2006

Przedstawiamy kod źródłowy jednej niewielkiej objętościowo funkcji języka PHP, która okazuje się być skutecznym rozwiązaniem na dziury typu SQL Injection. Całość ma jedyne 20 linijek i dodatkowo znacznie przyspiesza generowanie zapytań SQL poprzez zastosowanie szablonu argumentów ściśle określających ich typ.

Funkcja korzysta z wbudowanej funkcji MySQL do dodawania znaków unikowych, jednak rozbudowa funkcjonalności do innych baz danych nie powinna być większym problemem.

<?php

$arrArguments = array();

$intArgumentIndex = 0;

function parseArgument($arrMatches) {

global $arrArguments, $intArgumentIndex;

$strMatch = $arrMatches[0];

$strArgument = @$arrArguments[$intArgumentIndex++];

switch ($strMatch) {

case ‚%d’: return (int)$strArgument;

case ‚%s’: return ‚”‚.

mysql_real_escape_string($strArgument).'”‚;

case ‚%b’: return (int)((bool)$strArgument);

}

}

function SQL($strSql) {

global $arrArguments, $intArgumentIndex;

$arrArgs = func_get_args();

array_shift($arrArgs);

$arrArguments = $arrArgs;

$intArgumentIndex = 0;

return preg_replace_callback(‚/(%[dsb])/’, ‚parseArgument’,

$strSql);

}

?>
Zastosowanie:

$sql = SQL(‚INSERT INTO users (id, uid, name, username, password, newsletter) VALUES (NULL, %d, %s, %s, %s, %b)’, $_POST[‚uid’], $_POST[‚name’], $_POST[‚username’], md5($_POST[‚password’]), $_POST[‚newsletter’]);

INSERT INTO users (id, uid, name, username, password, newsletter)
VALUES (NULL, 1, „Łukasz \”anAKiN\” Lach”, „anakin”,
„97296eca657a093aa379778c237e292d”, 1)
Przepis na SQL Injection

Rząd Stanów Zjednoczonych rozpoczął wprowadzanie nowych paszportów, wyposażonych w technologię RFID. Pierwsze egzemplarze trafią do amerykańskich dyplomatów, którzy wezmą udział w programie pilotażowym.

Jak podają przedstawiciele władz, wbudowany chip zawiera wszystkie informacje, które zostały wydrukowane w paszporcie oraz zeskanowane zdjęcie posiadacza dokumentu.

Rządowi eksperci przyznają, że system metek radiowych pozwoli na szybszą i sprawniejszą identyfikację personaliów, podczas gdy obrońcy praw obywatelskich alarmują o podwyższonym ryzyku kradzieży danych przez hakerów.

Przeciwnicy nowego systemu identyfikacji nie pozostają jednak bez racji. Całkiem niedawno jedna z firm produkująca zabezpieczenia informatyczne, zaprezentowała sposób na złamanie kodu w prototypie holenderskiego paszportu z chipem RFID.

Pomimo obaw licznego grona oponentów, nowe dokmenty zostaną oficjalnie wprowadzone do powszechnego użytku w Stanach Zjednoczonych, w październiku.

Źródło: Engadget
Paszporty biometryczne od 2006
USA może zrezygnować z planu bio-paszportów
Unia chce odroczyć wprowadzenie e-paszportów
pl.wikipedia.org/wiki/RFID

Firmy Cisco Systems Poland, McAfee Polska oraz RSA Security, czołowi dostawcy rozwiązań z zakresu bezpieczeństwa sieciowego i informatycznego, poinformowały o organizacji cyklu seminariów „Bezpieczna sieć komputerowa”, który zostanie zorganizowany w marcu i kwietniu br. we wszystkich 16 miastach wojewódzkich.

Seminaria kierowane są przede wszystkim do menedżerów IT oraz osób odpowiedzialnych za sieci komputerowe w małych i średnich przedsiębiorstwach.

Uczestnicy spotkań będą mogli poznać podstawy budowy i funkcjonowania bezpiecznej sieci dla małej i średniej wielkości firmy zgodnie z obecnym stanem wiedzy na temat bezpieczeństwa, poznać różne sposoby zabezpieczenia połączenia z Internetem, w tym także przeglądarek internetowych, poczty elektronicznej, a także innych aplikacji.

Seminaria będą także okazją do zapoznania się z ideą „samobroniącej się sieci” i poznania rozwiązań, które automatycznie odpowiadają na zagrożenia pojawiające się w różnych warstwach sieci: w aplikacjach biznesowych, ruchu w sieci oraz urządzeniach końcowych.

Udział w seminarium jest bezpłatny, jednak ze względu na ograniczoną liczbę miejsc wymaga wcześniejszej rejestracji. Cykl seminariów zostanie zainaugurowany 21 marca w Kielcach, a zakończy się 28 kwietnia w Katowicach, zgodnie z poniższym harmonogramem.

