книги хакеры / журнал хакер / 170_Optimized

FAQ

ЕСТЬВОПРОСЫ—ПРИСЫЛАЙ НАFAQ@REAL.XAKEP.RU

С каждым днем двухэтапная авторизация становится все популярнее. Интер- нет-сервисы один за другим внедряют ее поддержку на свои сайты, поскольку такой способ авторизации предельно прост и при этом обеспечивает высокую безопасность. Сильный толчок к столь бурному развитию этой технологии дал Гугл. Благодаря опенсорсной разработке под названием Google Authenticator (bit.ly/GoogleAuth) двухэтапную авторизацию можно прикрутить почти к чему угодно. Давай обезопасим с ее помощью свой SSH.

Для внедрения двухфакторной 1 авторизации с помощью Google

Authenticator мы воспользуемся PAMмодулем от Google (PAM-модули позволяют легко внедрить разные формы авторизации в *nix-системе). Установить его можно так:

$ sudo apt-get install

libpam-google-authenticator

Но если в репозиториях твоей системы данного пакета не окажется, то можешь скачать отсюда bit.ly/ga_downl исходные коды и скомпилировать модуль под свою платформу.

После того как мы установили модуль, 2 нужно сгенерировать аутентификационный ключ. Залогинься под юзером,

из-под которого будешь входить удаленно, и выполни:

$ google-authenticator

Программа тут же сгенерирует ключ и запасные коды, после этого запросит разрешение на обновление твоего Google Authenticator файла — разрешаем. Дальше последуют еще несколько вопросов, касающихся безопасности, — отвечай на свое усмотрение.

четырем знакам лицензии, которые можно получить с помощью команды slmgr.vbs /dlv. Для небольшой автоматизации выполни на каждом компьютере такой скрипт:

@Echo Off

For /F "tokens=2 delims=:" %%i In ('cscript %windir%\System32\

slmgr.vbs /dlv ^| Find "Partial Product Key:"') Do Set k=%%i

Echo %COMPUTERNAME% - %k: =% >> %COMPUTERNAME%.txt

Теперь файл можно скопировать по сети на твой ПК. Замени "Partial Product Key" на "Частичный ключ продукта", если у тебя русская винда.

стороннюю анимированную панель задач, но из этой панели не могу «развернуть» трей, то есть нет доступа к свернутым в трей приложениям. Как развернуть это окошко с помощью ярлыка?

типа AutoIt или AutoHotKey. C их помощью нужно написать скрипт, «нажимающий» комбинацию клавиш <Win + B> и потом <Enter> (эта последовательность как раз сделает то, что тебе нужно). Например, на AutoIt этот скрипт будет выглядеть так:

send("#и")

;или send("#b"), если по умолчанию

;английская раскладка send("{ENTER}")

Теперь этот скрипт можно скомпилировать с помощью AutoIt Script to EXE Conventer.

В процессе разработки моего Java- Q проекта мне понадобился LRU-кеш. Какие готовые решения предоставляет Java для его реализации?

УДОБНЫЙТРАНСФЕРМЕЖДУ ОБЛАЧНЫМИХРАНИЛИЩАМИ

Если тебе нужен легкий и понятный интерфейс без лишних настроек, тогда А хорошим выбором будет онлайн-сервис mybackupbox.com. Он позволяет

пересылать файлы между самыми популярными облачными хранилищами. Кроме того, поддерживаются FTP, SFTP и MySQL. В приватном бета-тестировании также доступны другие облачные хранилища и сервисы, среди них: Yandex.Disk, Picasa, WordPress, SharePoint, Backup Box Cloud. Сервис позволяет легко настроить повторяемость операций копирования. Интерфейс сервиса очень прост — разберется даже ребенок. На бесплатном аккаунте ты сможешь перекачивать до 10 Гб в месяц: максимум по гигабайту за подход десять раз в месяц. Если тебе нужно больше, то придется заплатить. Платный аккаунт, кроме того, позволяет копировать только изменившиеся файлы, что сэкономит трафик.

ДружественныйинтерфейссервисаBackupBox

Простейший LRU-хеш можно создать

Aна основе java.uril.LinkedHashMap:

final int MAX_SIZE = 1500;

Map<K, V> lruCache =

new LinkedHashMap<K, V>(MAX_SIZE, 0.75f, true){

@Override

protected boolean removeEldestEntry(

Map.Entry<K, V> eldest) {

return size() > MAX_CAPACITY;

}

};

Метод removeEldestEntry вызывается на каждой вставке, и, если он возвращает

true, элемент в хвосте удаляется. А так как мы передали в третьем параметре конструктора true, то запрашиваемый элемент будет автоматически перемещаться в начало очереди, — такой вот простейший LRU-кеш. Если же нужен кеш поэффективнее, то рекомендую взглянуть на разработку инженера Google ConcurrentLinkedHashMap (bit.ly/lhashmap).

