CAPTCHA

на PHPClub'е пипл пообсуждал немного тему создания CAPTCHA картинок в обычном ключе: у кого хуй длиннее -- ложь на наковальню отмечайсь сюдой!

и всплыло в обсуждении сцылко на пацанчика с OCR-research.org.ua: типа, вон, как ещё можно.

малодедз. харошы малтшык. тока жадный.
идея-то интересная, вот тока баблища просить за такое -- грех.

ладно б ещё там нужно было юзать алгоритм удаления скрытых линий, или ещё какую заумную поебень.
но ведь реализация-то проста неебически:

1. создаём в GD картинку А
2. на картинке А любым шрифтом и как угодно пишем текст (да хоть и рисуем хуй)
3. создаём картинку Б
4. пробегаем по сетке на картинке А с некоторой "зернистостью" (например, каждый пятый пиксель)
5. если точка белая, значит ничё нет -- Z=0; иначе -- Z=20 (если хочется выебонов, то вместо нулевой высоты можно пустить синусоиду; тогда будет "волнистая" подложка).
6. рисуем filledPolygon, да хотя б и с помощью 3D-lib'а, если с линейной алгеброй лень возиться (тока error_reporting=0 надо: старое оно очень).
7. всёбля! получаем результат:


З.Ы. есходнеки прилагаются, конечно же.

spam attack : mail inject

судя по всему, совсем скоро во всяких рассылках по безопасности, а особенно про PHP, появится новая тема, которая встанет рядом с SQL-inject'ами: Mail-injects.

ситуация:
сайт.
веб-форма, где юзер должен зарегаться.
после заполнения данных, юзеру высылается мыл активации: "нажмите линк, чтобы подтвердить... бла-бла-бла".

проблема:
мыл высылается на адрес, указанный юзером в форме.
большие дяди-программеры, уже наученные горьким опытом, всяко будут фильтровать пришедшие данные на предмет кавычек, слэшей и всякой прочей поебени: юзерский мыл ведь нужно зарегать в базе и всё такое.
отсылка производится как-то типа:

mail(
    $filteredUserEmail,
    $mailSubject,
    $mailBody,
    "From: no-reply@huemae.com"
);


и что же делают наши всеми горячо любимые сцуко-пилять-спамеры-я-их-мама-ибаль?
они поступают очень просто: засовывают в поле "Ваш мыл" что-то типа вот такого:

$userEmail = "bleh@fokya.com\nCc: pepe@aol.com; paco@terra.es; puto@gilipollas.com";


доверчивый и наивный РНР не делает никакой магии с параметрами, полученными в mail().
он тупо формирует заголовки мыла и настолько же тупо и прямолинейно отдаёт их MTA, который совершенно честно и откровенно, получив вот такое:
Subject: Please, confirm
From: bleh@fokya.com
Cc: pepe@aol.com; paco@terra.es; puto@gilipollas.com
Content-type: text/html

...рассылает теперь спам от имени сайта, копируя каждый мыл ещё на десятки экаунтов.

да, в теле сообщения может быть какой-нибудь мусор с точки зрения сцуко-пилять-спамеров-я-их-мама-ибаль, типа "нажмите на этот линк, чтобы подтвердить...", однако ведь есть кучи скриптов, которые лишь формируют красивую HTML-табличку, сплошь состоящую из только что введённых юзером данных и ничего более.

бедный AOL-user теперь получит по мылу табличку от имени моего сайта, в каждой строчке которой будет: "хуй два метра нахаляву прямо щас!", не устоит от соблазна и станет очередной жертвой интернет-мошенников.

от така хуйня, малята!
научившись фильтровать данные для SQL, нехуй останавливаться на достигнутом: теперь можно переходить к мыл-адресам.
а сцуко-пилять-спамеров-я-их-мама-ибаль -- мочить!

WMF sploit

ыыы, какие идиоты!
«Уязвимость существует в "Windows Picture and Fax Viewer"» © SecurityLab.ru
и дилетанты радостно скачут в комментах у apazhe'a...
я просто хуею, дорогая редакция.

уязвимость найдена в GDI32.DLL, а это -- одна из трёх самых важных библиотек в виндах, существующая с самых первых версий линейки.
зачем какой-то программе писать свой собственный обработчик WMF файлов, когда можно легко вызвать системную функцию? незачем. вот и получаем, что йобнет оно во всех случаях, когда система попытается показать картинку с "полезной нагрузкой", а это уже в свою очередь означает, что уязвимы практически все продукты под виндою.

и если уже выпущенные эксплойты трахают только последние версии виндов (ХР, 2000, Виста), потому что у них прописана автоматическая реакция на WMF-файлы, это вовсе не значит, что старьё неуязвимо.
появление червя "для всех даром" -- лишь вопрос времени.
обычно это занимает месяц-два, но сейчас всё совсем уж легко, во многом благодаря проекту Metasploit, выпустившему генератор эксплойтов на эту дыру в своём фреймворке.

и лучше всего действительно пропатчиться у русского пацанчика, который -- не хуй с горы, а один из авторов IDA, что можно перевести для особо одарённых как «один из лучших в мире спецов по всякой низко-уровневой хуйне под виндами».

напоследок, наверное будет полезно читнуть нормальный FAQ или, ещё лучше, хронику на F-Secure.com, а не то ебонтяйство про Факсы на СекьюритиЛабе.
хуяксы у них, блядь, видите ли уязвимы!
три гы-гы нах! =)

UPD#0: по просьбам трудящихся:
wmf_checker_hexblog.exe проверит, уязвима ли система для уже известных эксплойтов.
wmffix_hexblog14.exe пропатчит систему от уже известных эксплойтов, не давая, тем не менее, полной 100% гарантии от.
мелкософт обещает официальный патч после 10-го января.

