Ruby, Ruby - один багрепорт ставит под сомнение N сервисов...

https://github.com/rails/rails/issues/5228

 

Those who don't know methods attr_accesible / protected - check that article out http://enlightsolutions.com/articles/whats-new-in-edge-scoped-mass-assignment-in-rails-3-1

Let's view at typical situation - middle level rails developer builds website for customer, w/o any special protections in model(Yeah! they don't write it! I have asked few my friends - they dont!)
Next, people use this website but if any of them has an idea that developer didnt specify "attr_accesible" - hacker can just add an http field in params, e.g. we have pursue's name edition. POST request at pursues#update

id = 333 (target's pursues id)
pursue['name'] = 'my purses name'
pursue['user_id'] = 412(hacker id)

if code is scaffolded than likely we got Pursue.find(params[:id]).update_attributes(params[:pursue]) in the controller. And that is what I worry about.

After execution that POST we got hacker owning target's pursue!

I don't mean that it is Rails problem, of course not. But let's get it real(Getting Real ok) - most of developers are middle/junior level and most of them don't write important but not very neccessary things: tests, role checks etc including topic - attr_accesible

how to avoid injections ? What should Rails framework do to force people to keep their rails websites safe? Making attr_accesible necessary field in model? What do you think guys.

 

Далее:

 

This is not only bug report, because this problem is so wide spreaded. postereous, speakerdeck, scribd, github - and I only have started testing.

We need to introduce blacklist attributes. MOst of rails apps(from small to github) likely got mass-assignment bugs if they don't user attr_accessible.

I just want to attract more attention to reviewing this problem from scratch and calmly decide - what should we do with M As-ment problem.

И результат:

GitHub security incident highlights Ruby on Rails problem

http://www.h-online.com/open/news/item/GitHub-security-incident-highlights-Ruby-on-Rails-problem-1463207.html

 

On Sunday morning, 4 March, Egor Homakov exploited a flaw in how theRuby on Rails web framework handles mass assignments that allowed him to write a posting, delete a posting or push changes into source code on anyGitHub project. Homakov had previously created an issue regarding mass assignment security on the rails issue tracker on GitHub; this was closed by the developers saying that it was the application developers' responsibility to secure their applications. Homakov then decided to demonstrate the issue using the nearest Ruby on Rails application, GitHub.

 

Потепление...

This is a message from the MailScanner E-Mail Virus Protection Service
----------------------------------------------------------------------
The original e-mail attachment "msg-19378-57.txt"
is on the list of unacceptable attachments for this site and has been
replaced by this warning message.

Due to limitations placed on us by the Regulation of Investigatory Powers
Act 2000, we were unable to keep a copy of the original attachment.

At Mon Feb 20 08:04:00 2012 the virus scanner said:
No programs allowed (msg-19378-57.txt)

И это за один день...

У Львові на вулиці Городоцькій – аварія на водогоні. Залізничний район без води
У Львові на вул. Героїв УПА – аварія на водогоні. Частина Львова без води

С такими идеями - "торпедировать бизнес" будет иметь другое значение :)

Because of the United States' current immigration and regulatory regime, bold and creative entrepreneurs from around the world aren’t given the chance to come to Silicon Valley and develop the technologies that could be creating jobs and propelling the economy forward.

Blueseed aims to solve this problem so that Silicon Valley remains the world’s center for innovation. Our team, backed by PayPal founder Peter Thiel, is creating a high-tech visa-free entrepreneurship and technology incubator on an ocean vessel in international waters. Our facilities will be a short ferry ride away from Silicon Valley so that great ideas and talent from around the world can live, work, and play while having convenient access to the San Francisco Bay Area. We will provide a customized environment centered around smart, proven, cost-effective legal best practices, and modern living and work accommodations.

When launched, Blueseed will enable countless great ideas and talented individuals to test themselves in the hotbed of Silicon Valley. With our incubator, startups and individuals will also get a chance to establish the connections and capital necessary to move their operations onto land if they so choose.

Silicon Valley needs to bring in great talent, and all of us benefit when great people and ideas come together to drive innovation. We hope you will join us when we set sail.

Источник: http://www.blueseed.co/

Київського бієнале сучасного мистецтва <>

Чим далі від школи тим цікавіше стає Українська мова....

ашанное

Порадовала надпись на десктопе паренька с рабочим местом под экскалатором:
"Едешь на своем экскалаторе? и едь себе. Молча. "

Сколько стоит %s?

