trochu sledoval dianie tak by si videl ako na Slovensku dopadli s pristupom: Ideme 50 rocne uradnicky naucit open office miesto wordu. usetrim Ti hladania a rovno poviem, ze to nedopadlo slavne. Riso napísal: Inac, vas oblubeny data warehouse? Prave pracujem s Netezza warehousom za asi 100 milionov a nejak nie som impressed. Vadi mi, ze na to, ze je to super paralelny system, stale velmi paralelne SQL dotazy nezvlada.... na to ze tato hracka stala 100 melonov, tak neviem neviem, ci nieco ako Redshift by nebolo 10 krat lacnejsie a skalovatelnejsie. Vypracuj pripadovku. presvedc management, ze usetria 90mega. Rozbehaj to na Linuxe tak usetria 95 mega zo 100. Stanes sa zamestnancom mesiaca.