Компьютерра - Журнал Компьютерра №712

Сам Гэрриот только рад привлечь больше внимания к собственному полету, а Space Adventures, со своей стороны, на 10% сможет увеличить прибыль. В дальнейшем планируется продавать места дублеров на все коммерческие полеты к МКС. Отличной рекламой нового начинания оказался прошлогодний полет американки Аньюши Ансари. Напомним, что она была дублером японского бизнесмена, в последний момент отстраненного от полета по медицинским показаниям.

И все же новая услуга чем-то напоминает покупку диплома в переходе метро. Светлая мечта о полете в космос подменяется стремлением войти в список причастных к нему. А сколько, интересно, будет стоить со стороны посмотреть? АБ

В прежние времена образованный человек, наткнувшись на отчет о какой-нибудь интересной ярмарке или земском соборе, вздохнул бы: "Ну и пошто мне этот сказ о диве, яко узреть мне уже не дано?" Современный читатель, интересующийся клиентскими интернет-технологиями, был бы раздосадован не меньше, запоздало узнав о конференции ClientSide 2007, прошедшей в Москве сразу после пережитых страной дней народного единства. А послушать там было что. В частности, веб-программистам я бы посоветовал посетить семинар "Что такое XSS и как их искать", который провел ведущий разработчик почтовой системы "Рамблер" Алексей Капранов. Уязвимость эта описывалась в самых черных красках - к счастью, вместе с путями решения.

Аббревиатура XSS расшифровывается как Cross Site Scripting ("межсайтовый скриптинг"). Главная опасность - это отсутствие "подозрительных следов" в логах серверов. Такая атака становится возможной при взаимодействии двух синтаксисов, например PHP+HTML, PHP+SQL и т. п. Суть атаки - во внедрении вредоносного кода в любую динамически формируемую на сайте HTML-страницу. В отличие от атак на веб-серверы, XSS-атака направлена на клиента, используя при этом уязвимый сервер в качестве посредника. По словам Капранова, XSS-уязвимости можно разделить на активные, пассивные и полуактивные.

Активные - это когда вредоносный скрипт хранится на зараженном сервере и срабатывает в браузере жертвы при открытии какой-либо страницы сайта. Пассивные подразумевают, что скрипт не хранится на сервере; злоумышленник пересылает жертве ссылку на известный сайт, а внутри ссылки скрывается скрипт. Открыв такую ссылку, пользователь попадет куда ему обещали, однако в его браузере будет работать вредоносный скрипт (либо этот на первый взгляд приличный URL содержит в себе код с автоматической переадресацией на поддельный фишинговый сайт). Полуактивные XSS - это когда скрипт содержится на непосещаемой странице зараженного сервера и злоумышленникам приходится перенаправлять туда пользователей "вручную": с помощью спама и ссылок в форумах. Чаще всего эти виды атак используются для сбора cookies с конфиденциальной информацией пользователя, а также для фишинга. По данным докладчика, до трети сайтов в Рунете обладают уязвимостью к XSS-атакам, включая и весьма известные ресурсы.

Не менее интересной показалась лекция Андрея Золотова "Особенности проектирования интерфейсов для начинающих пользователей". Так случилось, что адвокаты, брокеры, кассиры и бухгалтеры вынуждены осваивать информационные системы в моменты редких перерывов в своей основной работе. И интерфейсы, рассчитанные на ИТ-профессионалов, им вовсе не кажутся понятными. Андрей поделился не только тем, как планировать структуру и вид сайтов "для ИТ-чайников", но и какие сопроводительные справочные материалы необходимо предоставлять таким пользователям. Вообще, разработке пользовательского интерфейса на конференции уделялось особое внимание.

И можно было бы уже опечалиться по канувшей в Лету полезной информации, если бы не все те же интернет-технологии. Организаторы мероприятия заранее договорились с отечественными последователями американской "трубы" - проектом ruTube. В результате все страждущие следили за ходом конференции в прямом эфире, а сейчас отснятый видеоматериал выложен в свободный доступ (например, семинар про уязвимости XSS лежит на www.rutube.ru/tracks/268005.html). По заверениям представителя оргкомитета Олега Бунина, все доклады вместе с тезисами будут аккуратно разложены по соответствующим разделам сайта конференции. Аналогично тому, как было сделано по итогам форума "Российские Интернет Технологии" (www.rit2007.ru) - это был первый в России опыт бесплатной раздачи всех видеоматериалов мероприятия (любой желающий может до сих пор бесплатно "посетить" событие).