Americká internetová společnost Google nemusí prodat svůj prohlížeč Chrome ani operační systém Android. Rozhodl o tom soud ve Washingtonu, který tak zamítl požadavek amerického ministerstva spravedlnosti. Soud ale firmě nařídil sdílet data s jinými podniky v zájmu posílení konkurence v oblasti internetového vyhledávání. Zároveň Googlu zakázal uzavírat dohody s výrobci mobilních a dalších zařízení, které by znemožňovaly
… více »Prvního září ozbrojení policisté zatkli na na londýnském letišti Heathrow scénáristu a režiséra Grahama Linehana, známého především komediálními seriály Ajťáci, Otec Ted nebo Black Books. Během výslechu měl 57letý Graham nebezpečně zvýšený krevní tlak až na samou hranici mrtvice a proto byl z policejní stanice převezen do nemocnice. Důvodem zatčení bylo údajné podněcování násilí v jeho 'vtipných' příspěvcích na sociální síti
… více »Studentská dílna Macgyver zve na další Virtuální Bastlírnu - pravidelné online setkání všech, kdo mají blízko k bastlení, elektronice, IT, vědě a technice. Letní prázdniny jsou za námi a je čas probrat novinky, které se přes srpen nahromadily. Tentokrát jich je více než 50! Těšit se můžete mimo jiné na:
Hardware – Bus Pirate na ESP32, reverse engineering Raspberry Pi, pseudo-ZX-80 na RISC-V, PicoCalc, organizéry na nářadí z pěny nebo … více »Google Chrome 140 byl prohlášen za stabilní. Nejnovější stabilní verze 140.0.7339.80 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 6 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.
LeoCAD (Wikipedie) je svobodná multiplatformní aplikace umožňující také na Linuxu vytvářet virtuální 3D modely z kostek lega. Vydána byla verze 25.09. Zdrojové kódy a AppImage jsou k dispozici na GitHubu. Instalovat lze také z Flathubu.
RubyMine, tj. IDE pro Ruby a Rails od společnosti JetBrains, je nově zdarma pro nekomerční použití.
Český LibreOffice tým vydává překlad příručky LibreOffice Calc 25.2. Calc je tabulkový procesor kancelářského balíku LibreOffice. Příručka je ke stažení na stránce dokumentace.
Byla vydána (Mastodon, 𝕏) vývojová verze 3.1.4 příští stabilní verze 3.2 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání.
Zakladatel ChimeraOS představil další linuxovou distribuci zaměřenou na hráče počítačových her. Kazeta je linuxová distribuce inspirována herními konzolemi z 90. let. Pro hraní hry je potřeba vložit paměťové médium s danou hrou. Doporučeny jsou SD karty.
Komunita kolem Linuxu From Scratch (LFS) vydala Linux From Scratch 12.4 a Linux From Scratch 12.4 se systemd. Nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů přichází s Glibc 2.42, Binutils 2.45 a Linuxem 6.15.1. Současně bylo oznámeno vydání verze 12.4 knih Beyond Linux From Scratch (BLFS) a Beyond Linux From Scratch se systemd.
parse_ini_file
a proč show_source
, což je jen alias pro highlight_file
?)
#cat /usr/share/doc/php5/README.Debian.security the Debian stable security team does not provide security support for certain configurations known to be inherently insecure. This includes the interpreter itself, extensions, and code written in the PHP language. Most specifically, the security team will not provide support for flaws in: - vulnerabilities involving any kind of safe_mode or open_basedir violation, as these are security models flawed by design and no longer have upstream support either. - any "works as expected" vulnerabilities, such as "user can cause php to crash by writing a malcious php script", unless such vulnerabilities involve some kind of higher-level DoS or privilege escalation that would not otherwise be available. -- sean finney Tue, 10 Oct 2006 12:42:06 +0200(redakčně kráceno)
open_basedir
v mnoha situacích velmi dobrá vlastnost PHP, a to i když se zároveň používá např. suexec
. Nicméně je to skutečně defective, dokud se důsledně nezakážou všechny funkce typu exec
, shell_exec
, system
atd. (je jich skutečně hodně), které umožňují spouštět externí kód, na který se open_basedir
samozřejmě nevztahuje. Problém vidím v tom, že těch funkcí umožňujích spustit externí kód je skutečně hodně, pak k tomu lze zneužít některá php rozšíření, a neexistuje jedna volba, která by toto omezila.
Jistě je jedna z cest i použití věšcí jako selinux nebo apparmor. Jenže zatím jsem nenašel možnost nebo konfiguraci, která by umožnila snadné nasazení a správu na mass-hostingu (řekněme stovky izolovaných webů na jednom systému). Fastcgi+suexec s volitelným open_basedir (není-li třeba spouštět externí aplikace) je pak dobrá volba.
Z měření, které jsem naposledy dělal (na reálné aplikaci, umělá zátěž) vyplynulo, že výkon mod_php a PHP+FASTCGI+SUEXEC je naprosto srovnatelný.Asi bude záležet na konkrétní situaci.
parse_str($_SERVER['QUERY_STRING']);...a máš to samé. Ftip je v tom, že to můžeš udělat třeba uvnitř nějaké funkce, takže případný útočník má jen velmi omezené pole působnosti k ovlivnění neinicializovaných proměnných.
Tiskni
Sdílej: