Open source modální textový editor Helix, inspirovaný editory Vim, Neovim či Kakoune, byl vydán ve verzi 25.07. Přehled novinek se záznamy terminálových sezení v asciinema v oznámení na webu. Detailně v CHANGELOGu na GitHubu.
Americký výrobce čipů Nvidia získal od vlády prezidenta Donalda Trumpa souhlas s prodejem svých pokročilých počítačových čipů používaných k vývoji umělé inteligence (AI) H20 do Číny. Prodej těchto čipů speciálně upravených pro čínský trh by tak mohl být brzy obnoven, uvedla firma na svém blogu. Americká vláda zakázala prodej v dubnu, v době eskalace obchodního sporu mezi oběma zeměmi. Tehdy to zdůvodnila obavami, že by čipy mohla využívat čínská armáda.
3D software Blender byl vydán ve verzi 4.5 s prodlouženou podporou. Podrobnosti v poznámkách k vydání. Videopředstavení na YouTube.
Open source webový aplikační framework Django slaví 20. narozeniny.
V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.
Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.
Výroba 8bitových domácích počítačů Commodore 64 byla ukončena v dubnu 1994. Po více než 30 letech byl představen nový oficiální Commodore 64 Ultimate (YouTube). S deskou postavenou na FPGA. Ve 3 edicích v ceně od 299 dolarů a plánovaným dodáním v říjnu a listopadu letošního roku.
Společnost Hugging Face ve spolupráci se společností Pollen Robotics představila open source robota Reachy Mini (YouTube). Předobjednat lze lite verzi za 299 dolarů a wireless verzi s Raspberry Pi 5 za 449 dolarů.
Dnes v 17:30 bude oficiálně vydána open source počítačová hra DOGWALK vytvořena v 3D softwaru Blender a herním enginu Godot. Release party proběhne na YouTube od 17:00.
McDonald's se spojil se společností Paradox a pracovníky nabírá také pomocí AI řešení s virtuální asistentkou Olivii běžící na webu McHire. Ian Carroll a Sam Curry se na toto AI řešení blíže podívali a opravdu je překvapilo, že se mohli přihlásit pomocí jména 123456 a hesla 123456 a získat přístup k údajům o 64 milionech uchazečů o práci.
Řešení dotazu:
který vůbec není namapován na URLCo tím je přesně myšleno?
Mít ve veřejně dostupných adresářích pomocné PHP soubory, které něco vykonají, je fatální pitomost.Tak čistě mezi námi, pokud se jedná o web a ne o haldu CGI skriptů, tak je pitomost mít v cestě vůbec nějaké PHP soubory. Do toho, zda je web napsaný v PHP nebo Abrakadabra uživatelům nic není a to, že to vidí na první pohled je pro ně zcela nadbytečná informace. Že se PHP historicky používalo jako halda CGI skriptů a že se v tom začaly psát větší webové aplikace a ještě se obojí zkombinovalo je jen shoda blbých náhod.
exit()
):if((!isset($glb_import))||($glb_import != 78951245)) exit();
Bod 1. Nedovolí nic vykonat klientem (a nedovolí include-ovat), pokud neznáš vstupní kód. Zatížení programátora je to jen v tom, že si to musíš hodit do šablony (to je zadarmo) a někde na začátku před použitím definovat variablu s pin-em (to je jen několik případů, nebo dokonce jen jeden. Je to hromadně měnitelné i odstranitelné, tak bych to tak černě neviděl.
Bod 2. Nic to nestojí a někam to přeneseš a náhodou není povolen .htaccess, tak to klade aspoň překážku adresář vylistovat při obvyklém nastavení web serveru.
PS: Některé distribuce mají default konfiguraci bez možnosti overwrite a .htaccess se neuplatňuje, a když pro to můžu něco, byť obskurně udělat, proč ne…
Proč bych se měl při každém otevření skriptu editorem koukat na takovou hrůzu?Však se nedívej, nebo si ji přepiš hezčeji, nebo… ;)
Samozřejmě je vždy nutné si tyto informace zjistit předem.Ne každý to udělá s různých důvodů, a je na tvůrci, jestli přidá nějaké další prvky.
Všechny skripty na webserveru (kromě index.php) mám udělány jako samostatné třídy. Žádný jiný kód v nich nemám.Ty ne, ale dotaz zněl jinak.
Jediným vstupním bodem do aplikace je index.php - zabezpečení webu tedy není roztříštěno po celé aplikaci.Vidíš, takže obstrukce se zapíše jen jednou. …já jich mám obvykle několik málo ks víc než jeden.
Databázi je dobré u Apache zajistit '.ht' na začátku jejího názvu - nedá se pak stáhnout.Ha, to je ale velmi podobný princip obstrukce (čisté je: explicitně nedovolit daný soubor či adresář).
Ha, nachytal jsi mě. V tomhle případě někdy používám kšandy a/nebo pásek. Některé databáze (read-only) dávám do kořene a jejich název začíná '.ht'. Databáze R/W dávám do samostatného adresáře kvůli detailnímu nastavení práv. Přístup do tohoto adresáře pak v .htaccess samozřejmě nepovolím. Vždycky se snažím tyto mechanismy dělat co nejjednodušší, abych si v nich neudělal díru do systému. Jednodušší systém se udržuje mnohem lépe. Někdy ještě dělávám do dalšího adresáře honeypot, povolím ho v .htaccess a zakážu do něj přístup přes robots.txt. To se pak člověk dozví věcíDatabázi je dobré u Apache zajistit '.ht' na začátku jejího názvu - nedá se pak stáhnout.Ha, to je ale velmi podobný princip obstrukce (čisté je: explicitně nedovolit daný soubor či adresář).
Databázi je dobré u Apache zajistit '.ht' na začátku jejího názvu - nedá se pak stáhnout.Tak ideální je ji dostat mimo dosah, že, protože .ht je hack specifický pro Apache.
.ht
je zajímavý pouze pro hostování nad Apachem bez .htaccess
, popřípadě jiným webserverem, který .ht
pro jistotu blokuje.
Je otázka, zda pak není vhodnější dostupnost onoho souboru testovat při instalaci (a konfiguraci) než spoléhat na nějaký statisticky relativně neúspěšný hack a nechat administrátora, ať v případě non-Apache/non-htaccess instalace soubor zajistí jinak.
Tiskni
Sdílej: