Итак, голосование по «Конкурсу Конкурентов» закончилось.

Победителем совершенно заслуженно стал блог Design For Masters. Просьба сообщить мне номер Z-кошелька для перевода приза.

Сайт Design For Masters посвящен всему, что касается разработки сайтов, дизайну, кодингу, созданию контента и аудитории читателей. Мы стараемся найти и перевести как можно больше хороших и интересных статей.

Второе и третье место поделили RMCreative и Ajax Russia. Эти блоги уже заняли своё место в блогролле (справа).

Кнопки для желающих отблагодарить конкурс:

Благодаря моему взаимному ЖЖ-френду crazyhamster`у, наш «Конкурс конкурентов» попал в газету «Компьютерные Вести».

На этот блог каждый день появляется несколько новых ссылок, но написать я решил именно об этой. Почему? Очень просто. Много лет назад я заканчивал школу и поступал в университет в далёком сейчас от меня городе, в котором из компьютерной прессы были доступны всего два издания — эти самые Компьютерные Вести и Компьютерная газета.
Именно из них я и узнал всё, с чем я пришёл устраиваться на свою первую работу 6 лет назад. Поэтому если кто-то достанет мне этот 39-й номер в бумажном варианте — буду очень признателен.

Заметка Дениса Болтикова «Топ 30 наиболее часто используемых паролей» натолкнула меня на некоторые размышления.

Итак, есть сервис, требующий авторизацию. Имена пользователей в большинстве случаев известны. Так же известно, что 4-5% пользователей в качестве пароля используют имя пользователя (там, где это разрешено). Ещё 10-15% используют один из паролей вроде этих:

Составить список таких паролей — не проблема, тем более, что 20-30 штук, как видно, вполне хватит. Таким образом можно довести до 20% вероятность взлома пароля пользователя быстрым тупым брутфорсом по сверхмаленькому словарю.С учётом того, что полно сервисов, вешающих на единую систему авторизации все свои сервисы (в том числе и финансовые), эта дыра является критической. Более того, 75% пользователей используют единый пароль доступа на все ресурсы.Так что, люди, совет один: используйте хорошие пароли.

Хороший пароль:

1. длинный (8-12-15 символов).
2. содержит как заглавные так и прописные латинские буКвЫ.
3. содержит цифры.
4. не найдется в словаре, это не имя и не слово (ckjdj) в латинской раскладке.
5. никак не связан с владельцем.
6. меняется периодически и по мере надобности.
7. не является любимым — разные пароли для разных входов.
8. его возможно запомнить.

В 1991 году Линус Торвальдс чрезвычайно увлёкся идеей написать совместимое с UNIX ядро операционной системы. Прототипом для будущего ядра стала операционная система MINIX. Название своему ядру он дал Freax, но позже оно было изменено хозяином ftp сервера на Linux — гибрид имени создателя и слова UNIX.

И вот 17 сентября 1991 года Линус выложил Freax версии 0.01 на ftp.funet.fi. Тогда в неё ещё не входили утилиты GCC, её можно было ставить только на некоторые компьютеры AT-386.

Вот отрывок из книги Линуса «Just for fun»:

«И вот я решился ее выложить. Я не делал публичных объявлений, а просто написал пятерым-десятерым хакерам на личные адреса, что она лежит на FTP-сайте. В числе прочих я написал знаменитому среди фанатов Minix Брюсу Эвансу и Ари Лемке.

Я выложил исходники самой Linux и еще несколько бинарников, чтобы можно было хоть что-то делать. Я сказал, что нужно, чтобы запустить все это хозяйство. На машине должна была стоять Minix (версия 386) и нужен был компилятор GCC. Причем на самом деле нужна была моя версия GCC, поэтому ее я тоже выложил. Не думаю, чтобы ту версию проверяло больше одного-двух человек. Для этого нужно было возиться с установкой специального компилятора, выделить пустой раздел, чтобы использовать его для загрузки, откомпилировать мое ядро и запустить оболочку.

А кроме запуска оболочки, делать было особенно нечего. Можно было распечатать исходники — всего 10 000 строк. Я стал распространять свою операционку прежде всего, чтобы доказать, что все это не пустая болтовня — я действительно что-то сделал. В Интернете много болтают. О чем бы ни шла речь — об операционке или о сексе — многие в киберпространстве просто вешают лапшу на уши. Поэтому важно после того как ты растрезвонил, что пишешь операционку, иметь возможность сказать: «Вот — я ее и правда сделал. Я не трепло — можете сами посмотреть».»

Сегодня — 256-й день в году, который многие компьютерщики считают своим неофициальным профессиональным праздником.

Число 256 (2⁸) выбрано потому, что это количество чисел, которые можно выразить с помощью одного байта. В високосные годы этот праздник попадает на 12 сентября, в невисокосные — на 13 сентября. В 2007 году День программиста отмечается 13 сентября.

Каждый грамм — за создателей программ :-)

Зная мои былые «шалости», люди иногда предлагают мне повторить некоторые трюки за деньги. Вчера я в очередной раз услышал конкретный вопрос: «Сколько будет стоить взлом сайта … ?»

Вот что я хочу сказать по этму поводу: а сможете ли вы ответить на простой вопрос «Зачем?»

Зачем вам атаковать сайты конкурентов? Подумайте об этом прежде чем платить за это деньги!

Устроить DDoS и удерживать сайт в перегруженном состоянии несколько дней — пока не отфильтруют. Да, сайт прекратит работу на несколько часов. Но очень может получиться, что этим вы устроите ему рекламу — сколько раз уже такое было. Более того, себя вы прославите не как хакеров, а как DDoS-еров, лишённых всякой сообразительности — это, пожалуй, самый тупой метод атаки.

