23 июля 00 года


          наткнулся вот. по ссылке "palm pilotы вживляют в кисть руки". испугался уж, что в самом деле так.ан нет - на bbspot.com [http://bbspot.com] все новости такие. :-)как вам:"любители разгона жертвуют бездомным радиаторы [http://bbspot.com/news/2000/7/heatsink_homes.html]","napster подает в суд на пользователя [http://bbspot.com/news/2000/4/mp3z_sue.html] за плохое качество mp3 файлов","количество дистрибутивов линукс превысило количество пользователей [http://bbspot.com/news/2000/4/linux_distros.html]"(и то правда - кое-кто ведь ставит по нескольку версий рядом и загружаются то в одну, то в другую),"студент задержан за подозрительное использование php [http://bbspot.com/news/2000/6/php_suspend.html]","микрософт считает правительство сша монополией [http://bbspot.com/news/2000/5/govt_mono.html]",и так далее, и тому подобное... похожий сайт - segfault.org [http://www.segfault.org], но здесь все равно веселей :-)
         куулер тут все diablo-ii обозревает, а мне ссылку прислали, на www.dungeon.ru [http://www.dungeon.ru].хоть сам я в игрушки уже не играю, но информации по диабле там однозначно есть. можете сами проверить.
         дырка в outlook express [http://www.securityfocus.com/vdb/?id=1481]. довольно классическая - buffer overrun.такие регулярно где-нибудь находят: то поле subject нельзя делать слишком длинным - программа осыплется, тоимя файла, то url... теперь вот - информацию о дате создания сообщения, посылаемую в заголовке письма.или как вариант - не в заголовке письма (это можно попытаться отловить умным mta на почтовом сервере),а в завернутом в mime письме в аутлуковом mime-multipart-message. как обычно - buffer overrun можно использоватьдля выполнения произвольного кода на машине клиента (и, как обычно письмо читать необязательно - достаточно получить с сервера). опять-таки,как обычно - сегодня баги, завтра фиксы, послезавтра новые баги...
         и хотя на дворе конец 20 века - до сих пор строки хранят в char*, склеивают strcat()и разбирают на кусочки sscanf(). и пока все программисты не перейдут на классы с встроенной проверкойпереполнения и не забудут напрочь про gets() и иже с ними - такое будет, и регулярно.то есть - на ближайшую пятилетку дырами мы будем обеспечены - старые технологии уходятмедленно...
         а всего-то - странная логика канонизированных святых кернигана и ритчи, решивших, чтостроки должны храниться как zero-ended цепочка байт (тем самым резко снизив полезностьтакой штуки как "строка" - теперь в строку нельзя положить что угодно, ибо оно обрежетсяпо первому же нулю), а библиотечным функциям не пристало заниматься проверкой выхода за границы массива.а казалось бы - сделать строку не как char*, а как структурку (не класс, упаси боже - не было тогда классов)с int maxlength, int size, char str[maxlength], да заложить проверку в библиотечные функции -и, наверно, половины сегодняшних дыр просто не было бы. м-да.
         ...а журналисты тем временем обсуждают проблему шпионской точки [http://news.bbc.co.uk/hi/english/sci/tech/newsid_842000/842624.stm].той, что <img src= или <iframe src=. и что позволяет вытащить с вашего компьютератакую важную информацию, как (цитирую):ip address of your computer (ага. а в логи веб-сервера слабо посмотреть?),web location of bug (кхм. куда его положили - там и лежит. он же не ползает),web page bug is attached to (см. пункт два. установив жучок, я, вероятно, знаю, куда я его установил, не так ли?),time the bug was viewed (см. пункт 1),which browser you are using (да, это важная информация. хотя браузеры почему-то без зазрения совести отдают еев user-agent: поле http-запроса, даже без всяких жуков),any cookies already on your computer (any, говорите? ну-ну. не буду говорить "невозможно",но... штатным образом - нельзя, а нештатных, похоже, не предлагается).
         интересно, средства массовой информации всегда "бесконечно далеки от народа"(с)вил, илиэто только некоторые?
         нам пишут:


from: петр ильницкий
subj: re[2]: по последнему dibr'у.
добрый день dmitry,

monday, july 17, 2000, 9:54:12 pm, вы писали:

