För ett tag sen skrev jag inlägget om hur man kan skriva om webbadresser med Asp.Net (eller snarare om alla de svårigheter som är involverade). Många utvecklare har tacklats med problemet och jag tänker inte gå något djupare på de tekniska detaljerna nu. Ska dock spara lite nya länkar här som jag hittat.
Sen en adress till en Wiki helt dedikerad åt välskrivna url:er, där man kan läsa "ASP.NET - Well Designed Urls Wiki", och innehåller många relaterade länkar.
Several people have asked why the built-in URL Mapper in ASP.NET 2.0 doesn't support regular expressions. There were actually a few reasons for this -- one of the big ones being that just about the time we were about to consider adding it my team started also working on IIS7. We realized that a full-featured version would want/need to take advantage of some of the new features in IIS7 as well as the support all content types (in particular -- images and directories). So we postponed making it feature rich until a future version.
Själv är jag glad att jag inte har börjat försöka skriva om url:er på IIS 6 ännu, speciellt när man läser inlägg som "Making URL rewriting on IIS 7 work like IIS 6". Frågan är bara om man kan vänta, att ha snygga webbadresser känns ganska lockande, speciellt ur sökoptimerings-synpunkt. Men tänkt bara på att när IIS 7 släpps som riktig server-version så kan du tvingas att göra om det hela igen.
Om du vill ha några begynnande tankar från en som börjat testa url-omskrivning med IIS 7 på Vista, kan du läsa Dennis' blog.
Idag skriver IDG.se artikeln "Pdf-filer är hackarnas nya farliga vapen - så skyddar du dig" och förklarar det nya säkerhetsproblemet som uppdagats. Adobe uppmanar användare att snabbast möjligt ladda hem den nya versionen Adobe Reader 8 (engelska), där problemet är löst. Den svenska versionen verkar precis vara släppt, när jag kollade för en liten stund sen hittade jag den inte. Att man lanserar den med sådan hast, är i så fall ett tecken på, hur allvarligt Adobe anser problemet vara.
Huvudproblemet kan visas genom exempel nedan. På följande sätt kan man köra vilken javascript-kod som man vill på klienten. Och detta medan användaren befinner sig på den domän där PDF-filen befinner sig. En öppen vektor för cross-site-scripting-attacker, nätfiske, stöld av sessionsvariabler och cookies eller för att sprida XSS-maskar med andra ord.
http://www.entersomedomain.com/thepdfyoufound.pdf#blah=javascript:alert("This is an XSS-attack example");
Detta fungerade så länge jag hade version 7.0.8 installerad, efter jag lagt in version 8 så fungerade inte attacken längre.
IDG skriver i artikeln att säkerhetshålet bara har upptäckts i Adobes insticksmodul, men andra uppgifter tyder på att set inte slutar där. Hac.kers.org har forskat vidare på sårbarheten och menar nu att det inte bara är genom en webbläsare som en attack kan ske. Det hela diskuteras vidare på Sla.ckers.org forumet och några begynnande exempel visar upp hur även PDF:er kan utnyttjas, som ligger på användarnas datorer. Farliga länkar kan sedan spridas via skräppost eller chatt-program.
Detta verkar vara ett av de farligaste säkerhetshålen som hittats på länge, och eftersom många användare kommer ha kvar version 7 eller äldre ett bra tag, så kan vi förvänta oss att det kommer skapa problem långt framöver. Är du en webbmaster som har många PDF-filer på dina sajter, och dessutom använder AJAX av någon form, bör du genast sätta dig in i vilka riskerna är. Läs även "What you need to know about the UXSS in the Acrobat Plugin" av Jeremiah Grossman.
Tekniken AJAX (Asynkron JavaScript och XML) används i allt större utsträckning på webbplatser. Baksidan är att detta öppnar upp för en ny typ av attacker kallade XSS (Cross-site scripting).
Idag släpptes en XSS-mask loss på community-sidan Gaiaonline.com och på bara 3-4 timmar infekterades 1500 användare. Läs mer om detta på ha.ckers.org där även källkoden för masken finns att studera.
Att förstå hur dessa XSS-attacker fungerar är väldigt viktigt för alla som jobbar med att utveckla applikationer med AJAX-funktionalitet.
