Rywalizacja na torze
Programa.pl to nie tylko walka z kodem. Czasem trzeba odejść od komputera i zmierzyć się ze światem rzeczywistym. Ten tzw. „real” stanowi dla informatyków nie lada wyzwanie. Tym razem było wyjątkowo prosto…
Przeczytaj Całość »
Reklama w Internecie
W dniu dzisiejszym znów wybraliśmy się do Szczecina, na kolejne spotkanie z inwestorami – na kolejne szkolenia. Tym razem słuchaliśmy na temat reklamy w Internecie – czyli co robić, żeby inni nas znaleźli i nie poświęcić na to całego budżetu projektu.
Szkolenie poprowadził dla nas Mikołaj Woźniak, SEO Manager Cube Group. Rozpoczął od podziału obszaru zainteresować na dwa fragmenty – linki sponsorowane (CPC) oraz pozycjonowanie w wynikach organicznych (SEO). Po krótkim wstępie na temat podstaw (co jest co) podał kilka „dobrych praktyk”, pokazał przydatne narzędzia dla CPC i przeszedł do drugiego etapu.
Jak sam powiedział, na temat SEO mógłby mówić i mówić. Jednak na sali nie siedzieli laicy. W pewnym momencie rozgorzała dyskusja na temat algorytmu PageRank. Uczestnicy pytali o to jakie linki tworzyć i jak one wpływają na nasz PR. Ponieważ temat jest dla nas znany, wspieraliśmy prowadzące w dyskusji, tłumacząc zawiłość algorytmu, pomijając jednak część informacji, które wydały nam się zbyt szczegółowe, jak Tax oraz Topic Specific PageRank (TSPR).
W ramach przerwy zostaliśmy poproszeni na lunch, w czasie którego inni uczestnicy otoczyli Arka, zadając mu pytania (Czy to Ty jesteś ten Arek Skuza, specjalista od analityki webowej?). Czas na rozmowy o projektach, krótkie dyskusje na tematy prywatne minął dość szybko i o godzinie 12.30 wróciliśmy na końcówkę szkolenia i panel dyskusyjny.
Jakie wnioski z dzisiejszego szkolenia? Nie dowiedzieliśmy się za wiele. Nasze doświadczenie w tej dziedzinie okazało się wystarczające, by czuć się mocnymi w tej tematyce. Aktualnie trwa spotkanie Arka i Wojtka z zarządem inwestorów – co z niego wyniknie, okaże się niebawem.
Tagi: arek skuza, global startup challenge, itraff, page rank, polska fundacja przedsiębiorczości, reklamy internetoweiTraff na Global Startup Challenge 2010
Firma Programa (www.programa.pl) dzięki działalności naszego partnera biznesowego, Arka Skuza (www.arekskuza.pl) zakwalifikowała się wraz i dzięki niemu do ścisłej ósemki finalistów europejskiego konkursu Global Startup Challenge. Zostaliśmy wyłonieni z ponad 100 zespołów, które zgłosiły się do rywalizacji. Przez najbliższe dwa miesiące wspólnie będziemy realizować etap przedprojektowy oraz będziemy pracować nad prototypami aplikacji, której głównym pomysłodawcą jest Arek Skuza.
Konkurs, w którym udało nam się przejść do finału organizowany jest przez Polską Fundację Przedsiębiorczości, fundusz Xevin Investments oraz założycieli portalu FilesTube (firma RedSky), który to ma być wzorcem do naśladowania przez młodych przedsiębiorców. W trakcie dwóch miesięcy ciężkiej pracy, inwestorzy, po dokładnych obserwacjach zarówno zespołów jak i pomysłów wyłonią zwycięskie drużyny. Każdy z finalistów ma szansę otrzymania dofinansowania w wysokości 800 tysięcy złotych, co da szerokie możliwości rozwoju konkursowego pomysłu. Celem organizatorów jest rozwinięcie firm do skali światowej, na wzór wspomnianego już wcześniej portalu FilesTube.
iTraff u Prezydenta Szczecina
Nasz zespół podjął się realizacji projektu o nazwie kodowej iTraff. Główną ideą pomysłu jest utworzenie szeregu aplikacji mobilnych, które w połączeniu z zaawansowanym systemem rozpoznawania obrazów oraz kamerą wbudowaną w telefon komórkowy będą dawały możliwość otrzymania informacji o cenie i miejscach sprzedaży dowolnego produktu. Aplikacja, po odpowiednim przetworzeniu zdjęcia prezentować będzie ten sam produkt w pobliskich sklepach czy też coraz to popularniejszych sklepach internetowych. Głównym celem iTaff jest udostępnienie użytkownikom informacji gdzie można kupić ten sam produkt po niższej cenie. Oczywiście, na obecnym etapie, nie możemy zdradzać większej ilości szczegółów, ale miejmy adzieję, że już niedługo sami do nich dotrzecie poprzez inne popularne środki przekazu informacji dotyczących aplikacji internetowych.
Bezpieczne programowanie w PHP
W ramach zajęć z przedmiotu „Bezpieczeństwo w Systemach Komputerowych” tworzymy pewne materiały, oczywiście dotyczące bezpieczeństwa. Postanowiliśmy podzielić się tym z szerszym gronem niż tylko z kolegami z roku.
