Little form hack

Stavo leggendo il blog di Matteo Flora. Seguo abbastanza spesso il suo blog, soprattutto da quando ho scoperto che abita a pochi km da me.

Prima o poi lo contatterò, giusto per una chiacchierata. O magari andrò ad un incontro del MiSec, anche se non so se è ancora un progetto attivo. Avevo visto questo progetto appena era stato varato, quando ancora segnavano sul blog gli incontri. Però purtroppo sono parecchio preso tra la mia attività di consulente e l'università da finire, per cui finora non sono mai riuscito ad andarci.

Comunque, stavo leggendo di un giochetto innocuo che ha fatto ai danni di una specie di concorso tra blogger e per cui è stato ampiamente criticato da chi l'ha subito.
Evidentemente questa persona non si è resa conto del favore che gli è stato fatto.. la cosiddetta Full Discolsure non è compresa da tutti, non è una novità.
Infatti quando si fanno delle applicazioni su web, troppo poco spesso vengono considerati alcuni fattori, ed è giusto che vengano fatti notare, senza cercare di trarne eccessivo vantaggio.

Pensiamo per esempio a sine, di cui avevo parlato tempo fa, la cui struttura non prevedeva controlli sui commenti.
Mentre il concorso in questione effettuava un check base: il voto veniva considerato valido se era passato almeno un minuto dall'ultimo voto proveniente da quell'ip.

LastKnight ha automatizzato il voto usando un componente ruby che si attacca a safari e lo pilota per cui con poche chiamate riesce ad effettuare un click sul bottone del voto.

Scelta interessante, come lo è quel componente, però personalmente avrei agito diversamente, grazie al mitico lynx. Infatti con lynx si possono effettuare sia GET che POST in automatico. Lasciando perdere le GET che sono davvero banali, ho guardato un attimo come si effettua un HTTP POST per loggarsi su wordpress:

echo 'log=&pwd=b&redirect_to=/wp-admin/' | lynx -dump http://www.host.com/wp-login.php --post_data

Per cui in ogni caso, basta vedere i parametri del form, il metodo e l'action, e ricreare una roba del genere, in cron o in ciclo con sleep 1.2m (giusto per..).

Grazie a questo utilizzo di lynx, si può anche facilmente pensare di fare un attacco a dizionario su un form di login tutto in shell..giusto come esercizio di stile :)

Super Grub Disk

Oggi batto tutti i miei record e scrivo pure il secondo post!
Perchè sono sollevato tantissimo per aver trovato questo tool che dopo diverse ore di tentativi mi ha risolto una situazione intricata in cui mi ha cacciato il dannato sistema operativo che merita di essere usato solo per monitorare il consumo delle macchinette di caffè.

L'ho postato su arabianfenix, perchè là potrà essere visto da più persone, e salvare il culo a tanti che si ritrovano col problema di dover reinstallare grub nell'mbr. Però ci tenevo a linkarlo anche da qua, perchè c'è lo spaccato di questa mia giornata di passione..

Tra l'altro ora devo anche mettermi a lavorare di brutto per recuperare il tempo perso..
quindi passo e chiudo

JQuery

Oggi vi parlo brevemente di JQuery, una libreria javascript che ho cominciato ad utilizzare ieri. Non ho ancora capito bene i limiti e le eventuali implicazioni dell'utilizzo di questo componente, però al momento trovo estremamente interessante avere un modo standard per navigare nella struttura DOM di una pagina HTML con poche chiamate javascript con una sintassi comunque comprensibile (certo, un po' più concisa, ma leggibile, con delle conoscenze di base di html). Ieri ne sono venuto a conoscenza e subito ho integrato in una mia applicazione web due plugin che ne fanno uso.
E qui arrivo ad un punto estremamente interessante: infatti sul sito c'è un elenco di plugin ufficiali, anche se secondo me non è il termine giusto. Infatti non sono delle estensioni, ma dei componenti che fanno uso di questa libreria.. ma vabbè, ognuno può pensarla un po' come vuole..

Con la sola inclusione di due componenti del genere, la mia web app ha cambiato volto, con un'interfaccia più comprensibile, più rapida e più accattivante.
Ormai, secondo me, ha poco senso sviluppare applicazioni desktop se si possono fare applicazioni web così belle e dinamiche.

Shazbot!

In questo periodo sono abbastanza inquieto sui vari progetti. Continuo a mettere carne al fuoco ed iniziare progetti vari, che finirò col tempo.

Da qualche settimana dedico un'oretta serale (dalle 23.30/24) a smanettamenti vari. Il primo risultato è che nel mio paese (che ho sempre considerato arretrato) ci sono un sacco di reti wireless, soprattutto quelle di Alice con WPA. Ma di questo ve ne parlerò un'altra volta. Come anche dedicherò un post alle bestemmie sul protocollo di interrogazione del server Tribes.