Långa select-listor kan vara jobbiga för användarna, speciellt om många av valen börjar på samma bokstav. För att snabbhoppa till rätt val kan man ju skriva in ett första tecken. Då får man endast upp det första valet i listan på det tecken man matat in. Sen känns det naturligt att kunna ange ett tecken till, och fortsätta selekteringen. Men det går ju inte... Då hoppar man till en annan sektion av listan som börjar på den nya bokstaven.
En kort beskrivning hur man kan få fram antal raden som visas i en GridView, som är kopplat till en SqlDataSource, genom OnSelected event. Och då snackar vi som vanligt .NET. Koden för GridView och SqlDataSource:
Det är just nu mycket snack om vad som hände 2006 och det är väl rätt naturligt så här vid årsskiftet. Hittade via Beta Alfa till några artiklar från Information Architects Japan, där de diskuterar 2006 års trender och blickar framåt mot 2007. I samband med undersökningen visas även en karta, utformad som en tunnelbanekarta, och som symboliserar nästa års trender. Se den även i större format.
Jag söker ibland efter innehåll från min egen webbplats på Google för att se om någon använder material från min webbplats. Nyligen tycker jag mig ha sett en ganska kraftig ökning av sidor som snor innehåll och publicerar det på spam-sajter.
Just nu finns det bland annat några sökresultat med Poker-relaterade rubriker i Googles cache-sidor som har snyltat på mitt innehåll. Själva sidorna finns dock inte längre kvar.
En sida med titeln "Feed FeedBurner On Google" finns dock i skrivandes stund fortfarande uppe på nätet och använder sig av lite innehåll från min webbplats.
När jag först hittade länken blev jag nästan lite glad eftersom, sidans titel antyder på att den använder RSS-flöden, vilket dock visade sig vara felaktigt. Den har helt enkelt återanvänt SERPs från Google eller på annat sätt skannat min webbplats.
Jag väntar nämligen på att någon ska använda mitt RSS-flöde i spammningssyfte, så att jag får ett skäl att gå till motattack. Den metod som jag då tänker prova är att förgifta RSS-flödet ungefär som ha.ckers.org gjorde.
Lars Olsson meddelar att LO:s hemsida blev hackad under nyårshelgen, och visar upp en skärmdump av det politiska meddelande som aktivisterna lämnade. "Under 2007 kommer LO att kämpa för att samma usla lön" skriver de och att "medlemsavgifterna kommer att gå till att smutskasta småföretagare".
Förövarna passar även på att gäcka Polisen och förklarar att de även låg bakom attacken mot SSU, tidigare i höstas.
Meddelandet är signerat av Pablin77 och är samma signatur som användes när SOS Alarm hackades för någon vecka sedan.
Uppdatering: Fel av mig. Pablin77 tros inte ligga bakom attacken. Dennes signatur nämndes bara i ett meddelandet "Pablin77, YOU SUCK!". Attacken mot LO signerades med "Vuxna Förbannade Hackare - Det slutar inte här".
Som en parantes kan man också notera hur en svensk mediabyrå community/diskussionforum, såg möjligheten till uppmärksamhet genom att iscensätta att deras hemsida blivit hackad. Detta gjordes som ett aprilskämt i maskopi med ett antal bloggar, bland annat Bisonblog.
Hittade på SEO Blog, en länk till ett roligt SEO-verktyg som finns på Virante.com.
Verktyget som kallas Industry Inbreeding & Hub Finder, använder sig av Adobe SVG Viewer, för att rita upp grafer baserat på de nyckelord man anger. Graferna visar webbsidor som är på position 36 och uppåt på nyckelordet och även de inbördes länk-relationerna mellan webbplatserna.
Sådana här grafer har alltid fascinerat mig och vill gärna se fler liknande tjänster. Drömmen är ju att få en överblick över hela internet, men det är ju rätt komplicerat att få till.
Kommer ihåg när Johan som driver den hyllade bloggportalen Knuff.se, publicerade några grafer över den svenska Bloggosfären. Vore verkligen kul att se fler grafer baserade på data från Knuff, och hur coolt vore det inte med en fri programmerings-API, så man kunde leka med dessa data själv. Johan skriver numera på Johans blogg-blogg.
