Internetový prohlížeč Ladybird ohlásil tranzici z programovacího jazyka C++ do Rustu. Přechod bude probíhat postupně a nové komponenty budou dočasně koexistovat se stávajícím C++ kódem. Pro urychlení práce bude použita umělá inteligence, při portování první komponenty prohlížeče, JavaScriptového enginu LibJS, bylo během dvou týdnů pomocí nástrojů Claude Code a Codex vygenerováno kolem 25 000 řádků kódu. Nejedná se o čistě autonomní vývoj pomocí agentů.
Byl vydán Mozilla Firefox 148.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Nově lze snadno povolit nebo zakázat jednotlivé AI funkce. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 148 bude brzy k dispozici také na Flathubu a Snapcraftu.
Byla vydána nová verze 22.1.0, tj. první stabilní verze z nové řady 22.1.x, překladačové infrastruktury LLVM (Wikipedie). Přehled novinek v poznámkách k vydání: LLVM, Clang, LLD, Extra Clang Tools a Libc++.
X86CSS je experimentální webový emulátor instrukční sady x86 napsaný výhradně v CSS, tedy bez JavaScriptu nebo dalších dynamických prvků. Stránka 'spouští' assemblerovový program mikroprocesoru 8086 a názorně tak demonstruje, že i prosté CSS může fungovat jako Turingovsky kompletní jazyk. Zdrojový kód projektu je na GitHubu.
Po šesti letech byla vydána nová verze 1.3 webového rozhraní ke gitovým repozitářům CGit.
Byla vydána nová verze 6.1 linuxové distribuce Lakka (Wikipedie), jež umožňuje transformovat podporované počítače v herní konzole. Nejnovější Lakka přichází s RetroArchem 1.22.2.
Matematický software GNU Octave byl vydán ve verzi 11.1.0. Podrobnosti v poznámkách k vydání. Vedle menších změn rozhraní jsou jako obvykle zahrnuta také výkonnostní vylepšení a zlepšení kompatibility s Matlabem.
Weston, referenční implementace kompozitoru pro Wayland, byl vydán ve verzi 15.0.0. Přehled novinek v příspěvku na blogu společnosti Collabora. Vypíchnout lze Lua shell umožňující psát správu oken v jazyce Lua.
Organizace Apache Software Foundation (ASF) vydala verzi 29 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.
Ústavní soud na svých webových stránkách i v databázi NALUS (NÁLezy a USnesení Ústavního soudu) představil novou verzi chatbota využívajícího umělou inteligenci. Jeho posláním je usnadnit veřejnosti orientaci v rozsáhlé judikatuře Ústavního soudu a pomoci jí s vyhledáváním informací i na webových stránkách soudu, a to i v jiných jazycích. Jde o první nasazení umělé inteligence v rámci webových stránek a databází judikatury českých soudů.
Dnes som objavil jednu naprosto triviálnu zraniteľnosť v mojom php projekte a keď som to chcel otestovať v najnovšom Firefoxe 4 beta 8 (vyšla tuším dnes) tak som zistil že Mozilla ukončila podporu Remote XULu.
Tu je ten problematický php kód:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
function xml_comment_sql($s) {
// sluzi na vypis SQL do komentaru XML pred spustenim toho SQL, kvoli ladeniu a tak
global $mysql_link;
echo "<!-- ".mysql_real_escape_string(htmlspecialchars($s),$mysql_link)." -->\n";
}
Ja som tam pred dvoma rokmi bezmyšlienkovite dal escapovanie pre sql, a nejak mi uniklo že musím escapovať aj dve pomlčky ktoré predčasne ukončia ten xml komentár. Viem si predstaviť zneužitie napr. v RSS feedoch. Útočník by tak ukončil komentár, za to by dal nejaký image kde src by bola nejaká ddos-ovaná stránka alebo také niečo. Ja viem, ja viem, namiesto bastlenia XML som mal použiť niečo normálne na generovanie. No, čo už, stane sa.
Druhá vec sa mi najprv zdala trochu nemilá ale potom som si uvedomil že je to vlastne dar z nebies. Mozilla ukončila podporu remote XUL v Firefoxe 4.0. Poučenie pre mňa: nikdy nechoď do frameworku ktorý má jediného dodávateľa. Konečne mám dôvod ukončiť podporu mojich XUL aplikácií a portnúť ich na HTML5.
Nedávno som v HTML5 objavil pár nových zaujímavých atribútov týkajúcich sa validácie formulárov u klienta. Prvý je "required", ktorý ak je input prázdny tak ho začervení. Druhý je atribút "pattern" kde môžete dať regulárny výraz (napr. slová začínajúce na "a", proste čokoľvek. Ďalšia novinka je typ "email" alebo "url", význam je snáď jasný. Nie je to úplne blbuvzdorné ale na základné zaplácnutie v pohode a netreba sa trtkať s JS kódom. Sú tam aj "min", "max" a pár ďalších naozaj užitočných vecí. Kontrola vstupov na serveri ale samozrejme zostáva, o tom bez debaty.
Tiskni
Sdílej:
Ja som tam pred dvoma rokmi bezmyšlienkovite dal escapovanie pre sql, a nejak mi uniklo že musím escapovať aj dve pomlčky ktoré predčasne ukončia ten xml komentár.Neukončuje náhodou komentář sekvence "-->"? "--" je začátek řádkového komentáře v SQL. A i kdyby se povedlo ten komentář nějak ukončit, jak tam někdo vloží obrázek, když tam nevloží < ?
-- není v XML komentáři povolená.
Jinak escapovat výstup pro XML pomocí funkce pro escapování SQL je – řekněme skutečně zvláštní přístup.
Sekvence -- není v XML komentáři povolená.Pravda, ale spíš to způsobí pád parseru s chybou než ukončení komentáře.