>> а еще мне нравиться как в виндах побороли "y2k problem" - побороли
>> влоб, оставив проблему 2001 года для того, что лет этак через 90 все
>> опять массово ломанулись за новой версией какой-то win2080.:)

dr> н-не понял? в смысле, классическим образом сдвинули "начало мироздания" на
dr> пару десятков лет вперед?

нет, на сотню. теперь в виндах 1980 наступает не после 31декабря1999г
(y2k problem), а после 31декабря2099года, т.е. имеем "y2.1k problem").
я проверял на 98se и на nt4sp6, обе страдают. насчет win2000 - не
знаю, у меня на машине она не задержалась.. вот такое, чисто фирменное
решение проблемы y2k от майкрософт. :)

>> кстати, знаете у кого наступит следущая аналогичная проблема - у
>> пользователей mac'ов. это будет лет через 11.. если надо могу
>> уточнить, mac в соседней комнате стоит, просто облом человека сгонять
>> с раб. места..


dr> хм. я-то думал, что ближайшая революция ждет юниксы - в 2037 (или 2038?)
dr> году. а что там на маках, действительно интересно?

я немного перепутал, но маки и тут опередил юниксы, у маков после 2019
наступает.. 1920. вот такая катавасия.. :)

[остаток письма безжалостно вырезан by dibr :-) ]

