11 марта 01 года

11 марта 01 года

          Дежурное блюдо... или хватит? А, ладно.
          Постная говядина (типа вырезка) мелко режется. Забрасывается в "казан" (чугунная толстостенная хрень с крышкой) или просто глубокую сковородку. См. также примечание 1. Чистится лук (репчатый), кое-как рубится на куски, забрасывается туда же. Соль, сахар (раза так в три больше чем соли), перец черный молотый, перец красный молотый, перец чили (не фигня за три рубля пакетик под названием перец красный "чили", представляющая собой мелко помолотый красный перец, а именно перец Чили. Он темно-темно-красный, почти черный, с характерным запахом, и не такой острый как обычный красный перец. Кстати, "соус чили" и "кетчуп чили" к перцу Чили тоже имеют слабое отношение). Если есть - пара "гвоздиков" сухой гвоздики. Сверху выливается какой-нибудь плотный кетчуп (я обычно использую "татарский" от Балтимора, а еще я обычно пользуюсь случаем и промываю водичкой остатки кетчупа из батареи "почти кончившихся" бутылок кетчупа). Подливается немного растительного масла (для лучшей "экстракции и последующей абсорбции"), опционально бросается брикет сливочного масла - для мягкости. А еще лучше - бросается большой брикет сливочного масла, а растительного вообще не надо. :-) Заливается избытком воды, ставится на огонь, после закипания перемешивается, а огонь убавляется до минимума. Прикрывается крышкой, тушится до "легкой подгорелости", то есть, до хорошего такого загустевания.
          Гарнир. Основной и простейший - макароны. Готовить согласно инструкции на упаковке. Неплохо идет картофельное пюре или рис. С макаронами или рисом - перемешать и съесть, с пюре - не перемешивать, но все равно съесть. Приятного аппетита.
          Примечание 1: есть "микроволновый" вариант этой штуки. Все то же самое, но загружается в стеклянную бадью и готовится в микроволновке. После готовности засыпается рис, доливается вода (1ст. воды на 1 ст. риса), тщательно перемешивается и готовится еще минут 10-15. После чего последний раз перемешивается и употребляется.
          Примечание 2: для тех, кто чувствует себя не готовым к приготовлению столь сложного блюда - можно размяться рецептом сэндвича [http://www.brunching.com/features/idiotsandwich.html].

Нам пишут - про русскоязычные домены. В принципе, понятно и предсказуемо...

From: Pavel A Zavyalov
Subj: OKDS: Русские домены.

[skipped by DiBR]

На networksolutions.com есть faq по этому поводу, из которого можно догадаться, как эта пакость работает.
http://global.networksolutions.com/en_US/help/multi-lingual-learnmore.jhtml;jsessionid=33MZMZ4QMHRTTWFI3EFCFGI#name4 [http://global.networksolutions.com/en_US/help/multi-lingual-learnmore.jhtml;jsessionid=33MZMZ4QMHRTTWFI3EFCFGI#name4]
Я сделал следующие выводы:
1. Эта хрень саппортится браузером. (!!!)
2. Браузер конверит имя не дружащее с RFC в хитрый формат, называемый RACE (или похоже). Это всего-навсего аналог quoted-printabe. Именно такое доменнои имя и регистрится, именно оно же ресолвится и работает в соответсвии с RFC. Вот такая правда лежит внутри этого замечательного marketingbullshit. Разумеется, почта на этих доменах не работает.
3. На мой вкус, это чистый шантаж и вымогательство, кстати RBC уже получил почти рекламную статью в "Коммерсанте", уверен, по этому поводу будет еще немерянно PR.