Как запретить вход на мой сайт через Q HTTP, перенаправляя всех пользователей на HTTPS? И еще вопросик: как отправлять мобильных пользователей на мобильную версию сайта (допустим, mobile.site.com)?

Для этого воспользуйся возможностями A mod_rewrite. Добавь в htaccess-файл следующие строки:

RewriteEngine On

RewriteCond %{HTTPS} !=on

RewriteRule .* https://www.site.com/ %{REQUEST_URI} [R,L]

В случае если хочешь переадресовывать, не используя www, тогда правило будет таким:

# RewriteRule .* https://site.com/ %{REQUEST_URI} [R,L]

Решение для мобильных пользователей выглядит так:

RewriteCond %{HTTP_USER_AGENT} "android|blackberry|googlebot-mobile| iemobile|ipad|iphone|ipod|opera mobile| palmos|webos" [NC]

RewriteRule ^$ https://mobile.site.com/ [L,R=302]

ций типа использовать сложные пароли, постоянно накатывать обновления и тому подобных. Поэтому предложу несколько нетривиальных советов:

1.Изменистандартныйпрефикс,который WordPressавтоматическидобавляеткна- званиямтаблицвБД,накакой-тосвой.

Двухэтапнаяавторизациявдействии

2.Спрячьотпользователяверсию WordPress’а:дляэтоговфайлfunctions.php темыдобавь:

remove_action('wp_header', 'wp_generator');

3.Установиsecurity-плагины,напримерTAC (bit.ly/wp-tac)илиBetterWPSecurity(bit.ly/ wp-sec).

4.Фильтруйпотенциальноопасныезапросы.Дляэтогодобавьвhtaccess,например, такиестроки:

RewriteCond %{QUERY_STRING} ^.*(%22|%27|%3C|...).* [NC,OR]

...

RewriteCond %{QUERY_STRING} ^.*(select|union|drop|...).* [NC] RewriteRule ^(.*)$ - [F,L]

5.Закройдоступкдиректориисплагинами site.com/wp-content/plugins/—можешь черезhtaccess,аможешьзакинутьвэту директориюпустойindex.html.

Как защитить APK

Qот декомпиляции?

Android-программа — это та же Java- A программа, поэтому способы защиты аналогичные. Полностью защитить твою программу от декомпиляции невозможно: независимо от защиты специалист все равно сможет достать то, что ему нужно. Но можно усложнить декомпиляцию, превратив ее в длинный и ужасный процесс. Для этого можно:

1.Пропуститьпрограммучерезразногорода обфускаторы(ProGuard,например),которые сделаютнечитабельнойдекомпилированнуюпрограмму.Такжеможнозапутатькод вручную.

2.Зашифроватьресурсы(картинки,текст).

3.Перенестисамыеважныемодуливбиблио- текиС++—декомпиляциябинарникавразы сложнее,чемJava-байт-кода.

4.Перенестиосновнуюлогикувjni,кромеэтого,нужноперенеститудапроверкуподписи APK.

5.Подгружать ключевые алгоритмы с сервера в виде скриптов.

Это позволит лишь усложнить жизнь взломщику или отсеять непрофессионалов. А если твой код ну уж очень ценный, то лучшей его защитой будет патент :).

Давно хочу попробовать Chrome OS. Q Конечно, покупка Chromebook’а как вариант не рассматривается. Пробовал скачивать отдельный live-дистрибутив, но на моем железе он не работает.

Что посоветуешь?

Действительно, список поддерживаемо- A го Сhrome OS железа весьма ограничен. Но практически на любом железе работает Ubuntu. При чем здесь Ubuntu? Дело в том, что в рамках проекта lightdm-login-chromiumos (bit.ly/uchrome-os) разработан пакет, который позволяет запустить пользовательское окружение Chrome OS поверх Ubuntu. Чтобы установить пакет, просто выполни следующие команды:

$ wget http://bit.ly/ThfTMT

$ sudo dpkg -i lightdm-login-chromiumos_1.0_amd64.deb

Существует два режима запуска: внутри окна в текущем окружении (для чего используется оконный менеджер Aura), а также полноценный пользовательский сеанс. Чтобы запустить Chrome OS внутри окна, нужно выполнить:

$ chromeos

Для входа же в сеанс нужно выбрать Chromium OS в приглашении дисплейного менеджера. Внутри Chrome OS работает Flash, Java, присутствует Google Talk плагин. Кроме того, поддерживается хардварная акселерация видео. К сожалению, на данный момент не работает захват изображений с веб-камеры, разные системные настройки, как, например, контроль громкости, — эти настройки игнорируются.