Zaczniemy od kilku tricków dotyczących PHP. Pokażemy jak wykonać pewne ataki i, co ważniejsze, jak się przed tymi atakami bronić. Będzie też kilka zasad historycznych, żeby pokazać, że język ewoluuje i sam zapewnia coraz większą ochronę.
Na początek zasada numer jeden – jedna, niepowtarzalna. Banalnie prosta, ale ekstremalnie ważna: użytkownik jest zły. Jeśli tylko będzie miał możliwość coś popsuć, to na pewno popsuje. Jeśli chcesz, żeby w dane pole wpisał liczbę, na pewno wpisze znaki specjalne.
Tak, to już jest atak. Jeśli nie zadbaliśmy o filtrowanie danych, to nasz portal jest potencjalnym celem ataków, gdyż większość ataków korzysta właśnie z tej luki.
Sprawa numer dwa: rozszerzenia plików. Jeśli tworzysz plik z kodem PHP, zawsze zapisuj go z rozszerzeniem „.php”. Jeśli zapiszesz go z innym rozszerzeniem (popularne jest „.inc”), to użytkownik wyświetli go jak zwykły plik tekstowy. Odczyta Twoje hasła. Skompromituje serwer. I po zabawie.
Sprawa numer trzy: dyrektywa register_globals. Jeśli masz możliwość – wyłącz. I to czym prędzej. Ona po prostu jest niebezpieczna! wystarczy wprawny cracker i wszelkie algorytmy bezpieczeństwa zostają skompromitowane.
Numer cztery: ataki typu Injection. Wstrzyknięcie obcego kodu w nasz kod. Sprawa bardzo niebezpieczna. Zabezpieczenie – filtrowanie danych. Do ataków tego typu należą SQL Inecjtion, Code Injection oraz Shell Injection.
Numer pięć: XSS i CSRF – umieszczenie na naszej witrynie szkodliwej zawartości. Ataki często mylone z sobą, ale pozwalające na nieco inne wykorzystanie luk.
Numer sześć: Session Fixation. Nie masz uprawnień? Możesz je sobie ukraść. I to w dość prosty sposób, korzystając z luk w portalu i łatwowierności ludzi. Jeden z ataków, przed którym można się obronić niewielkim nakładem pracy, ale jego pominięcie podczas ustalania polityki bezpieczeństwa portalu może skończyć się tragicznie.
Wreszcie numer siedem: HTTP Response splitting. Atak o znaczeniu historycznym. Jego wykonanie uniemożliwia w tej chwili sam język. W starych wersjach potrafił napsuć sporo krwii.
Tyle tytułem wstępu. O każdym z ataków i sposobach obrony postaram się napisać więcej. Mam przygotowane już pewne przykłady ataków, muszę tylko przygotować poligon. Jeśli ktoś jest niecierpliwy, to może na temat ataków poczytać m.in. w czasopiśmie Hackin9. Dwa numery w wersji pdf są do pobrania z naszej strony.
Tagi: Bezpieczeństwo, Cross-Site Request Forgery, Cross-Site Scripting, CSRF, HTTP Response Splitting, PHP, security, Session Fixation, Session hijacking, Shell Injection, SQL Injection, XSSAJAX lekarstwem na wszystko?
Wrzesień 16th, 2009 | Brak Komentarzy | Kategoria: Luźne przemyślenia, Optymalizacja, Pozycjonowanie
Śnił mi się koszmar – AJAX na każdej stronie. Cała witryna www na pojedynczym pliku index.htm i wywołaniach AJAX. I Google, który nie potrafi sobie z tym poradzić. Użytkownicy, którzy mają wyłączony JavaScript i nie potrafią zobaczyć tego, co mamy im do pokazania.
Rzeczywistość
Powyższy opis jest nieco przerysowany. Google radzi sobie coraz lepiej ze stronami dynamicznymi, JavaScript jest domyślnie włączony w większości przeglądarek, a użytkownicy nie mają powodów, by go wyłączać. A deweloperzy na szczęście tworzą strony www w bardziej zrównoważony sposób. I oczywiście mamy mod_rewrite, który nam pomaga. Ale czy AJAX rzeczywiście jest lekiem na wszystkie nasze bolączki?
Przestrzeń WWW bez AJAX
… byłaby straszna. Rezygnowanie z wywołań AJAX byłoby krokiem wstecz, zostawaniem za konkurencją. I ja w końcu musiałem się do nich przekonać. I dobrze, bo jak wspomniałem wyżej – AJAX jest przydatny.
Uważam tylko – a przecież totalnym newbie nie jestem – że wciskanie AJAXa we wszystko co się da to przesada. Nie wszystko opłaca się robić AJAXem. Powiecie – ale dzięki temu strona się nie przeładowuje. Mamy cache przeglądarek, mod_expire, ETagi, coraz szybsze łącza – czy to pół sekundy opóźnienia komuś przeszkadza? Nie robimy systemów czasu rzeczywistego z twardymi deadline’ami.
Nie myślcie przypadkiem, że jestem wrogiem innowacji. Nie o to chodzi. Potrzebny jest – jak we wszystkim – zdrowy rozsądek. I umiar. Jak to powiedział mój przyszły teść – ważne, żeby wszystko robić z głową.
Tagi: AJAX, Pozycjonowanie, szybkość