Alice, Bob and Mallory - Na Švedskem so nekaj dni nazaj ravno končali z volitvami. Izid je bil, kot lahko vidite, zelo izenačen, Švedske oblasti pa so kasneje objavile oddane ročno napisane glasove. Med njimi se je znašel tudi:

 R;13;Hallands lãn;80;Halmstad;01;Halmstads vãstra valkrets;0904;Söndrum 4;pwn DROP TABLE VALJ;1 

Kjer je od drugega do zadnjega polja dejanski tekst na obrazcu. Je mogoče, da je mali Bobby Tables končno odrasel in se preselil na Švedsko? Za vse, ki zgodbe ne poznate, Bobby Tables prihaja iz znanega stripa http://xkcd.com/327/. Vse skupaj je verjetno le šala, a vseeno poraja misel kako resna bi bila lahko posledica škodljive SQL kode na volitvah. Nekdo si je dal duška tudi z JavaScriptom:

R;14;Vãstra Götalands...

Google - Ajax je okrajšava za Asinhroni JavaScript in XML. Gre za skupino tehnik pri razvoju spletnih aplikacij, ki omogočajo izdelavo interaktivnih spletnih aplikacij in dinamičnih strani. Ena večjih pomanjkljivosti Ajax-a je neprijaznost do iskalniških pajkov, ki v imenu Googla, Yahooja in drugih plazijo po spletu in pridno indeksirajo internet. Ti se ne znajdejo najbolje z JavaScript-om in Ajax-om, zato običajno ne uspejo prebrati takšnih strani. Google pravi, da je tu mogoče še marsikaj postoriti.



Zato so pripravili predlog, s katerim želijo doseči, da bi strani z minimalnim trudom za spletne razvijalce iskalniki in uporabniki videli isto vsebino hkrati pa bi se iskalniki lahko povezovali neposredno do Ajax naslovov (in ne statičnih). Zatorej v njihovem predlogu...

Slashdot - Ko je Microsoft lansko leto predstavil Silverlight, so njegovi verniki v začetni vznesenosti napovedovali predčasen konec tehnologije AJAX in se za sodelovanje zahvaljevali celo samemu JavaScriptu. Že nekaj mesecev kasneje se je izkazalo, da so bila ta dognanja trapasta, dokončno pa jih je v koš zabrisal Googlov Chrome.

Zdaj se je Microsoft celo odločil, da JavaScript podpre bolj kot kadarkoli prej, in sicer s podporo priljubljenemu JavaScriptovemu ogrodju jQuery v svojem paradnem konju med razvojnimi orodji. Tako bo jQuery postal del Visual Studia, in to skupaj s podporo tehnologije intellisense, primeri uporabe in dokumentacijo.

Dogovor o uporabi jQueryja je sklenila tudi Nokia, ki se ga bo poslužila pri razvoju aplikacij za svoj upodabljalnik (po domače rendering engine) Web Run-Time, ki temelji na WebKitu. jQuery bo na voljo na vseh mobilnih telefonih...

Kiberpipa - Konec decembra je v Berlinu potekala že 24. hekerska konferenca, bolj znana pod imenom Chaos Communication Congress - 24C3, ki jo prireja nemški Chaos Computer Club. Naslov letošnjega srečanja hekerjev na evropski celini nosi naslov "Volldampf voraus!" ("Full Steam Ahead" oz. poslovenjeno "S polno paro naprej!"). Hekerji so še živi, odprtokodna skupnost "miga" kot še nikoli poprej in internet je še vedno "svobodni" prostor. Utrinke konference bo v strnjeni obliki predstavil Andraž Sraka na Pipinem odprtem terminu v torek, 22.1. ob 19h v Kiberpipi.



Na sredinih Spletnih uricah ob 19h bo Marko Samastur iz Parseka govoril o tem, da JavaScript ni samo orodje za olepšavo spletnih strani, temveč je pravi programski...

Schneier.com - Kot kaže se nam v bližnji prihodnosti obeta precejšnje število varnostnih težav povezanih z JavaScriptom. V članku JavaScript Hijacking, objavljenem na spletni strani podjetja Fortify Software so namreč trije raziskovalci opisali nov način napada na Ajax spletne aplikacije.

Napad namreč omogoča napadalcu, da prestreže podatke, ki se prenašajo s pomočjo JavaScripta. Prestrezanje je mogoče izvesti s pomočjo tim. JavaScript ugrabljanja (JavaScript hijacking), ki je mogoče zaradi različnih XSS ranljivosti.

Prav tako v našem forumu že poročajo, da se je na internetu znašla koda aplikacije Jitko, ki omogoča samodejno vzpostavitev prikritega omrežja s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Aplikacijo je na konferenci Smoocon prejšnji mesec predstavil Billy Hoffman, eden izdmed udeležencev konference pa si je zapomnil URL omenjene kode in si kodo presnel ter jo objavil na internetu. Kodo je sicer na zahtevo Hoffmana že umaknil, kljub temu pa jo je mogoče dobiti v...

Slo-Tech - O XSS ranljivostih s(m)o na Slo-Techu že pisali. A kljub temu, da gre za tim. ranljivost na strani spletnega odjemalca, so posledice zlorabe lahko precej drastične.