Прайс.
$50 купить гранату Ф-1
$100 купить переделанный пистолет
$800 купить пистолет системы Токарева (ТТ)
$1 тыс. купить автомат Калашникова
$65 за право варить и продавать самогон
$1-50 тыс. стоимость заказного убийства
$1 тыс. купить фиктивный паспорт
$200 за отказ документировать факт хранения наркотиков
$2,5 тыс. избежать уголовного преследования за хранение наркотиков
$6 тыс. избежать судебных разбирательств при выращивании и хранении наркотиков
$2 тыс. избежать уголовного преследования за кражу
$15-20 тыс. избежать уголовного преследования, предусматривающего до 8 лет лишения свободы
$2100 купить цветной металл на военном полигоне
$120 откупиться от пожарников при нарушениях пожарной безопасности на предприятии
$150 перейти частнику на общую систему налогообложения
$200-500 за разрешение работать предприятию общепита при нарушении санитарного законодательства
$300 плата за отсутствие документов на продаваемый товар
$300 за начисление минимальных штрафов без налоговой проверки
$100 избежать наказания при нарушении правил торговли
$9 тыс. избежать наказания при серьезных нарушениях налогового законодательства
$500 снять арест с квартиры в исполнительной службе
$350 ежемесячная плата за беспрепятственную работу зала игровых автоматов
$300-500 принятие строительного объекта в эксплуатацию инспекцией Государственного архитектурно-строительного контроля
$1 тыс. стоимость за положительное решение райсовета о выделении 1 га земли на периферии
$6 тыс. стоимость за положительное решение властей о выделении 1 га земли под Киевом
$10 тыс. ввезти 20 нерастаможенных машин и разобрать их на запчасти для дальнейшей продажи
$3 тыс. свободно ездить на авто, которое ищет Интерпол
$750 получить нужное решение суда по гражданскому делу в провинции
$3-5 тыс. получить нужное решение районного суда по гражданскому делу в столице
$60 позитивная характеристика с места работы
10% от суммы возврата НДС таможня не проводит проверку происхождения товаров при экспорте из Украины
$4 тыс. прикрыть дело о незаконном возмещении НДС на несколько миллионов гривен
$60 тыс. за право аренды помещения в центре Киева с дальнейшей приватизацией
$800 за отказ возбуждать уголовное дело и возвращение машины со штрафплощадки при наезде на пешехода
$200 за право пользоваться электроэнергией в неограниченных объемах
$200-300 за получение инвалидности 2-3 группы на несколько лет
2% от суммы начисленной зарплаты стоимость липовой справки о доходах
$120 за липовую справку о том, что человек работает на предприятии
$10 тыс. снять арест на 20-30 тонн мясных изделий неизвестного происхождения
$100 тыс. за отчуждение земельных участков в свою пользу у НАК «Надра України»
$200 тыс. стать начальником экологической областной инспекции

* Данные получены из Государственного реестра судебных решений

Источник:
http://finance.bigmir.net/budget/9846-Skol-ko-stoit-zakazat--ubijstvo-i-otkupit-sja-ot-zakona
вторичный источник:
http://www.stroimdom.com.ua/forum/showthread.php?t=86920

$1k

 

Львовское, задумчиво

Интересно, как должно соответствовать "Положення про паркування транспортних засобів у м. Львові " с требованиями

постановления кабмина про паркование машин, особенно в пунктах 14 и 16... Нет паркомата - нет платной парковки?

Или двуногий сотрудник с надписью "паркування" может расcматриваться как "паркомат"?

 

Про затвердження
              Правил паркування транспортних засобів

 14. Відведені  майданчики для платного паркування обов'язково
повинні бути обладнані паркувальними автоматами  з  розрахунку  не
менш  як  один  автомат  на  10  місць для паркування з обох боків
уздовж проїзної частини вулиці, дороги або тротуару. 

16. На  спеціально  обладнаних   майданчиках   для   платного
паркування обов'язково повинні бути встановлені автоматичні в'їзні та виїзні термінали. 

 

  20. Не обладнуються паркувальними автоматами та автоматичними
в'їзними  та  виїзними терміналами спеціально обладнані майданчики
для  платного  паркування  у  разі  їх  призначення  виключно  для
користувачів,   які   сплачують   вартість   послуг   з  утримання
майданчиків  для  платного  паркування  у  безготівковій  формі за
договором  про паркування протягом визначеного строку, але не менш
як один місяць. 

21. На майданчиках для платного паркування у  доступному  для
ознайомлення користувачів місці розміщується інформація про:

     оператора (найменування, адреса, контактні телефони);

     вартість   послуг   з   утримання  майданчиків  для  платного
паркування,  спосіб оплати (готівковий або безготівковий). { Абзац
третій пункту 21 із змінами, внесеними згідно з Постановою КМ N 27
( 27-2011-п ) від 19.01.2011 }

 

http://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=1342-2009-%EF&p=1324917860296728

 

// Inspired by _anton_

 

 

What is the difference between PM & PL?

Question: What is the difference between project manager and project leader?

 

Answer:

A project leader will tell the team "All of you, take these axes and start cutting down these trees asap."