E qua mi avvicino al punto di arrivo di questo post. Infatti nel gioco Tribes, si utilizzano dei comandi a tastiera per scegliere tra un vasto set di espressioni da dire (con tanto di file audio) per coordinarsi con gli altri giocatori. Oltre alle frasi organizzative ci sono i vari taunt ed esclamazioni tra cui, appunto, "Shazbot!", generica esclamazione di disappunto (cfr urbandictionary).

Da qualche tempo questa parola è anche il nome del mio irc bot (eh dai, ricorda il mio nick e contiene "bot".. meglio di così :) ).

E' un'istanza di supybot, un motore per bot scritto in python, con supporto di plugins e licenziato BSDLicense. Per ora sto giocando con le plugin base (quella RSS fa davvero schifo, secondo me), ma ben presto inizio a svilupparne alcune.

La mia idea è di iniziare con una che esegue uno stupidissimo "fortune" per capire il funzionamento, le API messe a disposizione e quindi le potenzialità. Poi l'obiettivo è creare una sorta di fserve, per i vari ebook;prima avevo un piccolo server ftp dedicato, ma riuscire a fare tutto via irc sarebbe davvero niente male. Certo, poi bisogna vedere le policy del server irc :P

Mi sa che posto tutto nel forum di ArabianFenix in cerca di eventuali collaboratori pythonisti.

ARMIN: Architecture Reconstruction and Mining

Per uno degli ultimi esami che mi mancano da dare, il progetto consiste nell'analizzare ed utilizzare il software in oggetto traendo conclusioni anche dal confronto con tool simili di altre fonti.

E' un tool sviluppato dall'università carnegie mellon. Come primo impatto fa veramente schifo. Già un tool scritto in java (che si lancia attraverso un java -jar) che funziona solo sotto windows fa capire che probabilmente è stato scritto col culo.
Capisco che ci siano dei software in java che richiedano uno strato di software dipendente dal sistema operativo (due nomi per tutti: Eclipse e OpenOffice), ma questo strumento potrebbe benissimo farne a meno.

Si presenta con un'interfaccia old-school in awt e me l'hanno data insieme ad una directory dal nome mediamente esplicativo: "examples". Ma la cosa che mi lascia perplesso è che non c'è un esempio che funzioni.

Il bello è che questo strumento mi potrebbe tornare utile anche per la tesi, ma se non funziona io come lo do l'esame? e come lo sfrutto per la tesi?

Beh, davvero una merda per ora. Le eccezioni sparate a video quando lo si lancia da righe di comando non si contano. E, come se non bastasse, tra i package che vedo all'interno del jar c'è un com.borland.

...rabbrividiamo
se non avete dei brividi di paura e terrore vi pongo la question: "Avete mai dovuto programmare in Delphi?"

Internet is for Porn

Come potete notare, raramente (o forse mai?) aggiungo contenuti multimediali ai post, che siano immagini o filmati ma questo è sicuramente imperdibile :)



Chi ha fatto questo video è un fottuto genio :D

Un nobel italiano (ma non del tutto)

Nonostante in questo periodo sia davvero difficile portare avanti i miei vari progetti (questo blog, , ArabianFenix ed altro) per la quantità di grossi cambiamenti che sto cercando di affrontare nella vita reale, volevo dedicare qualche minuto ad una notizia che non può che fare piacere: insieme ad altri due colleghi, Mario Capecchi ha vinto il nobel in medicina.

Il mio primo pensiero, appena ho sentito che vive e studia da anni negli Stati Uniti è stato "un'altra delle menti geniale fuggite perchè non valorizzate dal nostro cazzo di paese". Ed invece mi sbagliavo.
La sua storia è ben altra: se avete un secondo leggetevi la scheda preparata dal corriere.it.

E' sicuramente una interessante ed un po' tutti cercheranno di estrapolare una morale. Che forse, dopotutto, non è neanche sbagliata.

Ottobre!

Porco mondo è già ottobre. Cazzo come passa il tempo.

Da agosto ho ridotto drasticamente le ore di lavoro (o meglio, lavoro di più da casa) eppure non sono riuscito ancora a concludere un cazzo con l'università. Sono in ballo con 3 esami sui 4 che mi mancano (con tesi già iniziata). Fine prevista: aprile.
E fin qua non ci sarebbe nulla di nuovo. Se non fosse che sto avendo dei contatti con una grossa ditta di sicurezza informatica che fa pentest, forensic e altre robe estremamente interessanti.
Loro di default fanno contratto full-time a tempo indeterminato. Un contratto che al momento non mi posso permettere.
Ho iniziato a lavorare con partita iva per portare avanti in modo proficuo l'università, potendomi permettere di lavorare più o meno giorni a seconda delle sessioni di esame. Ed ora arriva questa grossa opportunità che implica anche una grossa scelta.
Ed io sono davvero indeciso.. ed intanto è già ottobre