Raziskovalec Billy Hoffman, znan tudi pod imenom Acidus, je namreč januarja lani na konferenci Black Hat Federal 2006 predstavil prispevek z naslovom Analysis of Web Application Worms and Viruses. V prispevku je predstavil možnosti napadov s tim. spletnimi virusi, ki izkoriščajo XSS ranljivosti ter AJAX tehnologijo.

V soboto pa bo imel Hoffman predavanje na to temo tudi na Smoocon konferenci v Washingtonu.

Na konferenci bo predstavil možnosti vzpostavitve prikritih omrežij (tim. botnetov) s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Predstavil bo tudi konkreten primer, aplikacijo Jikto, ki omogoča samodejno vzpostavitev prikritega omrežja.

Orodje Jitko se lahko preko okužene spletne strani namesti na uporabnikov računalnik. Po namestitvi lahko orodje izvaja samodejno skeniranje, oz. iskanje...

Slo-Tech - V sredo, 22. novembra, vas ob 19.00 vabimo v Kiberpipo na Spletne urice, kjer bo Marko Mrdjenovič predaval, kako urediti tabelo z JavaScriptom in kakšno povezavo ima to z Ajaxom.

Urejanje tabel je nekaj, na kar smo navajeni iz namiznih aplikacij. Ob premiku aplikacij na splet postaja urejanje z JavaScriptom vedno pomembnejše. Kakšne načine urejanja poznamo in kako tako urejanje najlažje implementiramo v naši aplikaciji in preko AJAXa shranimo, nam bo predstavil Marko Mrdjenovič, izkušeni spletni razvijalec ter vodja produkcije pri spletni agenciji Parsek.

Slo-Tech - Pri FortConsult so objavili raziskovalni članek z naslovom Practical Onion Hacking: finding the real address of Tor clients. V njem do pokazali, kako je v HTML kodo mogoče vriniti "spletnega hrošča", ki razkrije pravo identiteto obiskovalca (pravi IP naslov). To so storili s pomočjo JavaScripta in Flasha, zaključujejo pa, da je uporaba teh tehnik razmeroma enostavna.

Pri odkriti ranljivosti pa ne gre za ranljivost Tor omrežja, pač pa za ranljivost podpornih programov in programov, ki uporabljajo Tor. Avtorji članka upajo, da bo na podlagi njihove raziskave popravljen podporni program privoxy (ki bo tako zlonamerno kodo sposoben odstranjevati), kot najhitrejšo rešitev pa svetujejo izklop Flasha, Active X, Jave in JavaScripta, uporabo SSL povezav, uporabo tujih DNS strežnikov ...

Samo za paranoike.

Računalniške novice - Še en korak smo bližje k izdaji naslednje generacije precej popularnega brskalnika Mozille Firefoxa. Nova različica se tako hvali s kar nekaj spremembami, čeprav moramo priznati, da smo jih precej videli že kot razširitve stare verzije. Novi brskalnik tako vključuje JavaScript 1.7, novi upravljalnik tem in razširitev, ki so sedaj združene pod eno okno ter posodobljeni pogon za iskalnike, ki po novem podpira tudi predloge. Med zanimive nove zmožnosti spada tudi vgrajeni črkovalnik, ki bo preveril slovnično pravilnost zadev vpisanih v besedilna okenca. Prav tako je dobil tudi podporo SVG tekstu in si sedaj zna zapomniti, katere strani ste imeli odprte v zavihkih. Seznam vseh izboljšav in prenos najdete na uradni strani.

Arnes - JavaScript ranljivost inicializacije 'window()' metode v kombinaciji z <BODY onload> HTML oznako omogoča izvedbo poljubne kode. Exploit je že na voljo (seveda kot "proof of concept" koda). Onemogočite JavaScript še danes, vsaj dokler MS ne izda uradnega popravka. FireFox kot kaže kode ne izvede, vendar pa se neha odzivati. Več na Arnesu, CVE, Secunia, Microsoft.

Gambit - Kot kaže, se nam v prihodnosti obeta, da se bomo morali v diskotekah navaditi na glasbeni okus računalnika. No, vse ni tako kritično, kajti, če držijo napovedi HP-jevih strokovnjakov, se bo računalnik bo vsej verjetnosti prilagodil nam.
Tako napovedjujejo popoln sistem, ki si skrbel za spremljanje vzdušja na plesišču, odzivov gostov in nato temu primerno mešal glasbo ( upam samo, da ne bo to izgledalo kot do polnoči najnovejše, potem klasika 80 in 90-tih, ko pa se nikomur ne da več, pa počasne zadeve ).
Sicer se pa DJ-em po moje še ni treba bati za delo, ker je zadeva še globoko v razvoju. Pa še klik.

The Register - Da - kljub temu, da naj bi Hotmail sicer v sporočilih pregledal JavaScript ter (morebiti) zlonamerno html kodo, je ObLiviON našel način, kako se to lahko obide.

Namreč, Hotmail sicer res pregleda telo sporočila, ne pa tudi polj 'Od' ter 'Za'. Spammerju oz. krekerju bi to omogočilo sestaviti sporočilo, ki bi naslovljenca preusmerilo na neko drugo stran, tam pa bi ga recimo ne-pravi 'Hotmail' zopet povprašal po geslu. Klik!