DiBR
обычная кошмарная
домашняя страничка
Ежекакполучится околокомпьютерное обозрение
 
  <<<  предыдущий23 июля 00 годаследующий  >>>  
   Последний выпуск      Архив      Ссылки      Полезности      humor.filtered      О сайте   
         Наткнулся вот. По ссылке "Palm Pilotы вживляют в кисть руки". Испугался уж, что в самом деле так.Ан нет - на BBSPot.com все новости такие. :-)Как вам:"любители разгона жертвуют бездомным радиаторы","Napster подает в суд на пользователя за плохое качество mp3 файлов","количество дистрибутивов Линукс превысило количество пользователей"(и то правда - кое-кто ведь ставит по нескольку версий рядом и загружаются то в одну, то в другую),"студент задержан за подозрительное использование PHP","Микрософт считает правительство США монополией",и так далее, и тому подобное... похожий сайт - segfault.org, но здесь все равно веселей :-)
         Куулер тут все diablo-II обозревает, а мне ссылку прислали, на www.dungeon.ru.Хоть сам я в игрушки уже не играю, но информации по диабле там однозначно есть. Можете сами проверить.
         Дырка в outlook express. Довольно классическая - buffer overrun.Такие регулярно где-нибудь находят: то поле subject нельзя делать слишком длинным - программа осыплется, тоимя файла, то url... теперь вот - информацию о дате создания сообщения, посылаемую в заголовке письма.Или как вариант - не в заголовке письма (это можно попытаться отловить умным MTA на почтовом сервере),а в завернутом в mime письме в аутлуковом mime-multipart-message. Как обычно - buffer overrun можно использоватьдля выполнения произвольного кода на машине клиента (и, как обычно письмо читать необязательно - достаточно получить с сервера). Опять-таки,как обычно - сегодня баги, завтра фиксы, послезавтра новые баги...
         И хотя на дворе конец 20 века - до сих пор строки хранят в char*, склеивают strcat()и разбирают на кусочки sscanf(). И пока все программисты не перейдут на классы с встроенной проверкойпереполнения и не забудут напрочь про gets() и иже с ними - такое будет, и регулярно.То есть - на ближайшую пятилетку дырами мы будем обеспечены - старые технологии уходятмедленно...
         А всего-то - странная логика канонизированных святых Кернигана и Ритчи, решивших, чтостроки должны храниться как zero-ended цепочка байт (тем самым резко снизив полезностьтакой штуки как "строка" - теперь в строку нельзя положить что угодно, ибо оно обрежетсяпо первому же нулю), а библиотечным функциям не пристало заниматься проверкой выхода за границы массива.А казалось бы - сделать строку не как char*, а как структурку (не класс, упаси боже - не было тогда классов)с int maxlength, int size, char str[maxlength], да заложить проверку в библиотечные функции -и, наверно, половины сегодняшних дыр просто не было бы. М-да.
         ...а журналисты тем временем обсуждают проблему шпионской точки.Той, что <img src= или <iframe src=. И что позволяет вытащить с вашего компьютератакую важную информацию, как (цитирую):IP address of your computer (ага. а в логи веб-сервера слабО посмотреть?),web location of bug (кхм. куда его положили - там и лежит. он же не ползает),web page bug is attached to (см. пункт два. установив жучок, я, вероятно, знаю, куда я его установил, не так ли?),Time the bug was viewed (см. пункт 1),Which browser you are using (да, это важная информация. хотя браузеры почему-то без зазрения совести отдают еев User-Agent: поле http-запроса, даже без всяких жуков),Any cookies already on your computer (any, говорите? ну-ну. не буду говорить "невозможно",но... штатным образом - нельзя, а нештатных, похоже, не предлагается).
         Интересно, средства массовой информации всегда "бесконечно далеки от народа"(с)ВИЛ, илиэто только некоторые?
         Нам пишут:

From:
Subj: Re[2]: По последнему DiBR'у.
Добрый день Dmitry,

Monday, July 17, 2000, 9:54:12 PM, вы писали:

>> А еще мне нравиться как в Виндах побороли "y2k problem" - побороли
>> влоб, оставив проблему 2001 года для того, что лет этак через 90 все
>> опять массово ломанулись за новой версией какой-то Win2080.:)

DR> Н-не понял? В смысле, классическим образом сдвинули "начало мироздания" на
DR> пару десятков лет вперед?

Нет, на сотню. Теперь в Виндах 1980 наступает не после 31декабря1999г
(y2k problem), а после 31декабря2099года, т.е. имеем "y2.1k problem").
Я проверял на 98SE и на NT4SP6, обе страдают. Насчет Win2000 - не
знаю, у меня на машине она не задержалась.. Вот такое, чисто фирменное
решение проблемы Y2K от Майкрософт. :)

>> Кстати, знаете у кого наступит следущая аналогичная проблема - у
>> пользователей Mac'ов. Это будет лет через 11.. Если надо могу
>> уточнить, Mac в соседней комнате стоит, просто облом человека сгонять
>> с раб. места..


DR> Хм. Я-то думал, что ближайшая революция ждет юниксы - в 2037 (или 2038?)
DR> году. А что там на маках, действительно интересно?