Удачи,
Павел

          Ну, в-общем понятно. Революции в интернет-технологиях не будет, и вообще - с точки зрения именно интернета не изменится вообще ничего - просто появятся хитрые имена, выглядящие как "set of numbers, letters and dashes". И ничего более. Браузер это будет поддерживать (то есть, транслитерировать запрос при разборке строки с URL), или ОС клиента - не слишком принципиально, возможно, имеет смысл в перспективе взвалить это на ОС (сразу всякие ping и nslookup заработают), но и от браузера поддержка потребуется (скажем, для "транслитерации" get-запроса к прокси - прокси-то не обязаны всякую новомодную фигню поддерживать, а при формировании строки запроса к прокси никаких DNS'ов и прочих сетевых системных вещей не используется). В-общем, NN7, IE6 и какая-там-следующая opera :-)
          Далее. Маркетниг маркетингом, но "пройти" это новшество должно довольно гладко. Особено если веб-мастера озаботятся "обратной совместимостью" - не будут делать напрямую ссылки на "русскоязычные" URL, а делая ссылки на RFC-совместимый "транслит". А браузер, опознав RACE-converted domain, покажет пользователю национально-локализованный URL. Тогда вообще всё останется по старому, только URL станут трудночитаемыми человеком, зато удобнопоказываемыми ("легкоусваиваевымыми") новыми браузерами.
          И кстати - почту на таких доменах делать можно! Проблема та же - клиент, отправляя письмо должен преобразовать user@имя.ru в user@-ка-ка-я-то-хр-ен-ь-.ru и отдать серверу, а получая - преобразовать обратно. При этом "старый" клиент не сможет простым образом создать письмо на "русский" адрес, но сможет корректно ответить на такое письмо, добавить в адресную книгу, и вообще - нормально жить и работать.
          В конце концов, то, что показывается на экране у клиента может выглядеть как угодно. Скажем, в ТеХ-овых шрифтах есть "лигатуры" ff, fl и некоторые другие - то есть, комбинация ff и fl показывается отдельным, специально разработанным символом, а не буковками "f", "f" и "l". А дальше уж... может, у меня в системе (браузере) есть лигатура, показывающая "http://" как маленький синенький шарик с буковкой "е"? (c)кто-то из RU.OS.CMP. Или, скажем, пусть у меня есть лигатуры для кодов вида %ab - тоже ведь, стандарт не нарушается - на сервер идет %ab, а на экране - русские буковки. :-) Они, конечно, не лигатуры на самом деле (поскольку отрабатываются браузером а не рендерером шрифта), но какая, на самом деле, разница?
          Здесь, если я правильно понял, будет очень похоже. Так что, если абстрагироваться от того, что на самом деле это будет менее удобно (.ru/.com все равно придется набирать латиницей, а значит - лишнее движение переключалкой раскладки), идея не так уж плоха, как кажется на первый взгляд.
          MSIE, начиная с какой-то версии, пытается показывать %xx коды в статусной строке (не в строке "адрес"!) в уже "расшифрованном" виде. Если бы у него это еще и получалось (он почему-то использует western europe чарсет, со всеми вытекающими) - было бы еще и удобно. А так, как минимум, стандартно :-)

