Журнал «Компьютерра» № 14 от 11 апреля 2006 года - Компьютерра. Страница 4
Брешь, известная под именем create-TextRange, позволяет злоумышленнику запустить произвольный код на машине пользователя, заманив его на заранее подготовленную веб-страничку (по слухам, для привлечения к сайтам-ловушкам активно используется спам). Хотя Microsoft признала наличие критической дыры, патч вероятнее всего выйдет только в середине апреля вместе с плановым ежемесячным обновлением. Эта неторопливость отчасти связана с тем, что разработчики корпорации обязаны проверить пригодность заплатки для всех комбинаций разных версий Windows и Explorer, а также исключить возможные конфликты с разнообразнейшим ПО третьих фирм.
Разумеется, многие пользователи, особенно домашние, предпочли бы получить защиту от уязвимости как можно быстрее, не дожидаясь тестов на совместимость со сложными корпоративными системами. Microsoft давно упрекают в том, что она могла бы оперативно выпускать бета-версии заплаток, уже потом тщательно их шлифуя, однако эти призывы пока остаются без ответа. Конечно, свято место пусто не бывает: компании eEye Digital Security и Determina заполнили временный «вакуум» своими патчами, сделав себе отличную рекламу (только с сайта eEye утилиту скачали около ста тысяч пользователей). Но Microsoft этот «благородный порыв» осудила, порекомендовав воздержаться от инсталляции левых заплаток. Того же мнения придерживаются и многие независимые эксперты, в качестве решения предлагая отключить исполнение скриптов в браузере или временно избрать другой инструмент для веб-серфинга.
Есть, впрочем, надежда, что следующие версии браузера Microsoft будет «лечить» порасторопней. Корпорация, наконец, вняла просьбам пользователей и организовала систему ведения учета ошибок, аналогичную Bugzilla. Отныне любой человек, заинтересованный в улучшении Internet Explorer, может указать на баги, выявленные при работе с программой. База открыта на портале Connect и доступна всем владельцам учетной записи в системе Microsoft Passport. Правда, разработчики просят, чтобы баг-трекер использовался только для сообщений о работе с новым IE 7 (на данный момент представлен лишь бета-версиями). Пользователям релизов старого «разлива» приобщиться к коллективной работе над ошибками не удастся. – А.З.
Сразу два громких скандала, связанных с утечкой конфиденциальной информации, разразились в Азии.
Репортеры независимого сайта Webb-site.com, ведущие постоянный мониторинг корпоративных и государственных событий в Китае, откопали в Интернете любопытнейшую информационную базу. Она содержит персональные данные 20 тысяч человек, подавших в период 1996–2004 гг. заявления в гонконгский IPCC (Independent Police Complaints Council – Независимый совет для расследования действий полиции) с жалобами на злоупотребления и другие незаконные действия «компетентных органов». В Сеть попали даты обращений граждан, их полные имена и адреса, описания нарушений, сведения об обвиняемых полицейских, результаты рассмотрения жалоб и многое другое. Беглое журналистское расследование показало, что скорее всего база перекочевала в Интернет из-за банальной халатности ИТ-специалистов, обслуживающих сервер IPCC. В пользу этого предположения говорит и формат данных. Официальные лица пока хранят молчание, но правозащитники уже требуют крови ответственных и независимого аудита ИТ-безопасности организации. Тем временем пострадавшие, опасаясь мести полицейских, серьезно задумались о целесообразности дальнейших обращений в IPCC.
Второй скандал произошел в Японии, где компания NTT Data призналась в утечке персональных данных лишь семнадцати физических лиц, которые, правда, пострадали по полной программе. Нечистый на руку системный администратор скопировал из информационной системы компании номера кредитных карт жертв, пароли и прочие конфиденциальные сведения, которые позднее использовал для открытия и получения в банкоматах займов на чужие имена через финансовую фирму Orix Credit на общую сумму более 260 тысяч долларов. Примечательно, что инсайдер, 54-летний сотрудник ИТ-подразделения одного из партнеров NTT Data, выполнявшего заказные работы, сумел провернуть аферу дважды – в октябре 2005 и феврале 2006 года, после чего благоразумно исчез в неизвестном направлении. Полиции и службе внутренних расследований оставалось только объявить ловкача в розыск по всей стране.