Я немного перепутал, но Маки и тут опередил Юниксы, у Маков после 2019
наступает.. 1920. Вот такая катавасия.. :)

[остаток письма безжалостно вырезан by DiBR :-) ]

--
С уважением,
Петр Ильницкий mailto:peter@ata.kiyavia.com


Вот так :-) Ну, при сегодняшних темпах смены программного обеспеченияпро win2000 забудут задолго до наступления 2100 года, а вот с Маками - интересно.Если у юниксов "проблема 2037 года" вызвана объективным недочетом в структуре ufs-подобных файловых систем(в этом году переполняется unixtime), то у маков, похоже, именно задали "от фонаря""границу мироздания", и через двадцать лет... интересно, сохранится ли тогда сегодняшняя версия macos,хотя бы как сохранился кое-где MS-DOS, или вымрет окончательно и будет заменена новой, с встроеннойпроблемой 2050 года?
         http://www.free-soft.org/softwarewar.gif
         Микрософт больше не желаетподдерживать VisualJ++.Типа, если нам мешают вводить свои фичи в java (мол, совместимость теряется, а она, дескать,есть краеугольный камень и всё такое) - то плевать мы хотели на вашу яву.У нас своё есть. Си с решеткойназывается, C# то есть. Кто-нибудь из разбирающихся в музыке - как эта нота (C#) по русски называется? ;-)
         Просто и со вкусом. Чем отличаются следующие url: http://www.paypal.com и http://www.paypaI.com?Видно разницу? Не очень? В первом домене стоит буква "эль маленькая латинская", во втором - "Ай заглавная латинская".В шрифте без засечек - неотличимы, в шрифте с засечками - отличимы с трудом. А теперь о том, к чему бы это.
         Некто зарегистрировал домен paypai.com, и разослал пользователям службы paypal.com письмо с сообщением о"крупной сумме денег", ждущей их на paypal. В письме была ссылка на paypai.com, а посколькуна вид они неотличимы, а ни один разумный человек не будет вбивать url руками когда есть ссылка, в которуюможно кликнуть... остается только собрать пароли на доступ к paypal и, для маскировки, перебросить пользователяна настоящий paypal. Social engineering в действии - можно ожидать чего-то подобногос другими запароленными службами.
         Люблю исследования. Сначала долго выясняют очевидное - что пользователи napsterа покупают (имеется в виду - легально)меньше музыки (очевидно - зачем покупать, когда можно скачать). Потом долго исследуют, и выясняют, чтовсе это не так, и пользователи напстера покупают больше музыки.Ждем исследований, по которым пользователи напстера не покупают музыку вообще, или что все те,кто покупает музыку - пользователь напстера. Или что вся музыка давно принадлежит напстеру,а RIAA давно пора засудить за сдерживание свободы слова. Ой.
         "Покажите американцу место - и он поместит туда рекламу". Может, помним, как Альтавистахотела размещать рекламу в результатах поиска? Какой поднялся шум, как Альтавистазаявила, что все это не совсем так, как пишут в СМИ, и как поискозависимая реклама таки оказалась на альтависте(естественно - эффективность-то выше), но в положенных для этого рекламных местах.
         Повторяемся. На этот раз DejaNews уже размещаетрекламу... в письмах из usenet. Шум, естественно, поднялся (кому приятно, когдав его собственном письме на тему USR-SUXX (к примеру), попавшем на дежаньюс,слово USR окажется залинкованным на сайт USR? Происходит все, впрочем, довольно динамично,и похоже дело идет к тому, что рекламу вытеснят куда-нибудь в сторону от писем. В положенное рекламное место.А если нет - обязательно будет суд о нарушении копирайта автора письма, поскольку обиженный пользователь найдется обязательно.
         И это правильно. Рекламе - рекламная пауза. И ей не место в контенте - иначе это уже пиар :-)
         Патент. На automatic masturbation device.Вот тут - с картинками.Это повеселей будет, чем пресловутый fufme для дистанционного секса :-)
         Похоже, АОЗТ dz.onlineтоже начинает проповедовать принцип "я не обязан читать то, что пишу".Как вам такое: "механизм поисковой машины Scour.com, специализирующейся на поискемультимедийной информации (RA, MP3) и обладающей огромным ресурсом, оказывается, способенссылаться на ресурсы домашних компьютеров тысяч пользователей. Официальные лица заявили,что механизм поиска защищен авторским законодательством и вполне законен, а к публичным ресурсамвполне можно отнести и содержимое ПК, по причине его полной открытости. Представители считают"...
          Значит, "содержимое моего ПК" есть "публичный ресурс" по причине его "открытости"?А кто его, спрашивается, "открыл"? Я не открывал. Если я не открывал, и scour.com не открывал -то ни найти, ни сослаться туда никто не сможет. Если я (пользователь) ресурс открыл (явным образом- поставив сервер, www-сервер, например) - то какие могут быть претензии? Если же я не открывал,а открыла (не спросив меня) софтина, сделанная в scour.com - то "официальные лица"могут заявлять что угодно, а распространение "троянских программ" подпадает под статью. Если же... ну,да ладно. Напстер вон тоже - "открывает содержимое ПК", только предупреждает об этом заранее,и ничего - люди пользуются и нарадоваться не могут.
         Как хотите - я не верю что dz или "редакция" это читали, я уж е говорю про "писали".Так что вот вам и обещанные изменения - dz online уже не совсем авторский проект, а немножконовостная лента...
         А вы в курсе, что "децл" - это не "наш ответ Бивису и Баттхеаду", а вовсе даже"болезнь птиц - хpящеватый наpост на кончике языка".Ожегов, "Словаpь pусского языка", издание 12, стеpеотипное, Москва, "Русскийязык", 1978.
          выловлено в fidonet xsu.useless.faq, автор - Maxim Elkin, 2:5020/979.1






Архив dibr