lonerunners.net | www.lonerunners.net www.lonerunners.net lab.lonerunners.net lab.lonerunners.net secdocs.lonerunners.net secdocs.lonerunners.net

Cinema: Una notte al museo 2

Una notte al museo 2 – La fuga: Sono passati due anni dal primo film e Larry Dailey ha lasciato il Museo di Storia Naturale dove lavorava ed è entrato nel mondo degli affari. Un giorno torna al museo scoprendo che tutti i pezzi saranno sostituiti con degli ologrammi. Una sera, lo chiama Jedediah, il piccolo cowboy, che dice a Larry di essere spostato nello Smithsonian dove si trova il perfido faraone fratello di Akmenrah, Khamurrah. Larry decide di raggiungere le statue per salvarle e riportarle a New York.
Un film divertente ma non ai livelli comici del suo predecessore, in ogni caso un’ottima visione.
Citazione: “Noi siamo americani, prima agiamo e poi pianifichiamo.”
Citazione: “Ho tanti discendenti in italia, uno di loro è alla mia altezza, è un pezzo grosso, è un uomo molto potente e spiritoso… lo conosci?… Una volta cantava sulle navi.”

Cinema: Fast and Furious 4 – Solo parti originali

Fast and Furious – Solo parti originali: C’e` sempre una gara da vincere, c’e` sempre qualcuno da battere.
Un film dalla trama scontata e discretamente noioso. La sagra dell’ovvieta`.
Citazione: “Correre o morire e` il nostro motto”
Citazione: “Sei uno di quelli che preferisce una bella macchina piuttosto che una donna?” “Sono uno che apprezza le belle carozzerie indipendentemente dalla marca”

Sviluppo Ruby on Rails orientato SEO

(Photo credits: marciookabe)

Lo sviluppo in Ruby on Rails del mio ultimo progetto mi ha portato a scontrarmi con l’ottimizzazione per i vari motori di ricerca dell’applicativo web.

SEO è la tecnica del come ottimizzare il posizionamento nei motori di ricerca di un sito web in modo da ricere più visite dalle ricerche.

Di seguito elenco alcune semplicissime ma altrettanto efficaci tecniche da tenere in considerazione nello sviluppo di una web application Ruby on Rails ottimizzata SEO.

Friendly URLs

Invece che utilizzare URL che recano la sola indicazione dell’ID dell’oggetto come:

http://example.lonerunners.net/show/11

Utilizzate degli url sexy che recano indicazione del titolo,  o altre informazioni, della pagina come:

http://example.lonerunners.net/show/11-this-is-a-test

Metadata dinamici

I tag dei metadata che descrivono la pagina come title, keywords e description è bene che non siano statici per ogni pagina del sito. Fate in modo che vengano generati con contenuto diverso per più pagine possibile.

Evidare la duplicazione

Se avete contenuti o pagine che vengono duplicate bisogna far in modo che i duplicati non siano indicizzati dai motori di ricerca. Questo si realizza semplicemente con un uso accorto del file robots.txt o aggiungendo il seguente tag nelle pagine che non devono esser indicizzate:

<meta name="robots" content="noindex,nofollow" />

Sintassi

Far in modo che il codice HTML generato sia w3c compliant e non contenga errori di sintassi.

Accessibilità

Cercare di disegnare un sito nel modo più accessibile possibile e ricordate di utilizzare i tag alt e title.

SecDocs – Documenti vari di IT security

(Photo credits: chrismetcalf)

Come i più astuti tra di voi avranno notato, nella barra in alto è comparso un nuovo link: secdocs.lonerunners.net.

SecDocs è nato dalla mia personale esigenza di dover catalogare e centralizzare tutti i documenti inerenti la sicurezza informatica che vedo, che siano papers di ricerca, slides di convegni, o video di talk.

Archiviando il tutto in categorie, utilizzando i tags, e aggregando e correlando i documenti in base alle caratteristiche comuni.

Dopo un week end di sviluppo e molto tempo per rendere la grafica non dico decente ma almeno accettabile, perchè si sa, le mie capacità grafiche sono inferiori a quelle di un bambino di 6 anni, è nato SecDocs, che ora è abbastanza maturo per essere reso pubblico in una versione beta.