UPD#1: faceted_jacinth сделал зачотный аччот на тему о.

UPD#2: 16-янв-2006 : неужели действительно хуяксы?.. охуительно! =)
  • Current Mood
    patched

(no subject)

блядь, ну как же вы заебали со своими Fluent interface'ами!
в хронологическом, мать его:
- Martin Fowler
- Mike Naberezny
- Paul M. Jones
- Andi Gutmans
- Ivo Jansch
- ещё один хуй-знает-кто
кто следующий?!

завтра-послезавтра бухаем, ладно,
но потом ведь ещё и в ру-ЖЖ начнут!

сцуко! ненавижу эту вашу блогосферу! деццкая песочница нах!
всплывает одна тема, и сосут её до изнеможения.

контент надо генерить, блядь, а не переписывать из чужих блогов!

этпесдец!
то AJAX'ом называют обычные жабоскриптовые извраты,
то течкой интерфейсов обозначают удобное API.

дебилынах! что вы щас обсуждаете, я забыл ещё три года назад!


один Джоэль радует. хоть и пидор, но не сосёт. в смысле, не обсасывает.
знатно проехался по современной системе образования, становящейся всё тупее и тупее.

«Я ещё никогда не встречал никого, кто, владея Scheme, Haskell и указателями в С, не мог бы освоить Жабо за два дня и писать код, намного лучший, чем у всяких выродков с пятью, блядь, годами опыта разработок в Жабе... Но вы заебётесь это доказывать тому далбайобу из отдела кадров!»

ага. вот именно. заебётесь.
  • Current Mood
    emotionally unstable

(no subject)

¡Feliz año 2006!
Los que fumáis, os jodéis!
© исп. нар. фольклор



какие там фпесду итоги!
год проёбан. напрочь.
это наверное первый раз за все 29 лет, когда могу с уверенностью сказать, что целый год можно выбрасывать на помойку.

где-то, начиная с марта-апреля, все процессы остановились.
полная стагнация.
отупел, закостенел в своём невежестве, потерял гибкость мышления.
перестал «бежать со всех ног, чтобы остаться на месте».
практически ничего нового не узнал.
ничего из намеченного не выполнил.
плыл по течению, оставив всяческие попытки барахтаться.
а галактика всё ещё не завоёвана.
муй маль, блядь, муй маль!

лана. зато типа отдохнул.
всё равно «у всех кругом ноги кривые, а я завтра трезвый буду!» ©
я им ещё покажунах! ибо нехуй. ибо есть ещё шары в шароварах.


ещё этот йобана-закон о запрете курения где ни попадя.
сцуконах! ненавижу ссацыалистафф! я им ещё пидорские браки припомню!
вопчим, я может быть подумаю о том, чтобы бросить курить...
...но если из-за этого наберу хоть 5кг лишних, вселенная мне за это ответит!


следующий год должен стать Годом Свершений и Свержений.
энтропия Сообщества Опенсорц будет значительно повышена потоком говна под лицензией BOOST,
но придётся ещё и хорошую коммерческую лицензию подыскивать. ибо будет пора уже, да.

девизом следующего года объявляю:
нехуй по хуям хуём хуячить!



фсё! чмоки розавиньким всем, кто в этай чатке!
  • Current Mood
    воодушевлённое

1TB project : start

начал задумываться о проекте "1 терабайт на домашнем сервере", ибо заебало:
# df
Filesystem          1K-blocks      Used Available Use% Mounted on
/dev/hda1            77149768  69933036  7216732  91% /


зашёл на сайт одного из самых дешёвых "железных" магазинов в регионе, и глянул на общую картину по параметру €/GB.

среднее по дискам SATA: 0.832
варьируется от 0.436 за "Hitachi Deskstar T7k250 - 250gb 7200 Rpm Sata"
до 3.243 за "Western Digital Raptor 36.7gb - 10k Rpm - 8 Mb Sata".

цены на SCSI вообще ужасают: платить в среднем 3.882 €/GB (от 2.721 до 5.559) -- нуйонах!

ставить 4х250 GB не хочется, т.к. хочу один раздел через RAID0 сразу со всем внутри, чтобы потом не перебрасывать инфу тудым-сюдым, но и увеличивать риски вдвое по сравнению с 2х500 тоже не хочется.

скорее всего в конце концов получится чё-нидь типа 2 х "Hitachi Deskstar 7k500 500gb Sata2 7200" в RAID0 -- €736 (0.736 €/GB) + SATA2-адаптер.

охуеть!
я уже передумал!
кажется, для такого говна я буду ещё "созревать" долго...

RoR

clops -- гат! =)

смотрел «Блог на RoR за 15 мин».
впечатлился.
погрустил, что у нас такого всё ещё не и пока что не.
взбодрился, потому что у них негров линчуют ни о чём это ещё не говорит: то, что внутри -- too much magic, и что всё вызывается одной строчкой -- это ещё не показатель.
  • Current Mood
    show me your requests per sec!

phpDocumentor

а, кстати, phpDocumentor и всё остальное, основанное на javaDoc -- пример абсолютной хуйни, выдуманной американскими шовинистами-янки, не признающих другой мовы, окромя ангельской!

javaDoc-like комменты в коде хороши лишь для наиболее краткого описания функции и указания типов параметров с их описаниями. всё!

настоящая документация должна быть выполнена на нескольких языках.
должна содержать кучу примеров, хинтов и схем.

из всего известного мне наиболее близко к этому подошёл проект документации самого РНР, но мне кажется там всё достаточно громоздким.
нужно искать какое-то другое решение.

ах, ну да. чуть не забыл. у нас же тут опенсорц, где всем похуй на документацию...
  • Current Mood
    мысли вслух