Как отмечают российские борцы с инсайдерами из компании InfoWatch, оба случая укладываются в обычную канву подобных происшествий. Сотрудники или заранее планируют преступление и в последний момент исчезают из поля зрения правоохранительных органов, или банально нажимают не на ту кнопку. – Д.З.
Рынок поисковых систем в Сети давно поделен. Прошли те времена, когда для привлечения внимания широкой аудитории было достаточно организовать небольшой тематический каталог ресурсов. Сегодня у стартапов осталось не так уж много возможностей завоевать признание пользователей. Одна из них – специализация на конкретной тематике, позволяющая добиться более качественных результатов поиска. К таким системам, например, относится Krugle, индексирующий исходники и документацию открытых программ. Более сложный путь заключается в использовании альтернативного представления информации; именно по нему и пошла компания Pixsy, в конце марта запустившая новую версию своей системы.
Поисковик Pixsy.com примечателен отказом от привычной схемы: вместо вороха линков с куцыми комментариями на запрос выдаются фотографии и картинки, ассоциированные с соответствующими материалами в Сети. Таким образом, поиск сводится к выявлению ключевых визуальных образов. Для перегруженного информацией Интернета это весьма здравая мысль: картинки все же проще воспринимать, да и проблема языкового барьера становится менее острой.
База Pixsy пополняется из RSS-каналов, получаемых из самых разных источников: начиная с новостных лент авторитетных сетевых изданий и заканчивая блогами простых пользователей. Движок сервиса ищет графику в фидах и заносит ее в индекс с присвоением ключевых определений (конечно, из-за специфики сбора контента Pixsy больше подходит для поиска актуальной новостной информации). Кстати, графическими изображениями дело не ограничивается – к услугам юзеров также видеофрагменты, обнаруженные на популярных ресурсах.
Проект уже окупается за счет контекстной рекламы; кроме того, авторы Pixsy рассчитывают лицензировать ее сторонним заказчикам. – А.З.
Новомодный термин «блук», образованный от английских слов «blog» и «book», еще только входит в обиход, а авторы «блого-книг» уже успели обзавестись профессиональной литературной наградой (см. «КТ» #611). Отныне любой хозяин сетевого дневника, положивший свой онлайновый опус на бумагу, может претендовать на Блукеровскую премию (Lulu Blooker prize).
Первый в мире приз, присуждаемый блукам, вручается в трех номинациях – за лучшее произведение в жанрах «нон-фикшн», «беллетристика» и «комикс». Поиском лауреатов занимается тройка судей: писатель-фантаст, блоггер и веб-активист Кори Доктороу (Cory Doctorow, председатель жюри), главный редактор новостной сети OSTG Робин Миллер (Robin Miller) и поэт, а по совместительству куратор онлайновой библиотеки iBiblio Пол Джонс (Paul Jones). Несмотря на то что среди номинантов-2006 фигурируют представители всех континентов, «слоны» достались только американским литераторам. Каждый из них получил по тысяче долларов от щедрот генерального спонсора – онлайновой типографии Lulu.
Лучшим беллетристом признана Чери Прист (Cherie Priest), чья книга «Four and Twenty Blackbirds» («Двадцать четыре дрозда») знакома интернетчикам под «девичьей фамилией» wickedwish.livejournal.com. В мистическом триллере, написанном по всем канонам готической классики, автор повествует о судьбе преследуемой призраками девушки-сироты, которой предстоит разгадать тайну своей родословной. Автором лучшего комикса стал Зак Миллер (Zach Miller), опубликовавший свои веселые картинки на сайте joeandmonkey.com под названием «Totally Boned» («Кожа да кости»). Сей шедевр повествует о двух юных искателях приключений, успешно борющихся с силами зла. Несмотря на кажущуюся примитивность сюжета, оценить юмор этой книги, нашпигованной парадоксами и техническими аллюзиями, по плечу лишь завзятому технарю. Так что единственным каналом, пригодным для ее распространения, является Сеть. «Что поделаешь, помешанные на технике читатели размазаны по миру весьма тонким слоем, а привозить по одному экземпляру этой книжки в каждый магазин не возьмется никто», – замечает Кори Доктороу.