· 21.03.2006: Kielce
· 22.03.2006: Lublin
· 23.03.2006: Łódź
· 28.03.2006: Szczecin
· 29.03.2006: Poznań
· 4.04.2006: Bydgoszcz
· 5.04.2006: Gdańsk
· 6.04.2006: Olsztyn
· 11.04.2006: Białystok
· 12.04.2006: Warszawa
· 18.04.2006: Zielona Góra
· 19.04.2006: Wrocław
· 20.04.2006: Opole
· 25.04.2006: Kraków
· 26.04.2006: Rzeszów
· 28.04.2006: Katowice

Bliższe informacje na temat seminariów oraz możliwość rejestracji znajdują się na stronie: http://www.event-in.com/bsk2006

„Sieć komputerowa i jej zasoby są strategicznym elementem funkcjonowania każdej firmy, dlatego zapewnienie najwyższego poziomu bezpieczeństwa staje się priorytetem nie tylko dla użytkowników ale przede wszystkim dla firm dostarczających sprzęt i rozwiązania sieciowe. Bardzo się cieszę, że wspólnie z firmą McAfee i RSA podjęliśmy inicjatywę dzielenia się wiedzą i doświadczeniem z użytkownikami” – powiedział Krzysztof Gołda, Territory Market Manager odpowiedzialny za rynek SMB w Cisco Systems

„Bezpieczeństwo sieci komputerowych jest coraz większym wyzwaniem nie tylko w korporacjach, ale także w małych i średniej wielkości przedsiębiorstwach. Komputerowi włamywacze często wykorzystują słabo chronione komputery do działalności przestępczej. Narażają przy tym na szwank dobre imię firm oraz utrudniają im wykorzystanie komputerów do prowadzenia normalnej działalności.” – powiedział Kamil Śliwski, dyrektor ds. sprzedaży do Małych i Średnich Przedsiębiorstw, McAfee Polska.

„Właściwe zabezpieczenie styku z Internetem oraz właściwa ochrona komputerów należy więc do fundamentalnych zadań każdego administratora sieci i dyrektora ds. informatyki.”

„Bezpieczeństwo informatyczne z roku na rok staje się coraz większym wyzwaniem. Informacje i dane znajdujące się wewnątrz setek milionów komputerów są warte prawdopodobnie dużo więcej, niż kapitał zgromadzony przez banki całego świata. Nie ulega wątpliwości, że wartość zasobów informatycznych będzie stale rosła. Jednocześnie rośnie i – według wszelkich prognoz będzie rosło – zagrożenie ze strony internetowych przestępców” – mówi Łucja Barbaszewska z polskiego oddziału RSA Security.

„Z badań, które zostały przeprowadzone na zlecenie RSA w Wielkiej Brytanii wynika, że blisko 80% osób korzystających z komputera nie przestrzega podstawowych zasad bezpieczeństwa. W Polsce ten odsetek jest być może jeszcze większy. RSA Security przykłada szczególną wagę do bezpiecznego korzystania z dobrodziejstw informatycznych i chętnie wspiera wszelkie inicjatywy mające na celu propagowanie idei bezpieczeństwa sieciowego”.
http://www.event-in.com/bsk2006

Microsoft przedstawił nowy serwis dzięki któremu można wybrać się w wirtualną przejażdżkę lub na spacer po Seatle lub San Francisco.

Projekt Windows Live Local Street Side – preview.local.live.com jest w wersji beta i ma za zadanie w przyszłości ułatwiać m.in poruszanie się po nieznanych nam miastach. Strona została wykonana za pomocą technologi AJAX.
Windows Live Local Street Side

Do wczoraj można było korzystać z niemal darmowej bezprzewodowej transmisji danych w sieci komórkowej Heyah.

Było to możliwe przez błąd w systemie billingowym Polskiej Telefonii Cyfrowej, która jest operatorem sieci Heyah. Błąd wykryli użytkownicy komórek.

Klient, kupując kartę SIM (najtańsza kosztuje 5 zł), mógł bez dodatkowych kosztów korzystać z bezprzewodowego dostępu do Internetu zarówno w technologii GPRS, jak i EDGE.

Po kupieniu startera wystarczyło aktywować przez internetowe biuro obsługi klienta połączenia GPRS, a następnie włożyć nową kartę SIM do telefonu i rozpocząć korzystanie z Internetu.

Naliczanie opłat za Internet zaczynało się dopiero po pierwszej rozmowie telefonicznej. – Oferta darmowego Internetu w Heyah już się skończyła – mówiła wczoraj po południu Agata Borowska, rzecznik Heyah.