          О безопасности. :-) Вот, скажем, есть я. И есть у меня компьютер (назовем его "А"), подключенный к инету. И я хочу просканировать некую машинку ("Б"), стоящую в достаточно серьезной организации. Запускаю я сканер, сканирую. Далее администратор сети, в которой стоит "Б", пишет жалобу провайдеру, и провайдер меня того. Долго имеет в разных позах.
          Допустим, провайдер хороший, и в позах меня иметь не хочет. Тогда админ "Б" пишет заявление в отдел "Р" наших доблестных органов, отдает туда свои логи, отделение "Р" стрясает логи с моего провайдера. Если логов нету - я виноват, и строем иду в суд. Если логи есть - в них наличествуют исходящие пакеты на машину "Б", и я иду в суд еще более плотным строем. Что не есть хорошо.
          Ладно. Тогда я беру машину "В", тоже подключенную к сети. Могу их даже связать независимой от инета веревочкой (а могу и зависимой - через vpn например, но это уже будет подозрительно). Пишу спец. софт, который. Отправляет пакеты с машины "В" на машину "Б", подделывая адрес машины "А". Машина "Б" отвечает, я на машине "А" ловлю ответ и перенаправляю его на машину "В", где анализирую. Или анализирую прямо на "А" - не суть важно. Далее... далее админ "Б" жалуется провайдеру (или в "Р"), провайдер поднимает логи, а в логах - опаньки. То сеть, ответы есть (но это ничего не значит), а вот "корпуса деликти" в виде запросов - нету. Единственный вывод - хозяина "А" кто-то пытался подставить, посылая запросы от его имени. Кто? А фиг знает - это уже выяснить немного проблематично, учитывая, что "В" может быть в каком-нибудь Западном Упгутстане. И мы имеем безопасное (для нас) сканирование чего хотим.
          Q: а почему сразу не сканировать с машины "В"?
          A: а потому, что тогда "попалят" машину "В", а тебя, в лучшем случае, больше туда не пустят. Разве мы этого хотим?
          Q: а почему нежелательно vpn?
          A: а зачем оставлять в логах своего провайдера ip машины "В" в каком бы то ни было виде? Могут ведь заметить - и раскрутить...
          Можно даже провести полноценную ip-сессию, а до кучи - симулировать "Митнико-Шимомурский" ip spoofing с предварительным приведением "третьей" (своей же!) машины в кататоническое состояние путем syn-flood - тогда, конечно, выглядеть это будет в высшей степени подозрительно (ip spoofing вообще-то на современных реализациях tcp/ip как бы немного затруднен), но прикопаться будет довольно сложно.

          Нашел на Спектаторе [http://spectator.ru]. Как ломать hotbox.ru :-)
          Кто хочет, так сказать, "в подлиннике" - вам сюда [http://detail.phpclub.net/technique/01-03-06/] (не бойтесь, это по русски), и на хакзоне [http://www.hackzone.ru/articles/frame.cgi?http://www.hackzone.ru/articles/testmail.html], а вкратце...
          Пользователь хотбокса, "войдя" на сайт через веб-интерфейс, далее идентифицируется по некоему "уникальному индексу", подставляемому в URL. IP-адрес при этом не проверяется (это плохо). Остается "украсть" этот индекс, и поменять пароль. Технически это несложно - посылается письмо с вложенной (через img src=) "картинкой" или просто ссылкой на свой сайт. Человек читает письмо (с веба), браузер открывает картинку (или юзер щелкает по ссылке), а вы спокойно читаете http-referer в логах своего сервера, вместе с этим индексом. Ну, и пока юзер не ушел - быстренько меняем пароль. Необязательно ручками, кстати - скриптом на сервере генерим post-запрос якобы от формочки смены пароля на сервер, и... и всё :-)
          Inbox.ru. Те же яйца, но чуть повеселей. Послать формочку смены пароля самому нельзя - ip проверяется. Поэтому пользователю посылается аттач ("картинка"). В письме перед отправкой подправляется "имя файла" на нечто, содержащее внутри строчку яваскрипта (чтобы браузер клиента это выполнил) и оканчивающееся на .gif (чтобы сервер это пропустил). Скрипт просто открывает окно с заранее заготовленным html-файлом, в котором содержится уже заполненная формочка смены пароля с <script language="JavaScript"> document.forms[0].submit(); </script> Скрипт выполняется, форма сабмиттится, юзер с обалдением наблюдает результат. Впрочем, как я понимаю, юзер может быстро-быстро :-) поменять пароль обратно.
          Yandex.ru (narod.ru) и многие-многие другие. Вычищают левые тэги (логично), вычищают яваскрипт (очень хорошо), но... забывают вычищать яваскрипт из "событий" вроде OnMouseOver="". Обычная забывчивость (кто ж помнит, что скрипт не обязательно обрамляется <script>/</script>), но... далее точно так же, с поправкой на яваскрипт.
          Общий вывод, кстати - не пользоваться веб-интерфейсом. Поскольку большинство эксплойтов предполагают, что почту вы читаете в браузере, и, соответственно, в момент чтения "залогинены" в систему. И теперь, если заставить вас (точнее, браузер) выполнить некие действия - то...