--
с уважением,
петр ильницкий mailto:peter@ata.kiyavia.com


вот так :-) ну, при сегодняшних темпах смены программного обеспеченияпро win2000 забудут задолго до наступления 2100 года, а вот с маками - интересно.если у юниксов "проблема 2037 года" вызвана объективным недочетом в структуре ufs-подобных файловых систем(в этом году переполняется unixtime), то у маков, похоже, именно задали "от фонаря""границу мироздания", и через двадцать лет... интересно, сохранится ли тогда сегодняшняя версия macos,хотя бы как сохранился кое-где ms-dos, или вымрет окончательно и будет заменена новой, с встроеннойпроблемой 2050 года?
         http://www.free-soft.org/softwarewar.gif [http://www.free-soft.org/softwarewar.gif]
         микрософт больше не желаетподдерживать visualj++ [http://news.cnet.com/news/0-1003-200-2240702.html?tag=st.ne.1002.tgif.ni].типа, если нам мешают вводить свои фичи в java (мол, совместимость теряется, а она, дескать,есть краеугольный камень и всё такое) - то плевать мы хотели на вашу яву.у нас своё есть. си с решеткой [http://msdn.microsoft.com/vstudio/nextgen/technology/csharpintro.asp]называется, c# то есть. кто-нибудь из разбирающихся в музыке - как эта нота (c#) по русски называется? ;-)
         просто и со вкусом [http://www.msnbc.com/news/435937.asp]. чем отличаются следующие url: http://www.paypal.com и http://www.paypai.com?видно разницу? не очень? в первом домене стоит буква "эль маленькая латинская", во втором - "ай заглавная латинская".в шрифте без засечек - неотличимы, в шрифте с засечками - отличимы с трудом. а теперь о том, к чему бы это.
         некто зарегистрировал домен paypai.com, и разослал пользователям службы paypal.com письмо с сообщением о"крупной сумме денег", ждущей их на paypal. в письме была ссылка на paypai.com, а посколькуна вид они неотличимы, а ни один разумный человек не будет вбивать url руками когда есть ссылка, в которуюможно кликнуть... остается только собрать пароли на доступ к paypal и, для маскировки, перебросить пользователяна настоящий paypal. social engineering в действии - можно ожидать чего-то подобногос другими запароленными службами.
         люблю исследования. сначала долго выясняют очевидное - что пользователи napsterа покупают (имеется в виду - легально)меньше музыки (очевидно - зачем покупать, когда можно скачать). потом долго исследуют, и выясняют, чтовсе это не так, и пользователи напстера покупают больше музыки [http://news.cnet.com/news/0-1005-200-2306997.html].ждем исследований, по которым пользователи напстера не покупают музыку вообще, или что все те,кто покупает музыку - пользователь напстера. или что вся музыка давно принадлежит напстеру,а riaa давно пора засудить за сдерживание свободы слова. ой.
         "покажите американцу место - и он поместит туда рекламу". может, помним, как альтавистахотела размещать рекламу в результатах поиска? какой поднялся шум, как альтавистазаявила, что все это не совсем так, как пишут в сми, и как поискозависимая реклама таки оказалась на альтависте(естественно - эффективность-то выше), но в положенных для этого рекламных местах.
         повторяемся. на этот раз dejanews уже размещает [http://slashdot.org/article.pl?sid=00/07/18/2122249&mode=flat]рекламу... в письмах из usenet. шум, естественно, поднялся (кому приятно, когдав его собственном письме на тему usr-suxx (к примеру), попавшем на дежаньюс,слово usr окажется залинкованным на сайт usr? происходит все, впрочем, довольно динамично,и похоже дело идет к тому, что рекламу вытеснят куда-нибудь в сторону от писем. в положенное рекламное место.а если нет - обязательно будет суд о нарушении копирайта автора письма, поскольку обиженный пользователь найдется обязательно.
         и это правильно. рекламе - рекламная пауза. и ей не место в контенте - иначе это уже пиар :-)
         патент. на automatic masturbation device [http://www.patents.ibm.com/details?pn=us05501650__].вот тут - с картинками [http://www.patents.ibm.com/cgi-bin/viewpat.cmd/us05501650__].это повеселей будет, чем пресловутый fufme [http://www.fufme.com/] для дистанционного секса :-)
         похоже, аозт dz.online [http://dz.yandex.ru/00/jul/news-14.htm]тоже начинает проповедовать принцип "я не обязан читать то, что пишу".как вам такое: "механизм поисковой машины scour.com, специализирующейся на поискемультимедийной информации (ra, mp3) и обладающей огромным ресурсом, оказывается, способенссылаться на ресурсы домашних компьютеров тысяч пользователей. официальные лица заявили,что механизм поиска защищен авторским законодательством и вполне законен, а к публичным ресурсамвполне можно отнести и содержимое пк, по причине его полной открытости. представители считают"...
          значит, "содержимое моего пк" есть "публичный ресурс" по причине его "открытости"?а кто его, спрашивается, "открыл"? я не открывал. если я не открывал, и scour.com не открывал -то ни найти, ни сослаться туда никто не сможет. если я (пользователь) ресурс открыл (явным образом- поставив сервер, www-сервер, например) - то какие могут быть претензии? если же я не открывал,а открыла (не спросив меня) софтина, сделанная в scour.com - то "официальные лица"могут заявлять что угодно, а распространение "троянских программ" подпадает под статью. если же... ну,да ладно. напстер вон тоже - "открывает содержимое пк", только предупреждает об этом заранее,и ничего - люди пользуются и нарадоваться не могут.
         как хотите - я не верю что dz или "редакция" это читали, я уж е говорю про "писали".так что вот вам и обещанные изменения - dz online уже не совсем авторский проект, а немножконовостная лента...
         а вы в курсе, что "децл" - это не "наш ответ бивису и баттхеаду", а вовсе даже"болезнь птиц - хpящеватый наpост на кончике языка".ожегов, "словаpь pусского языка", издание 12, стеpеотипное, москва, "русскийязык", 1978.
          выловлено в fidonet xsu.useless.faq, автор - maxim elkin, 2:5020/979.1



оригинал страницы находится на http://dibr.nnov.ru/issue230700.html.(с) dibr
при перепечатке ссылка обязательна.<< * >>