Если вы, вдруг не знали, то помимо всякой ерунды, публикуемой на этом блоге, я еще и занимаюсь переводом блога Эрика Липперта (Eric Lippert) Fabulous Adventures in Coding на русский язык. В русскоязычном варианте этот блог носит название Невероятные приключения в коде.

Занимаюсь я этим делом вот уже полтора года и не разу не пожалел потраченного времени. Я надеюсь, что чтение статей Эрика на русском языке доставляет хоть малую толику того удовольствия, которое я получаю при переводе!

Но сегодня я не об этом. Точнее не совсем об этом. Мы начали публиковать переводы, датированные апрелем 2009-го года, но, как это ни удивительно, до этого Эрик писал не менее часто и не менее интересно. Посему я предлагаю вернуться к его старым хитам и восстановить, так сказать, справедливость и перевести на русский язык и их.

Услышав сегодня на одном из новостных сайтов, что Mail.ru обновили свой поисковый интерфейс, зашёл туда, чтобы узреть его.

Не увидел ничего нового в интерфейсе, писем во «Входящих» не было. Лениво щёлкнул на папочке «Спам», поглядел письма и… Обнаружил, что пришло новое письмо. Письмо было от Mail Delivery System (Mailer-Daemon@prof1.mail.ru). Содержало оно сообщение, что моё письмо не было доставлено уйме адресатов из-за того, что было посчитано спамом. Я же себя считал достаточно вменяемым, чтобы понимать, что такого письма я не слал.

Если предисловие вас заинтересовало, продолжу.

Простите мне заголовок в стиле Securitylab, но факт остается фактом.

Сначала я планировал написать о CSRF уязвимостях, которые я нашел в одном из крупнейших порталов Рунета. Но оказалось, что этим уязвимостям подвержен не только этот портал, а большинство крупнейших ресурсов. О найденных проблемах я сообщил в соответствующие компании полтора месяца назад. Сейчас у меня снова появилось время и я посмотрел, что же уже закрыто. Оказалось, что за полтора месяца была закрыта только 1 уязвимость.

Т.к. уязвимости ещё рабочие, я напишу только где их нашёл и как их можно использовать. Через неделю обещаю выложить работающие примеры для чайников — чтобы воспользоваться смогли школьники и домохозяйки. Кто не спрятался — я не виноват.

Нагнетаю интригу: я искал уязвимости в Яндексе, Рамблере, Mail.ru, Вконтакте, ЖЖ и на других популярных ресурсах. Если не терпится узнать где и какие уязвимости я нашел — сразу переходите к разделу «Список уязвимостей».

Для понимания обнаруженных уязвимостей понадобятся хотя бы базовые знания о том, что такое CSRF. Если их нет — не расстраивайтесь, ниже я попробовал доступно это объснить (правда, по-моему, не получилось). Если вы и так в курсе, что это такое, или же наоборот, не собираетесь в этом разбираться — смело переходите к результатам моего поверхностного аудита.

Для начала имеет смысл почитать Википедию. Если читать по-английски лень (на русском языке в Википедии почти ничего по теме нет, на Хабре тема освещена чрезвычайно слабо), а узнать что-нибудь хочется, то вот краткое содержание предыдущих серий описание этой уязвимости.

3-го августа состоялся релиз нового обучающего видеокурса Алексея Каширского под названием «Видеокурс по дополнениям фирмы Cigraph для ArchiCAD».   ПЕРЕЙТИ НА САЙТ «ВИДЕОКУРСА ПО CIGRAPH»   Друзья, на этот видеокурс пока не действуют никакие скидки. Но! С 3-го по 7 августа включительно Алексей Каширский проводит акцию — «Видеокурс в подарок». Суть этой акции заключается в том, [...]

В попытке побороть моё стремление к совершенству, я решил открыть исходники моего долгосрочного проекта Machete для всеобщего просмотра. Machete — это мой собственный диалект стандарта ECMAScript 5 или, как его чаще называют, JavaScript.

Основные возможности

Более понятные лямбда-выражения

var succinct = \(x, y) x + y;
var verbose = function (x, y) { return x + y; };

Поддержка итерации с помощью цикла foreach и генераторов

var numbers = generator {
    yield 1;
    yield 2;
    yield 3;
};

foreach (var n in numbers) {
    Output.write(n);
}   

foreach (var e in ["Array", " objects", " are", " iterable", "!"]) {
    Output.write(e);
} 

foreach (var ch in "Strings are iterable!") {
    Output.write(ch);
}

Реализация

• компилятор написан на языке F# с использованием библиотеки FParsec
• исполняющая среда написана на языке C# и находится под управлением .NET
• в настоящее время имеется более 400 тестов, и еще множество разрабатывается

Machete — это продукт нескольких лет исследований, проектирования и программирования. Я разместил его на GitHub, так что пожалуйста, заходите и форкайте проект. Я бы очень хотел увеличить количество тестов и тесты от сообщества были бы неоценимы.

Ссылка на репозиторий: GitHub Repository For Machete