          Не, я все-таки фигею. Когда-то был koi-8, и браузеры ходили в koi-8, и почта ходила в koi-8, а кто не умел koi-8 - тот того, подлежал обструкции и удавлению. И когда-то ни NN, ни IE не умели koi-8 штатно, и прикручивали их "хакерскими" методами - через раскладки клавиатуры и "коифицированные" шрифты. Потом и NN, и IE научились работать хоть с кои, хоть с 1251, хоть с 866, хоть с чертом в ступе, и наступило всеобщее блаженство и ликование, и полный бардак в виде создания страничек - хошь на 1251, хошь на кои, хошь в мак-кодировке.
          А теперь появилась опера. Которая сначала вообще официально не поддерживала кои (а 1251 работало только потому, что оно было в виндах), а теперь вот - официально поддерживает. Только толку-то, если в POST все равно подставляется "чёрт в ступе" а не кои-8?
          Перейти что-ли тотально на 1251? Полмира так и живут, и вроде ничего страшного...

- RU.OS.CMP (2:5015/42) ------------------------------------------- RU.OS.CMP -
 From : Cyril Rotmistrovsky     2:463/59.60               Tue 06 Mar 01 02:36
 To   : morozov@novosoft.ru                               Tue 06 Mar 01 08:35
 Subj : Re: Netscape for FreeBSD

 m> Да, чтоб не возникало вопросов:
 m> http://193.124.169.11/~alex/2001_03_05_180735_shot.png
 CR> и самое главное -- чтобы для исполнения этих требований не надо
 CR> было становиться дизайнером и рисовать новую тему или программистом
 CR> и писать что бы то ни было; или тратить часы перебирая темы на
 CR> themes.org.

Кстати, о темах... блин, Мозилла, похоже, совсем в сторону винды косит.
Тот же виндовый подход: все тупо, однозначно, и не работает.

Короче, имел сегодня эпопею с темами (или они имели меня -- х.з.). Hашел
таки одну интересную. Решил вынуть. Выбираю add new theme, оно лезет на
themes.org, ыбираю, тяну. Тянется. Раза с четвертого вынимается.
Тишина... лезу в пропертиз -- ожидаю там увидеть новую тему. Фиг.
Перезапускаюсь -- та же картина. Ищу на винте тот файл, что тянулся
- ни в ~, ни в /tmp нет. Беру konquerror и вытягиваю тот файл повторно.
Делаю копию. Ищу, куда можно этот chrome.черттечто.xpi воткнуть. Hи в
каких менюхах, ни в каких preferences ничего похожего HЕТ!!! Тихо фигею,
начинаю думать, как все сделать ручками. Ищу, где лежат родные xpi.
Таких нет! Определяю, что родные темы лежат в jar. Вот сижу и тихо
фигею... 

Так вот, самое смешное оказалось, что для установки тем... читайте
внимательно, держитесь за стулья!! и подушки по бокам подложите --
падать больно!!... :
 
   Мозиллу надо пускать от рута!

Аут...

-- 
    Regards,
        Cyril.

 : Число ошибок в программе, которые можно найти, конечно,
   в противоположность числу ошибок, которые нельзя обнаружить -
   оно бесконечно по определению.
--- Gnus v5.6.45/XEmacs 21.1 - "Channel Islands"
 * Origin: IBM Linux Millennium Edition (2:463/59.60@fidonet)

...а мы говорим: "браузер". Мазилла - она и есть мазилла. А винды, где не под администратором толком не поработаешь - это винды и есть. И хоть умом понимаешь, что разработчики мозиллы не под виндами её делают - но менять темы от рута - настолько знакомый виндовый принцип написания программ... :-)

Так [issue110301/far.gif] FAR 1.60 понимает сортировку "по имени" :-) Кстати, с юникодными именами так работать и не научился, что для файлменеджера есть стыд и позор.

MS kb article 228001: Network Adapter Does Not Work if Unplugged [http://support.microsoft.com/support/kb/articles/Q228/0/01.ASP?LN=EN-US&SD=g]. О как.

Оригинал страницы находится на http://dibr.nnov.ru/issue110301.html.

(с) DiBR

При перепечатке ссылка обязательна.

<< * >>