A project manager will climb up a tree, look around and say "Shit, we are in the wrong forest."

Анекдот про оленеводов от forbes :)

http://www.forbes.com/sites/stevedenning/2011/08/11/think-your-job-is-bad-try-one-of-these/

 

The Ten Most Hated Jobs

1. Director of Information Technology

Information technology directors hold almost as much sway over the fate of some companies as a chief executive, but they reported the highest level of dissatisfaction with their jobs. Why? “Nepotism, cronyism, disrespect for workers.”

2. Director of Sales and Marketing

A director of sales and marketing plans reported the second-highest level of job dissatisfaction, “a lack of direction from upper management and an absence of room for growth”.

3. Product Manager

Product managers complained of restricted career growth, and boring clerical work even at this level.

4. Senior Web Developer

Senior web developers reported a high degree of unhappiness in their jobs, because employers are unable to communicate coherently, and lack an understanding of the technology.

5. Technical Specialist

A technical specialist reported that for all their expertise, they were treated with a palpable disrespect. Their input was not taken seriously by senior management.

6. Electronics Technician

Electronics technicians complain of having too little control, work schedule, lack of accomplishment, no real opportunity for growth, no motivation to work hard, no say in how things are done, and mutual hostility among peers.

7. Law Clerk

Clerkships are among the most highly sought-after positions in the legal profession and the job beefs up a resume. Yet law clerks still report high levels of dissatisfaction. The hours are long and grueling, and the clerk is subject to the whims of sometimes mercurial personalities.

8. Technical Support Analyst

Technical support analysts help people with their computer issues. This typically amounts to calmly communicating technical advice to panicked individuals, often over the phone, and then going on site only to find the client simply hadn’t turned the printer on. They may be required to travel at a moment’s notice, sometimes on holidays or weekends.

9. CNC Machinist

CNC machinists operate computer numerical control machines. For the uninitiated, this is a machine that operates a lathe or a mill. Now that the CNC operator has had most of the physical hazards of manufacturing replaced by a machine, there’s not a lot to do but push buttons and maintenance. Since it’s a specialized skill, the job offers no room for advancement.

10. Marketing Manager

Marketing managers often cited a lack of direction as the primary reason for job dissatisfaction.

 

 

//spotted by Gu

Удивительно, но в этот раз без представителей Украинского бомонда

Супер-ДТП произошло в Японии. В аварию тут попали восемь Феррари, два Мерседеса, один Ламборгини и еще несколько машин попроще. Владельцы сверхдорогих машин, входящие в клуб любителей суперкаров, совершали традиционную воскресную поездку, когда один из них не справился с управлением. Его Ferrari двигалась со скоростью 140-150 км/ч, и в мокром повороте автомобиль вышел из-под контроля.

Следовавшие за ним в колонне одноклубники не смогли увернуться от скользящей поперек трассы машины, в результате суперкары образовали массовый завал

 

http://avtoport.ua/user_write/dtp_s_superkarami

Покращення життя триває

This is a message from the MailScanner E-Mail Virus Protection Service
----------------------------------------------------------------------
The original e-mail attachment "msg-28062-102.txt"
is on the list of unacceptable attachments for this site and has been
replaced by this warning message.

Due to limitations placed on us by the Regulation of Investigatory Powers
Act 2000, we were unable to keep a copy of the original attachment.

At Thu Dec 1 23:05:59 2011 the virus scanner said:
No programs allowed (msg-28062-102.txt)

Кабінет міністрів зареєстрував у Верховній раді законопроект, який змінює порядок виплат соціальної допомоги матерям при вагітності та пологах.
.документ розроблений Міністерством соціальної політики.  Крім іншого, для одержання зазначених виплат документом вводиться норма про надання довідок про склад сім'ї та доходи її членів. Зараз для отримання соціальної допомоги матерям такі документи оформляти не потрібно. До органів праці та соціального захисту достатньо надати довідки з пологового будинку, з місця роботи (для працюючих матерів); безробітним необхідно мати документ, що підтверджує реєстрацію в центрі зайнятості, а підприємцям - з Фонду соціального страхування про тимчасову втрати працездатності та про сплату страхових внесків.

У Мінсоцполітики вважають, що облік доходів є першим кроком для адресного надання соціальної допомоги.
"В Україні тільки 20% отримувачів соціальної допомоги мають її згідно зі своїм статусом. Решта людей, які отримують її формально за документами,

насправді не є малозабезпеченими", - заявив начальник прес-служби Мінсоцполітики Михайло Кухар.

"У нас навіть якщо жінка мільйонер, вона однаково отримує допомогу на дитину. У жодній країні світу такого немає.

Ми б хотіли давати матеріальну допомогу тільки тим, хто її потребує", - додав він.