PHP Security conference в Каунасе

Итак, прошёл PHP Security conference или PHP Security training в Каунасе.

XSS, SQL-Injections, Code Executions, Code Inclusions, Using google to find a Target, Shell Executions, Intranet Exploits, Output Encodings hacks и прочие вкусные вещи прошли огромным кол-вом через мои мозги. Часть осела, часть знал, о части даже не подозревал.

Johann-Peter Hartmann очень правильно подобрал материал, с немцам присущей пунктуальностью провёл не только лекции, но и hands-on курс с примерами взлома сайтов местных. 30 минут на взлом, несколько минут на поиск потенциальных мест для взлома, анализ кода (были даны примеры кода из зала, а он показал как надо это делать).

Вообще, очень много вещей в безопастности, связанной с PHP проектами, завязано на самом языке, а так-же на особенностях броузеров. Очень сильно убило то, как некоторые куски абсолютно не валидного кода, с огромными ошибками, отрабатывают броузеры, то как себя ведут броузеры и как их можно поймать с неуказанными чарсетами. Я об этом даже не подозревал.

Были затронуты вопросы безопастности на уровне сервера (в смысле Apache, Linux/Unix конфигурации), но очень поверхностно, так как это от части не совсем забота программиста.

Вообще, очень полезная инвестиция, как денег фирмы, так и личных. Очень прочистило мозг. Очень! Чаще бы так.

Они сговорились, да? Обновления у Prototype.js, script.aculo.us, Zend Framework и Ruby on Rails

Неделя полна новостей: новый сайт Prototype.js + версия 1.5.0, script.aculo.us 1.7.0 с новым и сильно анонсированным эффектом Morph. Надо в понедельник будет обновить текущие проекты и посмотреть, как будет работать в Opera, FireFox, IE6, IE7.

Zend выпустил Zend Framework Preview 0.7.0, чесно говоря, я ожидал что Zend будет быстрее его разрабатывать.

Ilia Alshanetsky анонсировал выход PHP 5.2.1 RC3.

А 37signals с командой разработчиков выпустил Ruby on Rails 1.2 – все акцентируют REST, вот бы знать, что это и как это едят (я в данный момент далёк от RoR). Говорят они победили проблемы с UTF-8 и обновили библиотеки Prototype.js до версии 1.5. Эх, хочется усесться в этот локомотив и катить с ним, но можно быть средним RoRовцем или быть хорошим PHPистом с уклоном на администрирование и load-balancing решения (PHP проектов).
Кстати, надо написать памятки по установки CentOS 4 с ServerCD, а то эту операцию я делаю не слишком часто, а может ещё и пригодиться.

Кстати, вышел WordPress 2.0.7 – они настоятельно рекомендуют обновиться, и это через 6 дней после выхода WordPress 2.0.6.

Oбнавлён сайт Prototype.js

Добро пожаловать в prototype – JavaScript Framework. Теперь на отдельном домене, в красивой оболочке с кучей вкусных вещей от создателей: Документация, Подсказки и учебное пособие и Ещё один блог в Ваш RSS-Reader. Теперь не придётся ползать по 3party документации и искать ответы на свои вопросы где-то там – всё есть здесь, все классы, методы, объекты, опции и возможности ясно и в одном месте изложены. Радует, радует, и вот бы так сразу.

Опаньки, script.aculo.us обновили

Зашёл я сегодня на сайт своего любимого JavaScript frameworkа script.aculo.us, для того, что-бы посмотреть на то, как на основе UL/LI строятся сортируемые листы, а на первой странице я вижу обновления. 4 Красивых медалеподобных предмета. На самом деле, никакие это не медали, а всего-лишь маленькая, но очень приятная и тёплая навигация по разделам сайта. Мне она кажется очень даже правильной, и даже удобной – теперь я вижу всё что мне нужно: и что это, и кто пользуется и сразу можно скачать всё что нужно, и ссылки на документацию и другую помощь.

Web 2.0, AJAX и то, как я это делаю

Так как свежая волна пошла, всем нужна динамика, всем нужен AJAX, такие красивые и удобные возможности, как “редактируем на месте”, “субмит формы без перегрузки”, полупрозрачности и, прочая красота и излишества для буржуйской жизни, я начал везде внедрять Prototype JavaScript framework. Prototype JavaScript framework для меня не только популярная и удобная AJAX библиотека, но и отличное подспорье в проектах. Не надо думать о многом, заниматься написанием сложных парсеров XML, заморачиваться на работе с формами, а просто используешь довольно удобный интерфейс этой библиотеки. Конечно, описания у неё минимум на сайте производителя, но в сети можно найти пару неплохих примеров-уроков: Которкий вводный курс в Prototype, Краткий обзор библиотеки Prototype, Записки разработчика о prototype.js.

На основе Prototype JavaScript framework написали следующую библиотеку: script.aculo.us (я никак не могу запомнить это название, а тем более выговорить). Это маленький набор эфектов: визуальные эфекты, Drag-and-drop, элементы управления. Не слабенькая библиотека, способная поморгать, потрясти, эфектно спрятать элемент интерфейса/дизайна, нарисовать за несколько минут вашего времени auto-completing с изпользованием AJAX (причём парсить XML вам не придётся, а всего сделать лист, а если что-то сложнее, то немного пописать JavaScript). Жаль только что у них сайт местами выглядит как развалившийся…

Это были старые новости, теперь посвежее: Не так давно, на основе Prototype 1.5, с использованием эффектов от script.aculo.us, сделали библиотеку для “игр” с окнами: Prototype Javascript Windows. К сожелению, всё это не всегда срабатывает так как хочется (у меня не грузит “шапку” окон), пока версия 0.80, и оттестированна в IE6, Safari, Firefox и Camino, хотя мне в Opera отработало совсем не плохо. Будем ждать стабильных релизов. Хотя, уже сейчас можно красиво отстилизировать сообщения об ошибках, сделав их на родном языке пользователя, а не стандартными диалогами броузера.

Так сказать – рекомендую, для облегчения труда.