Posts with tag Prohlížeče
Webů je v Česku napadeno překvapivě mnoho
Jak se dostane vir do vašich webových stránek a kolik je u nás napadených webů? Udělal jsem si takový malý, soukromý průzkum.
Jak to začalo. Při indexaci některých českých stránek (proč jsem to dělal vám říkat nebudu), kterých bylo řádově tisíce, jsem si všiml zajímavého jevu. Můj antivir AVG 9 mi každou chvíli hlásil napadenou stránku. Před pár lety věc velmi neobvyklá, nicméně dneska stále častější způsob šíření malwaru.
Ze zhruba 4600 stránek bylo napadeno 62, tedy nějakých 1.3% a to není málo. Z toho jednou se jednalo o exploit Fragus, jednou o exploit typu script injection, dvakrát o exploit MDAC ActiveX čtyřikrát o Liberty exploit, desetkrát o nebezpečný Javascript a v ostatních případech byl na stránce exploitovaný odkaz na známé, nebezpečné stránky.
Nastíním ve zkratce motivaci útočníka. Ten má většinou za cíl dostat svůj škodlivý software (malware) na co nejvíce počítačů a z nich udělat botnety, tedy počítače ovládané na dálku a páchající nějakou nekalost, aniž by si to uživatel uvědomil.
Pokud svůj exploit dostane na nějaké hojně navštěvované stránky (například ty vaše), jsou potenciálně napadeni všichni vaši návštěvníci. Dost z nich má sice firewall, ale ten je jim k ničemu, neboť komunikace probíhá stejně jako klasické načítání stránek. Zabránit napadení může jen aktualizovaný prohlížeč (zejména IE) a antivir, antispyware nebo jiný program, speciálně k tomu účelu navžený (samozřejmě také aktualizovaný).
Ne všem ale vlastní bezpečnost dělá vrásky a tak je nemalá část návštěvníků napadena. Takže suma sumárum, útočníkovi se napadení webových stránek sakra vyplatí.
Teď jak na to? Existuje samozřejmě více cest, například využít nějakou známou zranitelnost konkrétní webové aplikace, zkusit uhodnout slabá hesla na FTP nebo nějakým způsobem heslo k FTP ukrást (opět pomůže nějaký exploit, vir, atd.)
Jaké jsou tedy rady?
- používejte aktualizace (ať již jde o antivir, prohlížeč, operační systém)
- firewall taky není k zahození
- hesla používejte generovaná (kvůli slovníkovým útokům)
- hesla mějte dostatečně dlouhá (8 znaků je naprosté minimum)
- v počítači si hesla ukládejte šifrovaně (výborná aplikace pro tento účel je KeyPass)
- nenechávejte hesla jen tak ležet na nespolehlivých místech (například ukládání v Total Commanderu je dost nebezpečné)
- zálohujte
- zkrátka budťe opatrní :)
add comment
view posted comments (0)
Jak psát web a ti druzí
Přehled nabízí pár stránek, kde hledat relevantní informace o tvorbě webu, HTML, CSS, Javascriptu a atd. v českém nebo anglickém jazyce.
Web Jakpsatweb.cz asi zná každý, kdo má co dočinění s programováním v HTML a CSS. Tento web drží nejen prvenství jakožto zdroj relevantních informací o HTML a CSS v českém jazyce obecně, ale díky oblíbenosti u mnoha programátorů je na Googlu zobrazován na první pozici i na obecné klíčové slovo "jak". Toť perlička na úvod, ale pojďme k věci.
Na webu najdeme nespočet článků a ukázek kódu, které využije především začátečník, ale zabrousí tam zajisté i nejeden "profík", pokud si zrovna není jistý nějakým detailem. Zejména bych vyzdvihnul dobře spracovaný seznam HTML tagů a CSS atributů. Abych ale jen nechválil jeden web, nabízím anglicky psané alternativy.
První z nich je ucelený a velmi přehledný seznam CSS atributů na webu CSSCreator.com. V přehledu je uvedena kompatibilita s prohlížeči, po rozkliknutí potom najdeme možné hodnoty, které může daná vlastnost nabývat.
