čtvrtek 27. listopadu 2003

Články na víkend

Něco málo tipů na články

Za tajemstvím Class Loaderu

Když jsem se tu pře pár dny rozpovídal o Singletonu, který vznikal dvakrát a za viníka jsem označil různé Class Loadery, sklidil jsem mezi kolegy z práce spíše odmítavé reakce v duchu ..možná to řeší, ale tím to není. Docela mě ty odpovědi zklamali neboť jsem byl na sebe dost pyšný, že jsem na to přišel sám a byl jsem přesvědčen že mám pravdu. Na druhou stranu jsem nedokázal úplně přesně toto chování vysvětlit.

Asi o týden později se řešil v konferenci na java.cz problém deploymentu souborů v rámci J2EE aplikačního serveru a při té příležitosti jsem se zeptal na to jak se věci mají. Martin Kuba(makub) mi vysvětlil, že třída je jedinečně určena jejím kvalifikovaným názvem(package+jméno) a Class Loaderem, který ji nahrál. Byl jsem tedy rád, že jsem měl pravdu a dál jsme se tomu nevěnoval.

Dnes jsem narazil na serveru ONJava.com na opravdu velice povedený článek Andrease Schaefera Inside Class Loaders, který mi ujasnil takřka vše kolem problematiky Class Loaderu v Jave. Článek vřele doporučuji a snad jen dodám, že se jedná o první díl a v dalším pokračování na nás čekají Class Loadery v kontextu J2EE aplikačních serverů a AOP.

JBoss vs ASF - roztržka pokračuje, na řadě je Jetty

Informace o tom, že HTTP server a servletový kontejner Jetty již nebude integrován jako webová vrstva J2EE serveru JBOss, proběhla v konferenci Jettyho již před řádnou dobou. Po sérii slovních přestřelek mezi JBoss Group a ASF a odstranění práva pro commitování do CVS několika elitním vývojářům situace utichla. Jedním z inkriminovaných vývojářů byl i Greg Wilkins otec a hlavní vývojář Jettyho.

Situace dospěla tak daleko, že Greg Wilkins byl požádán JBOss Group, aby odstranil ikonky JBosse ze stránek projektu Jetty. Celá situace byla ještě mnohem absurdnější více blog Grega Wilkinse JBoss™: Open Source Closed Project.

Pro objektivnější pohled ještě dva komentáře Pavla Kolesnikova v Jabloku ohledně roztržky mezi JBoss a ASF

Chyby,chyby,chyby...

Včera jsem si všiml odkazu na zajímavé stránky - popisují hned několik nepatchnutých chyb Internet Exploreru od verze 5 až po aktuální 6-tku. Jakožto rodilého evilHomoSapiens mě napadlo hnedle několik aplikací těchto chyb. Ano - ode dneška není pro mě problém dívat se "komu chci" do počítače. Pracuji ve firmě, kde je IE 5.0 standardem = všichni používají stejnou verzi toho samého prohlížeče (doufám, že nevyzrazuji nějaké firemní tajemství... :) a tudíž pro mě není problém začít škodit (dokážete si představit co by uměl takový worm, který využívá nejen otlaku, ale i toho exploreru pro šíření sebe sama?).

Jen nadhodím situaci, která je reálná - udělám si nějakou škodivou stránku, co se bude tvářit jako "moje Homepage" a pošlu tam pár lidí. Na stránce budu využívat dvou chyb - první je uložení souboru na lokálním disku a druhou je spuštění kódu. Dnes už není problém sehnat software typu keyloger, který se umí zabalit do exe a "potichu" se nainstalovat pouhým spuštěním. O trojských koních ani nemluvě...

Dost už teorie - tady je link na zmiňovanou stránku - enjoy.

pondělí 24. listopadu 2003

Portál veřejné správy - SQL injection pro začátečníky a mírně pokročilé

Portál veřejné správy prošel již mnoha komentáři proto mě zaujal článek Vybrané aspekty implementační fáze Státní informační politiky Aloise Vitáska(původní odkaz jAblok.cZ 24.11.2003 Jedna starší injekce SQL). Pod tímto nevinným článkem naleznete popis, jak šlo jednoduchou úpravou URL dosáhnout modifiace SQL dotazu na straně serveru. Snad jen dodám, fantazii se meze nekladou což dokázal autor článku.

Co na tom že byla chyba briskně opravena, za 3.5 milionu korun ze státní kasičky bych čekal mnohem lepší zabezpečení. Nic na tom nemění ani vyjádření tvůrců ...komponenta pro kontrolu vstupních parametrů obsahovala logickou chybu. Nevím sice co si mam představit pod pojmem logická chyba, ale bezpečnostní díra tohoto typu mi pořádně smrdí. Jsem zvědav jaká další velikonoční vajíčka nám portál přinese....

Prezentace balíku Mozillu

Server Czilla si dal záležet a připravil prezentaci balíku Mozilla a dění kolem něj. Slidová prezentace Mozilla - vše v jednom mapuje historii Mozilly, její výhody, použití, podporované standardy a mnoho dalších informací. Pokud se chystáte někomu Mozillu představit nebo potřebujete vodítko k povídání o tomto projektu pak jsou tyto slidy ideálním řešením.

V sítích Cocoonu

Po pěkném intru publikačního prostředí Cocoon, kterým mě navnadil Pavel Sýkora(viz. Dagblog 05.11.2003 Cocoon na webové aplikace) jsem začal s Cocoonem koketovat sám. Bohužel to bylo pouze letmé seznámení, ale i za tu chvilku, kterou jsem mu věnoval na mě udělal Cocoon dojem. Velice se mi zamlouvala možnost integrovaní portálu s Cocoonem a jeho možnostmi pro generování různých výstupních formátů v závislosti na klientském přístupním zařízení(prohlížeč, PDA, mobil ..).

Minulý týden vyšel druhý díl seriálu Cocoon v příkladech Pavla Sýkory Cocoon v příkladech (2): Instalace a první aplikace, který velice usnadňuje rozběhnutí a první příklad v Cocoonu. Další pohled na možnosti Cocoonu nabízí Tony Culshaw v článku Enterprise Application Integration using Apache Cocoon 2.1. Navnaděn včerejšími experimenty budu Cocoon rozhodně zkoumat dál.