Quindi se siete interessati a consultare un elenco sempre aggiornato di documenti di IT security andate su SecDocs oppure abbonatevi al suo feed RSS.

Se trovate qualche bug o volete proporre qualche nuova feature scrivetemi.

Le migliori tecniche di Web Hacking del 2008

(Photo credits: Juan23)

Come ogni anno Jeremiah Grossman pubblica la sua personale classifica delle migliori tecniche di hacking web scoperte dai ricercatori nell’anno appena trascorso.

E fa molto piacere scoprire che nella classifica delle migliori dieci ricerche ci sono ben due italiani:

Inoltre vi consiglio di dare un occhio alla lista di tutti i partecipanti che rappresenta un ottimo punto di partenza e di studio per quello che e` stata la web security nel 2008:

  1. CUPS Detection
  2. CSRFing the uTorrent plugin
  3. Clickjacking / Videojacking
  4. Bypassing URL Authentication and Authorization with HTTP Verb Tampering
  5. I used to know what you watched, on YouTube (CSRF + Crossdomain.xml)
  6. Safari Carpet Bomb
  7. Flash clipboard Hijack
  8. Flash Internet Explorer security model bug
  9. Frame Injection Fun
  10. Free MacWorld Platinum Pass? Yes in 2008!
  11. Diminutive Worm, 161 byte Web Worm
  12. SNMP XSS Attack (1)
  13. Res Timing File Enumeration Without JavaScript in IE7.0
  14. Stealing Basic Auth with Persistent XSS
  15. Smuggling SMTP through open HTTP proxies
  16. Collecting Lots of Free ‘Micro-Deposits’
  17. Using your browser URL history to estimate gender
  18. Cross-site File Upload Attacks
  19. Same Origin Bypassing Using Image Dimensions
  20. HTTP Proxies Bypass Firewalls
  21. Join a Religion Via CSRF
  22. Cross-domain leaks of site logins via Authenticated CSS
  23. JavaScript Global Namespace Pollution
  24. GIFAR
  25. HTML/CSS Injections – Primitive Malicious Code
  26. Hacking Intranets Through Web Interfaces
  27. Cookie Path Traversal
  28. Racing to downgrade users to cookie-less authentication
  29. MySQL and SQL Column Truncation Vulnerabilities
  30. Building Subversive File Sharing With Client Side Applications
  31. Firefox XML injection into parse of remote XML
  32. Firefox cross-domain information theft (simple text strings, some CSV)
  33. Firefox 2 and WebKit nightly cross-domain image theft
  34. Browser’s Ghost Busters
  35. Exploiting XSS vulnerabilities on cookies
  36. Breaking Google Gears’ Cross-Origin Communication Model
  37. Flash Parameter Injection
  38. Cross Environment Hopping
  39. Exploiting Logged Out XSS Vulnerabilities
  40. Exploiting CSRF Protected XSS
  41. ActiveX Repurposing, (1, 2)
  42. Tunneling tcp over http over sql-injection
  43. Arbitrary TCP over uploaded pages
  44. Local DoS on CUPS to a remote exploit via specially-crafted webpage (1)
  45. JavaScript Code Flow Manipulation
  46. Common localhost dns misconfiguration can lead to “same site” scripting
  47. Pulling system32 out over blind SQL Injection
  48. Dialog Spoofing – Firefox Basic Authentication
  49. Skype cross-zone scripting vulnerability
  50. Safari pwns Internet Explorer
  51. IE “Print Table of Links” Cross-Zone Scripting Vulnerability
  52. A different Opera
  53. Abusing HTML 5 Structured Client-side Storage
  54. SSID Script Injection
  55. DHCP Script Injection
  56. File Download Injection
  57. Navigation Hijacking (Frame/Tab Injection Attacks)
  58. UPnP Hacking via Flash
  59. Total surveillance made easy with VoIP phone
  60. Social Networks Evil Twin Attacks
  61. Recursive File Include DoS
  62. Multi-pass filters bypass
  63. Session Extending
  64. Code Execution via XSS (1)
  65. Redirector’s hell
  66. Persistent SQL Injection
  67. JSON Hijacking with UTF-7
  68. SQL Smuggling
  69. Abusing PHP Sockets (1, 2)
  70. CSRF on Novell GroupWise WebAccess