Поискать XSS-уязвимости, возможности SQL-инъекций, другие методы скриптовых атак — да, красиво. Можно взять сайт под контроль (если повезёт) и стереть его или изменить — пока не придёт владелец и не зальёт бэкап. Это несколько часов в лучшем случае, потом ошибки исправят, сайт получит свою бесплатную рекламу, а вы — головную боль (вдруг найдут).

Использовать известные дырки в распространённых CMS — это пошло, да и смысла не имеет никакого — даже с учётом ленивых админов, большинство хостеров сейчас делают ежедневный бэкап информации и баз данных.

Всё это в сущности детский сад. Одно только: некоторые компании на сайтах делают скрытые разделы для партнёров, иногда указывая там реальные цены на продукцию. За получение этих цен конкуренты иногда готовы платить. Но в данном случае проще втереться в доверие, используя социальные методы. Да и сайтов таких — 1 на миллион. Статьи 28-й главы УК всё-таки работают, можно навредить себе больше, чем конкурентам.

Конечно, это просто поверхностные рассуждения, которые разнесёт в клочья любой современный PR-специалист. Да и сам я интернет-войны считаю очень забавными, но всё-таки лучше играть честно.

Заметки по теме:

• Уголовный кодекс и взлом сайтов.
• Взлом аккаунтов: всё проще.
• DoS и DDoS-атаки.

Хоть это и не совсем по моей теме, но всё же процитирую Константина Каширина:

Через несколько часов Яндекс прекратит работу некоторых операторов языка запросов: link (кто ссылается) и anchor (каким словами). Это существенно сократит возможности аналитики, например не позволит видеть бэклинки — ни свои, ни конкурентов, а также не позволит проверять ссылки на работоспособность. Со слов руководства Яндекса, причина нововведения — стремление сделать Яндекс более закрытым.

Руководство Яндекса, в лице Ильи Сегаловича, Елены Колмановской и Александра Садовского, сообщило об этом на встрече с несколькими оптимизаторами, которая прошла в неформальной обстановке в одном из московских ресторанов.

Впрочем, на данный момент операторы всё ещё работают и официального заявления пока не было. Реакция SEO-сообщества — неоднозначная. Кто-то радуется, кто-то в шоке, некоторые надеются, что Яндекс ещё может передумать.

Это довольно необычная историческая книга. Это история компании, которой едва исполнилось восемь лет, а на момент написания книги на языке оригинала и того меньше.

Это история Google. История, которая происходила на наших глазах – о чем мы даже не подозревали! История о том, как два молодых аспиранта Стэнфорда совершили переворот в жизни нашего поколения.

В общем, это новейшая история мира. Того мира, в котором колыбелью цивилизации является Стэнфорд.

Дэвид А. Вайз, Марк Малсид: «Google. Прорыв в духе времени.» (zip, 0.7 Mb).

Chaos Constructions Antique 2007 закончился. Потраченных дней, денег и сил не жалко — оно того действительно стоило. Не буду писать про то, кто был на фестивале — слишком огромные списки получаются, и про то, что там происходило — почти обо всём можно прочитать на тщательно поддерживаемом нами в течение всего фестиваля сайте.

Там же можно найти и некоторую часть отснятого нами материала (пока малую часть — нужно отоспаться). Вообще, я считаю, что рассказывать что-то о #CC — неблагодарное дело, потому что каждый видит его по-своему и огромную роль играет общение людей друг с другом, даже сама суть фестиваля иногда отходит перед ним на второй план.

В следующий раз эта же команда организаторов и активных участников соберётся 29 ноября (и по 2 декабря)
в ЦВЗ «Манеж» (Санкт-Петербург) на Chaos Constructions HackAround’2007. По календарю это будет удобно: с четверга по воскресенье.

Будут раскрываться темы сетевой безопасности и hacking’а (не только в сетевом аспекте, но и в целом как lifehack). Предполагаются конкурсы, семинары и демонстрация различных материалов, а также классические моменты — компьютерная история и демосцена.

Предлагаю порассуждать на тему социальных проектов в интернете — их уже так много, что пора уже как-то классифицировать. Пожалуй, стоит сразу заметить, что я имею в виду русскоязычные сервисы (в основной массе — клоны англоязычных).

На мой взгляд, несколько обособилась от остальных проектов Wikipedia (Видео: Wikis), прочно заняв свою нишу универсальной энциклопедии и источника информации. Примерно то же самое происходит и с Last.fm — многие пользуются, многие уже по привычке, но шума никакого нет — просто удобный сервис со своей аудиторией.

Сервисы социальных закладок понемногу сдают свои позиции. Я думаю, что основная причина — недостаточно юзабельные сервисы. Например, никто из них так и не догадался сделать плагины для браузеров, отображающие социальные закладки в привычном пользователям виде (а если такой плагин и есть, то я о нём не знаю).

К социальным закладкам примазываются сервисы социальных новостей, но опять же — ни одной удачной реализации я не вижу — у каждой есть свои недостатки — у кого-то проблемы со скоростью работы, у кого-то — с самой структурой социальной сети.

Недалеко ушли и сервисы контактов — большинство пользуется примитивным «вконтакте», в то время как любая попытка добавить функциональности неизбежно убивает удобство и интуитивность (Xing, например).

Поэтому я считаю, что единственная стабильная и саморегулирующаяся социальная сеть — это сеть блогов. А будущее за теми стартапами, основатели которых догадаются взять в команду толкового специалиста по usability (удобство и простота использования). Все желающие поспорить — комментируйте.