23 июля 00 года

23 июля 00 года

Наткнулся вот. По ссылке "Palm Pilot'ы вживляют в кисть руки". Испугался уж, что в самом деле так. Ан нет - на BBSPot.com [http://bbspot.com] все новости такие. :-) Как вам: "любители разгона жертвуют бездомным радиаторы [http://bbspot.com/News/2000/7/heatsink_homes.html]", "Napster подает в суд на пользователя [http://bbspot.com/News/2000/4/mp3z_sue.html] за плохое качество mp3 файлов", "количество дистрибутивов Линукс превысило количество пользователей [http://bbspot.com/News/2000/4/linux_distros.html]" (и то правда - кое-кто ведь ставит по нескольку версий рядом и загружаются то в одну, то в другую), "студент задержан за подозрительное использование PHP [http://bbspot.com/News/2000/6/php_suspend.html]", "Микрософт считает правительство США монополией [http://bbspot.com/News/2000/5/govt_mono.html]", и так далее, и тому подобное... похожий сайт - segfault.org [http://www.segfault.org], но здесь все равно веселей :-)

Куулер тут все diablo-II обозревает, а мне ссылку прислали, на www.dungeon.ru [http://www.Dungeon.Ru]. Хоть сам я в игрушки уже не играю, но информации по диабле там однозначно есть. Можете сами проверить.

          Дырка в outlook express [http://www.securityfocus.com/vdb/?id=1481]. Довольно классическая - buffer overrun. Такие регулярно где-нибудь находят: то поле subject нельзя делать слишком длинным - программа осыплется, то имя файла, то url... теперь вот - информацию о дате создания сообщения, посылаемую в заголовке письма. Или как вариант - не в заголовке письма (это можно попытаться отловить умным MTA на почтовом сервере), а в завернутом в mime письме в аутлуковом mime-multipart-message. Как обычно - buffer overrun можно использовать для выполнения произвольного кода на машине клиента (и, как обычно письмо читать необязательно - достаточно получить с сервера). Опять-таки, как обычно - сегодня баги, завтра фиксы, послезавтра новые баги...
          И хотя на дворе конец 20 века - до сих пор строки хранят в char*, склеивают strcat() и разбирают на кусочки sscanf(). И пока все программисты не перейдут на классы с встроенной проверкой переполнения и не забудут напрочь про gets() и иже с ними - такое будет, и регулярно. То есть - на ближайшую пятилетку дырами мы будем обеспечены - старые технологии уходят медленно...
          А всего-то - странная логика канонизированных святых Кернигана и Ритчи, решивших, что строки должны храниться как zero-ended цепочка байт (тем самым резко снизив полезность такой штуки как "строка" - теперь в строку нельзя положить что угодно, ибо оно обрежется по первому же нулю), а библиотечным функциям не пристало заниматься проверкой выхода за границы массива. А казалось бы - сделать строку не как char*, а как структурку (не класс, упаси боже - не было тогда классов) с int maxlength, int size, char str[maxlength], да заложить проверку в библиотечные функции - и, наверно, половины сегодняшних дыр просто не было бы. М-да.
          ...а журналисты тем временем обсуждают проблему шпионской точки [http://news.bbc.co.uk/hi/english/sci/tech/newsid_842000/842624.stm]. Той, что <img src= или <iframe src=. И что позволяет вытащить с вашего компьютера такую важную информацию, как (цитирую): IP address of your computer (ага. а в логи веб-сервера слабО посмотреть?), web location of bug (кхм. куда его положили - там и лежит. он же не ползает), web page bug is attached to (см. пункт два. установив жучок, я, вероятно, знаю, куда я его установил, не так ли?), Time the bug was viewed (см. пункт 1), Which browser you are using (да, это важная информация. хотя браузеры почему-то без зазрения совести отдают ее в User-Agent: поле http-запроса, даже без всяких жуков), Any cookies already on your computer (any, говорите? ну-ну. не буду говорить "невозможно", но... штатным образом - нельзя, а нештатных, похоже, не предлагается).
          Интересно, средства массовой информации всегда "бесконечно далеки от народа"(с)ВИЛ, или это только некоторые?

