Компьютерра PDA N58 (18.09.2010-24.09.2010)
Шрифт:
Уязвимость позволяла осуществлять типичный межсайтовый скриптинг, а именно встраивать в твиты в том числе и джаваскрипты которые затем могли творить практически всё что угодно, в том числе рассылать новые твиты со встроенными джаваскриптами.
Проблема заключалась в следующем: в Twitter с его ограничениями на длину каждого твита (140 знаков) используется техника под названием сокращение URL, так что длинные адреса страниц в интернете выводятся в виде очень коротких
Как правило, веб-приложения должны проверять текст, поступающий из недостоверных источников, на безопасность, прежде чем выводить его пользователям. В данном случае такая проверка должным образом не осуществлялась.
И если пользователи вводили URL, содержащий символ "@", то Twitter интерпретировал его неверно, так что следующая за "@" часть введённой ссылки могла превращаться в HTML-код, который мог содержать в том числе и джаваскрипты. Этот скрипт интегрировался в страницу на Twitter.com и дальше мог делать всё, на что джаваскрипты в принципе способны.
Как можно использовать эту уязвимость наглядно показал пользователь Twitter Магнус Хольм. В своём аккаунте в Twitter, Хольм написал: "Это не я нашёл XSS-дыру. Я просто написал червя".
Эта уязвимость, впрочем, присутствовала только в старом дизайне сайта. Сейчас пользователей постепенно переводят на новый, однако делается это не за один день. Клиентские приложения эта проблема тоже не затронула.
Сейчас в Twitter исправили ошибку, и на сайт снова можно заходить не опасаясь какого-либо неприятного сюрприза.
Это уже не первый случай, когда сервис испытывает подобные проблемы. В апреле 2009 года аналогичная ситуация уже возникала - из-за другой уязвимости.
Случившееся 21 сентября вновь пробуждает беспокойство о безопасности Twitter, ведь сейчас было доказано, что червь может практически мгновенно распространиться по сайту, общая аудитория которого по размерам превосходит численность населения многих стран мира. Не побегут ли напуганные пользователи с ресурса?
Вряд ли. Наиболее вероятно, что пострадавшие забудут об этой проблеме на следующий день. Впрочем, пока что Twitter везёт - никакая особо вредоносная информация с помощью эксплойтов пока не распространялась. В любом случае, администрации ресурса определённо есть над чем задуматься.
В Entropia Universe появится планета Майкла Джексона
Автор: Юрий Ильин
Опубликовано 22 сентября 2010 года
Покойного короля поп-музыки Майкла Джексона решили увековечить виртуальным монументом, а точнее - целой планетой: Planet Michael появится в виртуальной вселенной Entropia Project - онлайновой игре, насчитывающей около 100 тысяч активных пользователей.
Непосредственным созданием виртуального "мира", по договорённости с наследниками Майкла Джексона, будет заниматься компания SEE Virtual Worlds. По сути дела, это будет отдельная игра внутри Entropia. Выпуск соответствующего дополнения намечен на 2011 год.
Как заявил Мартин Байаллас, исполнительный директор SEE Virtual Worlds, геймплей будет в основном связан с повторением танцевальных движений Джексона; кроме того, игрокам предлагается заниматься поиском и продажей всевозможных игровых предметов, так или иначе связанных с Майклом Джексоном. По словам Байалласа, в игре начисто будет отсутствовать насилие - в полном соответствии с убеждениями покойного поп-исполнителя.
Associated Press приводит слова специализирующегося на виртуальных мирах аналитика Forrester Research Т.Дж. Китта, который полагает, что в скором времени можно ожидать заключения множества рекламных контрактов между именитыми музыкантами и виртуальными мирами. Аналитик, однако, задаётся вопросом, есть ли вообще смысл в создании виртуального памятника Майклу Джексону в игре, населённой преимущественно подростками? По его мнению, основная часть поклонников Джексона - это люди, достигшие совершеннолетия ещё в 1980-е годы, и всякие онлайновые увеселения их интересуют очень мало.
Между тем, как показывает статистика, только около 10% игроков в Entropia - подростки младше 18 лет. 35% - люди старше 30 лет.
На самом деле, выбор Entropia в качестве площадки для создания "виртуальной планеты" выглядит ещё страннее, чем кажется на первый взгляд.
Entropia Universe (ранее - Entropia Project) никогда не пользовалась особо массовым успехом. В прошлом году игру перевели со старого движка Gamebryo на CryEngine 2, что намного увеличило её визуальную привлекательность, но не сильно сказалось на росте аудитории. Общая клиентская база Entropia насчитывает около 800 тысяч аккаунтов, при этом активных - в восемь раз меньше.
У того же Second Life, например, общая база насчитывает 18 миллионов аккаунтов.
До сих пор именно Second Life был самой популярной платформой для открытия "онлайновых представительств" всех и вся - государств, университетов, транснациональных корпораций, театров, концертных залов и т.д. Entropia этим похвастаться не могла.
Зато в 2004 и 2008 годах именно Entropia попадала в Книгу рекордов Гиннесса - никогда до сих пор внутриигровые предметы не продавались за столь большие деньги (причём реальные, а не внутриигровую валюту).
В 2010 году крайне популярная внутриигровая локация - космическая станция - перешла в частное владение за 330 тысяч долларов (реальных, не внутриигровых). Красиво жить не запретишь. Впрочем, Entropia всегда претендовала на то, чтобы совмещать игру и вполне реальные финансовые операции - внутриигровая валюта официально обменивается на доллары и обратно.
Возможно, с этим и связан выбор наследников Майкла Джексона, неплохо зарабатывающих на том, что осталось от него после его внезапной кончины в июле прошлого года. Но, опять же, не факт, что даже целая планета в Entropia принесёт им какие-либо существенные доходы.
Компания Mandriva будет бороться с "Ростехнологиями"
Автор: Евгений Крестников
Опубликовано 22 сентября 2010 года
Программное обеспечение с открытым кодом часто фигурирует в публикациях российских СМИ - в последнее время журналисты активно обсуждают создание так называемой национальной программной платформы. На звание оператора НПП претендует госкорпорация "Ростехнологии", которая недавно купила компанию "Альт Линукс" и планирует провести пилотное внедрение ее разработок в Самаре, Великом Новгороде и Туле.