Flame

Sziasztok!

Rovid tortenet:
Eszrevettem, hoyg a szerveren a kimeno levelek queujeben tobb szaz level gyult fel mindegyik spam es a www-data user kuldte. Par oras nyomozo munka utan rajottem, hogy nem tortek fel a gepet, csak egyik php-s weboldalon keresztul kuldenek spamet.

A PHP mail() fuggvenye annyit csinal, hogy fogja a bejovo negy parameteret, beteszi egy template-be, es szepen benyomja a sendmail/postfix/etc stdin-jebe.
Tehat hogyha valaki a template-en belul kuld meg egy template-et, akkor kuldhet egy masik levelet is arra a feladora amire o gondolja. Bersze tobb ezer bcc mezovel. (a-z ig szinte az osszes .aol.com -os cimre ...)

Eddig volt az eset tanulmany. Es most jon a flame resze (sajat gondolatok).

Ki itt a hibas?

* A spamet kuldo (ez termeszetes)
* Rajottem, hogy a spamet kulonbozo IP-krol kuldik (del-korea, kina, usa, csak par ip: 68.8.94.249, 219.232.9.180, 211.223.58.182). Tehat itt bothaloval allunk szemben, ami:
* windows felhasznalok, akik szabaidejukben virust gyujtenek, es igy lesznek botnet tagjai
* botnet halot megiro programozo

* php fejlesztok, akik a szanalmas mail() implementaciojukkal php 3 ota szejjel spammeltetik a vilaghalot
* a program iroja, aki nem ellenorizte a bemeneti parametereket (es mondjuk limitalta volna a hosszat)

Szerintem itt a legjobban a PHP fejlesztok a hibasak. Mivel a mail() fuggveny igy lett meghivva:
mail("ideirj@szerver.hu", "Hibabjelentes", $message, "From \"$_POST[nick] ehhe@hu.hu\"")

En mint programozo joggal elvarhatnam, hogy barmi a bemenet (akar binaris fajl is) azt megkapjam egy-az-egyben levelben.

Szerintem meg kene jol buntetni (leultetni par evre) azt a PHP fejlesztot aki ilyen szanalmas mail() implementacioval spammelteti vegig a nagyvilagot.

Ez senkinek se tunik fel, hogy a vilaghalo spamforgalmanak jo resze (imho tobb mint a fele) a bugos fos php-n keresztul folyik?

Velemenyek?

Khiraly

A tapasztalatom az, hogy az országban jelenleg átkozottul fogalomzavar uralkodik a rendszergazda/informatikus szakmával kapcsolatban. Sok helyen ezt úgy értelmezik, hogy egy mindenes titkárnő, akivel elvégeztethetik a saját munkájukat. Íme, néhány megtörtént példa:

"Kérem, szerkesszen egy, a céget reklámozó rajzfilmet... Nem tud? Hogy-hogy nem ért hozzá? Hiszen számítógépen kell azt is..."

"Ne mondja már, hogy a sávszélesség megoszlik! A kisfiam egyik barátjának kisöccse olvasta egy prospektusban, hogy van sávszélességnövelő ..."
"Bocs, az nem potencianövelő akart lenni véletlenül? Esetleg a POTE-MIX????" (a lenyugvó napjak is van ereje)

"Könyvelés? Számítógépen? Csinálja meg a rendszergazda, kell hogy értsen hozzá..."

"AutoCAD-es szerszámtervezés? Az nem számítógéppel történik? Akkor a rendszergazda ért hozzá. Osszuk rá ezt a munkát..."

Aztán a rendszergazda visszakérdez:
"A forgalomirányítás is számítógépes úton történik. Most akkor menjek és álljak ki a kereszteződésbe, elhárítani a dugót? Vagy akkor már az atomerőműben is nyugodtan tologathatnám a fűtőrudakat, nem??? Vazeg, minek ez a k*rva sok gép, ha a M$ Messengeren kívül semmit nem tudtok használni? És egyáltalán mi a f@sznak vagytok ti?"

Sajnos nem az a baj, hogy miként lehet bárkit is megtanítani itthon a szoftveres munkákra, hanem az, hogy mindig és mindenhol megtalálják a kibúvót, hogy dolgozni kelljen.

Nem tudom, kinek mi a tapasztalata, de ha láttok a témában bármi fantáziát (esetleg leásni a probléma gyökeréig), akkor írjátok le.

Nézegettem az aktuális voip telefon kínálatot, és némiképp meglepve tapasztaltam, hogy a softphoneok nagyrésze semmilyen titkosítást sem támogat. Kivételt csak a Skype és a régi motoros Speakfreely képez.
A proxy alapú külső telefonokra irányuló hivásoknál ugyan nincs mit tenni, ha a szolgáltató nem támogat titkosítást, de egymás közötti hivásoknál csak a kliensen múlna.
Ennyire mellékes kérdés a voip hívások esetleges lehallgatása?

A microsoft saját csapdájába esett?

Informatikai álláskeresés Magyarországon

tegnap 9 óta nincs új hír

Érdekes, eltűntek a Linuxok a Mediamarktból

Szégyen...

Just for fun!

A pofátlanság csúcsa