Нам пишут:

From: Петр Ильницкий
Subj: Re[2]: По последнему DiBR'у.

Добрый день Dmitry,

Monday, July 17, 2000, 9:54:12 PM, вы писали:

>> А еще мне нравиться как в Виндах побороли "y2k problem" - побороли
>> влоб, оставив проблему 2001 года для того, что лет этак через 90 все
>> опять массово ломанулись за новой версией какой-то Win2080.:)

DR> Н-не понял? В смысле, классическим образом сдвинули "начало мироздания" на
DR> пару десятков лет вперед?

Нет, на сотню. Теперь в Виндах 1980 наступает не после 31декабря1999г
(y2k problem), а после 31декабря2099года, т.е. имеем "y2.1k problem").
Я проверял на 98SE и на NT4SP6, обе страдают. Насчет Win2000 - не
знаю, у меня на машине она не задержалась.. Вот такое, чисто фирменное
решение проблемы Y2K от Майкрософт. :)

>> Кстати, знаете у кого наступит следущая аналогичная проблема - у
>> пользователей Mac'ов. Это будет лет через 11.. Если надо могу
>> уточнить, Mac в соседней комнате стоит, просто облом человека сгонять
>> с раб. места..

DR> Хм. Я-то думал, что ближайшая революция ждет юниксы - в 2037 (или 2038?)
DR> году. А что там на маках, действительно интересно?

Я немного перепутал, но Маки и тут опередил Юниксы, у Маков после 2019
наступает.. 1920. Вот такая катавасия.. :)

[остаток письма безжалостно вырезан by DiBR :-) ]

--
С уважением,
Петр Ильницкий mailto:peter@ata.kiyavia.com

Вот так :-) Ну, при сегодняшних темпах смены программного обеспечения про win2000 забудут задолго до наступления 2100 года, а вот с Маками - интересно. Если у юниксов "проблема 2037 года" вызвана объективным недочетом в структуре ufs-подобных файловых систем (в этом году переполняется unixtime), то у маков, похоже, именно задали "от фонаря" "границу мироздания", и через двадцать лет... интересно, сохранится ли тогда сегодняшняя версия macos, хотя бы как сохранился кое-где MS-DOS, или вымрет окончательно и будет заменена новой, с встроенной проблемой 2050 года?

http://www.free-soft.org/softwarewar.gif [http://www.free-soft.org/softwarewar.gif]

Микрософт больше не желает поддерживать VisualJ++ [http://news.cnet.com/news/0-1003-200-2240702.html?tag=st.ne.1002.tgif.ni]. Типа, если нам мешают вводить свои фичи в java (мол, совместимость теряется, а она, дескать, есть краеугольный камень и всё такое) - то плевать мы хотели на вашу яву. У нас своё есть. Си с решеткой [http://msdn.microsoft.com/vstudio/nextgen/technology/csharpintro.asp] называется, C# то есть. Кто-нибудь из разбирающихся в музыке - как эта нота (C#) по русски называется? ;-)

Просто и со вкусом [http://www.msnbc.com/news/435937.asp]. Чем отличаются следующие url: http://www.paypal.com и http://www.paypaI.com? Видно разницу? Не очень? В первом домене стоит буква "эль маленькая латинская", во втором - "Ай заглавная латинская". В шрифте без засечек - неотличимы, в шрифте с засечками - отличимы с трудом. А теперь о том, к чему бы это.
Некто зарегистрировал домен paypai.com, и разослал пользователям службы paypal.com письмо с сообщением о "крупной сумме денег", ждущей их на paypal. В письме была ссылка на paypai.com, а поскольку на вид они неотличимы, а ни один разумный человек не будет вбивать url руками когда есть ссылка, в которую можно кликнуть... остается только собрать пароли на доступ к paypal и, для маскировки, перебросить пользователя на настоящий paypal. Social engineering в действии - можно ожидать чего-то подобного с другими запароленными службами.