Nejen na HTML, CSS, ale i na JavaScript, HTML DOM, XML, XSLT a další webové záležitosti se zaměřuje web W3Schools, který, jak název webu napovídá, sleduje aktuální trendy konsorcia W3C, které se neomaleně řečeno stará o standardizaci všeho, co se webu týká. Autor stránek se sice zříká zodpovědnosti za správnost obsahu, nicméně informacím zde uvedeným můžeme bez rozpaků věřit.
No a výčet završím sice trochu více specifickým projektem, zato informace na něm zveřejněné je dobré mít vždy na paměti nebo alespoň mezi Bookmarky. Jedná se o přehled standardních webově-bezpečných fontů, včetně jejich korektní definice v CSS. Proč je důležité dobře vybrat font a správně ho zapsat do definice stylu, se kromě jiných typografických záležitostí dozvíte na stránkách www.typomil.com.
IE Tester a Browser Sandbox
Tento článek navazuje na předešlý příspěvek a dozvíme se o dalších možnostech, jak odladit HTML a CSS pro všechny prohlížeče.
V nedávném postu jsem se zmínil o kolekci MSIE, která obsahuje instalace všech dodnes používaných verzí Internet Exploreru i starších, dnes již nepoužívaných. Podobný nástroj využije zejména webdesignér, který chce mít stránky optimalizované pro všechny prohlížeče.
Kamarád mě nicméně upozornil, že zmíněná kolekce nefunguje pod operačním systémem Windows 7, což je docela závažný problém. Zároveň mě ukázal zajímavý projekt, který pod označením IETester nabízí Internet Explorer ve verzích IE5.5 až IE8, včetně nejvíce proklínaného a doposud bohužel uživateli hojně používaného IE6. Aplikace neobsahuje konkrétní prohlížeče, ale emuluje jejich chyby v zobrazování, takže účel plní dobře a stránky lze i pro IE6 odladit celkem bez problému.
A aby toho nebylo málo, narazil jsem na další projekt, který slouží k podobnému účelu, ale na celou věc jde ještě trochu jinak. Projekt můžeme najít pod označením Browser Sandbox a nabízí kromě Internet Exploreru ve verzi 6, 7 a 8 i Firefox ve verzi 2, 3 a 3.5, Safari 3 a 4, Google Chrome a Operu ve verzi 9 a 10. Nejzajímavější na tom ale je, že se ve skutečnosti jedná o online aplikace, tedy dostupné z kteréhokoliv prostředí přes web, ovšem před spuštěním je potřeba si nainstalovat do prohlížeče jakýsi plugin. Bohužel až přiliš často místo spuštění vybraného prohlížeče vyskočí chybová hláška, až tohle autoři vychytají, bude to paráda.
A proč že tyto všechny nástroje? Inu, dokud bude uživatelů zejména IE6 více než mizivé množství a webdesignéři budou chtít ladit své stránky pro všechny používané prohlížeče, nemají na vybranou.
MSIE 5, 6, 7, 8 Developer Collection
Jak mít všechny myslitelné verze Internet Exploreru na jednom počítači? Máme řešení!
Přesto, že podle oficiálních informací je Internet Explorer 6 už mrtvý (zemřel po 8 letech 1. března 2010), stále se najde nemalé procento uživatelů (podle w3schools je to i dnes slabých 10%, což je nepříjemně mnoho), kteří tento zoombie prohlížeč používají. Díky těmto "zaostalcům" (zaostalých často ne vlastní vinou) si mnoho webdesignérů a kodérů může rvát vlasy se stále stejným, dokola se opakujícím, problémem: "Ve všech prohlížečích dobré, v IE6 úplně rozházené". Mnoho hodin strávených nad nesmyslnými úpravami je realita mnoha HTML/CSS kodérů. Docela by mě zajímalo vyčíslit ztráty všech firem celosvětově, které byly zapříčiněny laděním IE6. To by bylo číslo, panečku!
Z HTML a CSS standardů si prostě před osmi lety nikdo v Microsoftu hlavu nedělal, což má za následek často nepředvídatelné chování prohlížeče. Pokud tedy chceme vytvořit přístupnou aplikaci, musíme se ještě pár měsíců a možná i pár let zabývat mimojiné i prohlížečem IE6. A protože standardním způsobem můžeme mít jen jednu instalovanou verzi, musíme hledat alternativy.