Полноценно пользоваться проектом на данном этапе его развития нецелесообразно,

но для ознакомления — в самый раз. z

ChromeOSповерхKubuntuвоконномрежиме

>>WINDOWS

>DailySoft 7-Zip 9.20

DAEMON Tools Lite 4.46.1

Far Manager 3.0

Firefox 18.0.2 foobar2000 1.2.2 Google Chrome 24

K-Lite Mega Codec Pack 9.7.5

Miranda IM 0.10.9

Notepad++ 6.3

Opera 12.14

PuTTY 0.62

Skype 6.1 Sysinternals Suite Total Commander 8.01 Unlocker 1.9.1 uTorrent 3.3

XnView 1.99.6

>Development ActivePerl 5.16.2 ActivePython 2.7.2 AngularJS 1.0.4 Boost 1.53.0

Code Compare 2.80.11

CodeLobster PHP Edition 4.4.1

CruiseControl.NET 1.8.2.0

DBeaver 2.0.6

Jevix 1.0

PHP QR Code 1.1.4

PyDev 2.7.1

Qfsm 0.53

Ragel 6.7

RubyMine 5

Selenium IDE 1.10.0

SublimeClang

>Misc BirdFont 0.12

CinemaDrape 2.0

Cubiez

DDownloads 1.0.6

Explorer++ 1.3.5

KuaiZip 2.3.2

LibreOffice 4.0.0

Media Preview 1.3

My Computer Tweaker

SendTo-Convert 2.6.2.2

Text Deduplicator Plus 1.04

Undelete Navigator 1.1.0

Virtual Serial Ports 2.02

VirtuaWin 4.4

Windows Uninstaller 1.0

WinLock

>Multimedia Any GIF Animator

Audio Amplifier Free 1.1 bitRipper

Espera 1.2.4

FastStone Image Viewer 4.7 Free Video Call Recorder for Skype 1.0.2

GOM Audio

Last.fm 2.1.33

Perfect Effects 4

QuickPlay 3.0.2

№ 03 (170) МАРТ 2013

x

Удобныйспособобменафайламиизаметкамимежду смартфономикомпьютером

PUSHBULLET pushbullet.com

Обмен файлами, ссылками и другими материалами между компьютером и мобильным устройством достаточно геморройная процедура. В худшем случае это решается пересылкой самому себе по почте (как, например, делаю это я), в лучшем — через Dropbox. Сервис PushBullet решает эту задачу с помощью простого веб-приложения и клиента для Android. Через веб-интерфейс на устройство можно послать ссылку, адрес, список или же файл. При этом приложение красиво использует систему оповещений Android 4 — списки можно просмотреть прямо в этой панели. У сервиса существует расширение для браузера Google Chrome. Не хватает возможности двустороннего обмена, что позволило бы послать со смартфона, например, фото.

Сервис,позволяющийбыстрополучитьскриншот-«колбасу» длиннойвеб-страницы

SNAPITO! snapito.com

В веб-дизайне часто применяют метафору айсберга: то, что не попадает на первый экран браузера (верхушка), большинство пользователей рискуют никогда не увидеть. Тем не менее есть множество ситуаций, когда уложиться в один экран невозможно, — например сайты СМИ, блоги и другие проекты, завязанные на больших объемах контента. При анализе структуры таких страниц возникает очевидная проблема

со скриншотами, которую приходится решать топорным способом: делаешь отдельные скриншоты, а потом склеиваешь. Snapito! помогает справиться с этой проблемой, делая полный скриншот страницы. К сожалению, в некоторых случаях сервис работает не слишком надежно. Например, есть проблемы с динамически подгружаемой статикой.

Простейшийбукмарклет,позволяющийбыстропосмотреть нато,каксайтбудетотображатьсявбраузереiPhoneиiPad

RESPONSIVE DESIGN BOOKMARKLET responsive.victorcoulon.fr

Об отзывчивой верстке много было написано в январском номере ][ (статья «Швейцарский нож для UI») — рекомендую ознакомиться, если ты еще не понял, насколько это важно. А для реальной работы советую не ресайзить окно браузера «на глазок», а использовать простой, но очень удобный букмарклет, позволяющий быстро оценить,

как будет выглядеть страница в окне браузера iPhone или iPad (можно задать собственное разрешение экрана). Можно сымитировать клавиатуру iOS и посмотреть, отъест ли она важный кусок страницы. Естественно, доступны как портретный режим, так и альбомный. При тестировании собственных страниц также удобна опция синхронизации CSS, позволяющая в реальном времени отражать внесенные изменения.