Люблю исследования. Сначала долго выясняют очевидное - что пользователи napster'а покупают (имеется в виду - легально) меньше музыки (очевидно - зачем покупать, когда можно скачать). Потом долго исследуют, и выясняют, что все это не так, и пользователи напстера покупают больше музыки [http://news.cnet.com/news/0-1005-200-2306997.html]. Ждем исследований, по которым пользователи напстера не покупают музыку вообще, или что все те, кто покупает музыку - пользователь напстера. Или что вся музыка давно принадлежит напстеру, а RIAA давно пора засудить за сдерживание свободы слова. Ой.

          "Покажите американцу место - и он поместит туда рекламу". Может, помним, как Альтависта хотела размещать рекламу в результатах поиска? Какой поднялся шум, как Альтависта заявила, что все это не совсем так, как пишут в СМИ, и как поискозависимая реклама таки оказалась на альтависте (естественно - эффективность-то выше), но в положенных для этого рекламных местах.
          Повторяемся. На этот раз DejaNews уже размещает [http://slashdot.org/article.pl?sid=00/07/18/2122249&mode=flat] рекламу... в письмах из usenet. Шум, естественно, поднялся (кому приятно, когда в его собственном письме на тему USR-SUXX (к примеру), попавшем на дежаньюс, слово USR окажется залинкованным на сайт USR? Происходит все, впрочем, довольно динамично, и похоже дело идет к тому, что рекламу вытеснят куда-нибудь в сторону от писем. В положенное рекламное место. А если нет - обязательно будет суд о нарушении копирайта автора письма, поскольку обиженный пользователь найдется обязательно.
          И это правильно. Рекламе - рекламная пауза. И ей не место в контенте - иначе это уже пиар :-)

Патент. На automatic masturbation device [http://www.patents.ibm.com/details?pn=US05501650__]. Вот тут - с картинками [http://www.patents.ibm.com/cgi-bin/viewpat.cmd/US05501650__]. Это повеселей будет, чем пресловутый fufme [http://www.fufme.com/] для дистанционного секса :-)

          Похоже, АОЗТ dz.online [http://dz.yandex.ru/00/jul/news-14.htm] тоже начинает проповедовать принцип "я не обязан читать то, что пишу". Как вам такое: "механизм поисковой машины Scour.com, специализирующейся на поиске мультимедийной информации (RA, MP3) и обладающей огромным ресурсом, оказывается, способен ссылаться на ресурсы домашних компьютеров тысяч пользователей. Официальные лица заявили, что механизм поиска защищен авторским законодательством и вполне законен, а к публичным ресурсам вполне можно отнести и содержимое ПК, по причине его полной открытости. Представители считают"...
          Значит, "содержимое моего ПК" есть "публичный ресурс" по причине его "открытости"? А кто его, спрашивается, "открыл"? Я не открывал. Если я не открывал, и scour.com не открывал - то ни найти, ни сослаться туда никто не сможет. Если я (пользователь) ресурс открыл (явным образом - поставив сервер, www-сервер, например) - то какие могут быть претензии? Если же я не открывал, а открыла (не спросив меня) софтина, сделанная в scour.com - то "официальные лица" могут заявлять что угодно, а распространение "троянских программ" подпадает под статью. Если же... ну, да ладно. Напстер вон тоже - "открывает содержимое ПК", только предупреждает об этом заранее, и ничего - люди пользуются и нарадоваться не могут.
          Как хотите - я не верю что dz или "редакция" это читали, я уж е говорю про "писали". Так что вот вам и обещанные изменения - dz online уже не совсем авторский проект, а немножко новостная лента...

А вы в курсе, что "децл" - это не "наш ответ Бивису и Баттхеаду", а вовсе даже "болезнь птиц - хpящеватый наpост на кончике языка". Ожегов, "Словаpь pусского языка", издание 12, стеpеотипное, Москва, "Русский язык", 1978.
выловлено в fidonet xsu.useless.faq, автор - Maxim Elkin, 2:5020/979.1

Оригинал страницы находится на http://dibr.nnov.ru/issue230700.html.

(с) DiBR

При перепечатке ссылка обязательна.

<< * >>