Dlouhou dobu používaná, nicméně nyní nepoužitelná (alespoň u mě již nefunguje) varianta je MSIE Developer Pack. Dnes jsem našel daleko lepší a stále udržovanou variantu s příznačným označením Internet Explorer Collection, která se sice musí instalovat, ale obsahuje všechny potřebné (i nepotřebné) verze pro vývoj:
- Internet Explorer 1.0 (4.40.308)
- Internet Explorer 1.5 (0.1.0.10)
- Internet Explorer 2.01 (2.01.046)
- Internet Explorer 3.0 (3.0.1152)
- Internet Explorer 3.01 (3.01.2723)
- Internet Explorer 3.03 (3.03.2925)
- Internet Explorer 4.01 (4.72.3110.0)
- Internet Explorer 5.01 (5.00.3314.2100)
- Internet Explorer 5.5 (5.51.4807.2300)
- Internet Explorer 6.0 (6.00.2800.1106)
- Internet Explorer 6.0 (6.00.2900.2180)
- Internet Explorer 7.0 (7.00.5730.13)
- Internet Explorer 8.0 (8.00.6001.18702)
Nový Firefox 3.6 a Personas
Kromě podpory HTML 5 nabízí nový Firefox, který byl dnešním dnem oficiálně uvolněn, tzv. Personas, tedy osobní témata vzhledu okna. Napadlo mě, jestli to uživatelé opravdu potřebují? Asi ne nutně, ale používat se to bude. A to hodně.
Stejně jako byla první vlaštovka ve formě změny pozadí plochy Windows, později úprava vzhledu Gmail, hlavní stránky Googlu atd. Zkrátka, co dneska nejde upravit podle vlastní chuti, je pozadu.
Na oficiální stránce je i návod, jak vytvořit a zveřejnit vlastní Personas, třeba s obrázkem vašeho oblíbeného mazlíčka, je to docela jednoduché.
Jak přechytračit Captcha Resolver
Captcha ("completely automated public Turing test to tell computers and humans apart", tedy "plně automatický veřejný Turingův test k odlišení počítačů a lidí") většinou nutí uživatele opsat text z grafického obrázku. Začínal jsem s velmi jednoduchým barevným textem na pozadí, které zvořily vodoznaky. Po pár dnech jsem se stal objetí jednoho z Captcha Resolverů, který mým testem bez větších problémů prošel.
Začal jsem tedy upravovat výsledný text s cílem ztížit robotům jeho rozpoznání. Přidal jsem bílé linky, které přerušují písmenka a barevné obedélníky, které mají robota zmást.
Co na to roboti? Nemají problém.
Dále jsem zkoučel rozmazání. Co roboti? Opět v pohodě rozpoznají. Zkoušel jsem další a další věci, ale výsledkem toho byla jen obtížnější čitelnost pro člověka, ale zároveň stále příliš dobrá čitelnost pro roboty.
Neplatilo na ně:
- různá barva písmen
- vodoznaky na pozadí
- obdélníky pro zmatení
- rozmazání (ve skutečnosti je rozmazání jedním z kroků při rozpoznávání textu, takže jsem tím robotům akorát ulehčil práci)
- dělení zanků bílými linkami
- jiné barevné linky
Naopak lepší výsledky (rozuměj větší zmatení protivníka - OCR robota) dosáhneme použitím:
- jednobarevného textu
- písmenka blízko u sebe (až se překrývají)
- netradiční, nejlépe bitmapový font
- část obrázku zinvertovat
Zajímavější a úspěšnější ukázky a dokonce možnost integrovat tamější systém kontroly do vašich stránek nabízí projekt http://recaptcha.net. Vzhledem k přístupnosti není od věci i možnost nechat si text přehrát.
OCR roboti jsou den ode dne chytřejší a vygenerovat dobře čitelnou Captchu pro lidi, ale nerozpoznatelnou pro počítač je den ode dne těžší a těžsí. Zajímavou alternativou jsou pak logické otázky, od základních "kolik je pět a tři?" až po zajímavější "Kolik nohou má stonožka?".