Przed kilku laty, tuż po wprowadzeniu przez PTC transmisji danych w usłudze Tak Tak, także można było przez jakiś czas nie płacić za przesłane dane. Powodem był błąd w oprogramowaniu zarządzającym dostępem do Internetu.

Źródło: Rzeczpospolita
Kontrowersyjna kampania spółki MediaTel
Heyah – bez ściemy… ale i bez rozumu

Studenci z Koła Naukowego KERNEL zapraszają na kolejny wykład w ramach cyklu „Linux — U mnie działa!” Już w czwartek, 16. marca na krakowskiej Akademii Górniczo-Hutniczej obnażone zostaną wszelkie tajemnice konfiguracji i obsługi sieci bezprzewodowych w Linuksie.

Celem prelekcji jest obalenie mitu, jakoby technologia Wi-Fi sprawiała jedynie kłopoty w systemach spod znaku Pingwinka.

Marek Magryś omówi instalacje najpopularniejszych sterowników oraz objaśni konfigurację tunelu VPN. Dodatkowo będzie można się nauczyć, jak z komputera klasy PC niskim kosztem zrobić nowiutkiego Access Pointa 🙂

Spotkanie odbędzie się na wydziale Fizyki i Informatyki Stosowanej AGH w czwartek, 16 marca, o godzinie 18:15 w sali A pawilonu D10.

Wstęp dla każdego, jak zwykle, wolny.

Standardowo, po wykładzie rozlosowane zostaną nagrody. Aby wziąć udział w losowaniu należy się uprzednio zarejestrować na stronie wykładów LUMD.

Gigant z Redmond chce pokonać Google i Yahoo! na rynku wyszukiwarek.
Microsoft udostępnił wersję beta usługi, która ma w przyszłości zastąpić MSN Search. Windows Live ma sprawić, że użytkownicy będą chętniej korzystać z wyszukiwarki producenta niż z narzędzi aktualnych liderów rynku.

Windows Live Search pozwala na przeszukiwanie konkretnych kategorii. Znajdują się wśród nich m.in. grafiki, bieżące informacje, nagłówki RSS, e-maile. Użytkownicy mogą również zapisywać i dzielić się zadanymi wyszukiwarce zapytaniami.

Wśród nowych udostępnionych przez koncern Gatesa narzędzi znalazły się takie, które przyspieszają wyszukiwanie, przeglądanie i organizowanie wyników wyszukiwania. Możliwe jest również ich podejrzenie przed wejściem na interesującą nas stronę.

Źródło: WirtualneMedia.pl
http://live.com

Przy pomocy internetu można bez problemu ustalić tożsamość ponad 2,6 tys. pracowników Centralnej Agencji Wywiadowczej (CIA), w tym agentów, których dane ze względów bezpieczeństwa powinny być szczególnie chronione.

Dziennikarze gazety „Chicago Tribune” zdołali także ustalić położenie ponad 20 tajnych obiektów należących do CIA na terenie Stanów Zjednoczonych oraz 50 wewnętrznych numerów telefonów agencji.

„Chicago Tribune” podała, że przekazała CIA zdobyte dane i na prośbę agencji nie opublikowała rezultatów swojego śledztwa. Dziennikarzom udało się zidentyfikować pracowników CIA dzięki w większości płatnym serwisom internetowym zawierającym dane z transakcji handlowych czy numery telefonów.

Na pytanie dziennika, jak to możliwe, że w internecie można znaleźć tak wiele osobistych informacji na temat pracowników agencji, wysoki rangą przedstawiciel CIA odparł, że „szczerze mówiąc, nie ma żadnego dobrego usprawiedliwienia”.

Nie wszystkie osoby z 2653 ustalonych przez gazetę muszą ze względów bezpieczeństwa chronić swoją tożsamość. Na sporządzonej przez dziennikarzy liście jest ponad 160 analityków oraz byli szefowie CIA, m.in. George Tenet.

„Jednak pewna grupa z tej listy – CIA odmówiła podania, jak liczna – to chronieni pracownicy, a charakter wykonywanych przez te osoby obowiązków może uczynić z nich cel dla terrorystów” – ostrzega chicagowski dziennik.

Źródło: PAP

Laptop działający dobę albo i dwie bez zasilania. – Brzmi niewiarygodnie? Ale może się spełnić – przekonują firmy elektroniczne. Wystarczy odrobina alkoholu.

O ogniwach paliwowych zasilanych alkoholem metylowym producenci sprzętu elektronicznego mówią od kilku lat. Przenośne urządzenia potrzebują coraz więcej energii, np. telewizja w telefonach komórkowych zużywa więcej prądu niż mogą dostarczyć obecnie używane baterie.

Laptopy na zwykłych akumulatorach litowych pracują średnio 3-5 godz. (to mało, zwłaszcza jeżeli często podróżujemy), potem trzeba szukać gniazdka. W przypadku alkoholowej baterii wystarczyłoby wymienić pojemnik z metanolem.

Energia – upraszczając – powstaje w wyniku reakcji tlenu z wodorem (ten ostatni mamy właśnie dzięki metanolowi). Bateria jest tym bardziej wydajna, im wyższe stężenie metanolu. Z kolei im stężenie niższe, tym pojemnik z metanolem musi być większy.

Dotąd giganci branży elektronicznej – Toshiba, LG czy Samsung – pokazywali jedynie prototypy takich baterii. I odwlekali datę ich rynkowego debiutu – np. Toshiba zapowiadała, że urządzenia napędzane jej bateriami paliwowymi trafią na półki sklepowe do 2005 r. Ale rok temu przesunięto datę na 2007 r. Koncern NEC prognozował, że laptopy napędzane metanolem będą w sprzedaży już w 2004 r. Do dziś ich nie ma.

Ale kwestia wprowadzenia „baterii z procentami” do masowej produkcji może przyspieszyć dzięki dwóm tajwańskim spółkom – Antig Technology oraz AVC Corp.

Na trwających właśnie tegorocznych targach CeBIT w niemieckim Hanowerze pokazały ogniwa paliwowe do laptopów. Mają pozwolić na osiem godzin pracy na komputerze.

Ogniwo ma wielkość płyty CD i nie jest lekkie – razem z pojemnikiem mieszczącym 200 cm sześc. roztworu waży 1,7 kg. Baterie mają trafić do produkcji już w drugiej połowie tego roku. Na razie nie jest znana ani ich cena, ani to, którzy producenci wykorzystają je w swoich komputerach.

Także do końca roku mają zadebiutować baterie UC25 firmy UltraCell. Na razie spółka pokazała prototyp stworzony na potrzeby wojska. Laptop na takiej baterii mógłby działać nawet dwie doby.

Obserwatorzy rynku są na razie sceptyczni – podkreślają, że o popularności nowych baterii zdecyduje m.in. koszt wymiany i napełniania takich baterii. Co ciekawe, poza kłopotami technologicznymi przeszkodą może być… prawo. Po atakach terrorystów na World Trade Center w Stanach Zjednoczonych na pokład samolotu – oprócz ostro zakończonych przedmiotów – nie można wnosić pojemników z metanolem o stężeniu wyższym niż 24 proc.

Źródło: Gazeta.pl

Rejestracja domen Unii Europejskiej trwa już od trzech miesięcy. W tym czasie polskie firmy i instytucje publiczne złożyły 3.900 wniosków na te domeny. Równocześnie pojawiły się pierwsze sygnały o nieprawidłowościach i próbach wyłudzenia podejmowanych przez nieuczciwe firmy i osoby prywatne.

Instytucje starające się o domeny .EU najczęściej mają do czynienia z następującymi nieprawidłowościami: zapewnienie, że domena .EU będzie na pewno zarejestrowana, nieścisłości w ofertach i regulaminach (dotyczy głównie cen), a także próby oszukania klienta poprzez odebranie części praw własności do domeny.

– Nie dajmy się zwieść, nikt nie może zagwarantować, że wybrana domena .eu będzie na 100 procent zarejestrowana. Po drugie, warto czytać regulaminy sprzedaży domen .eu, gdyż tam znajdują się szczegóły, które mają duże znaczenie formalne i finansowe – przestrzega Marcin Majerek z firmy Domeny.pl, Akredytowanego Rejestratora Domen .EU w Polsce.

– Niestety, niektóre firmy zobowiązują klientów do podpisywania umów w zamian za niższą cenę na domeny .eu. Umowa zawiera zwykle paragraf, że współwłaścicielem zakupionej domeny jest firma, która ją sprzedała, czyli klient nie będzie wyłącznym właścicielem domeny – dodaje.

Co gorsza, pojawiają się także osoby wyłudzające pieniądze za domeny .eu – Proceder wygląda następująco, na adres e-mail firmy będącej w trakcie rejestracji domeny, przychodzi wiadomość o gotowości odsprzedania domeny .eu za kilka tysięcy złotych. Domeny, która jeszcze nie jest nawet zarejestrowana – tłumaczy Wojciech Dyląg z Domeny.pl.

Jego zdaniem, taką propozycję można od razu wyrzucić do kosza, a najlepiej poinformować o niej organy ścigania. Wiadomość o podobnej treści otrzymały już firmy Gerda oraz Milmet z Sosnowca, które złożyły kilka tygodni temu wnioski na domeny .eu. Na szczęście żadna z tych firm nie skorzystała z propozycji.

Źródło: Webinside.pl