Читаем Журнал "Компьютерра" №712 полностью

Появился отличный способ стать непрофессиональным космонавтом, не тратя астрономические суммы. И хотя официальная "корочка", по меркам большинства, все равно дороговата, прогресс налицо.

Ричард Гэрриот (Richard Garriott), чтобы купить место на российском "Союзе", заплатил 30 млн. долларов. Эта сумма в полтора раза больше той, которую выложил Денис Тито, ставший первым космическим туристом. В компании Space Adventures, однако, понимают, насколько дефицитны окажутся места на российских кораблях в связи со скорым завершением полетов шаттлов (в 2010 году). До того момента, когда на Россию лягут все заботы по доставке людей на МКС, в космос смогут отправиться лишь единицы из числа тех мультимиллионеров, которым по карману заплатить и 50 миллионов, если потребуется. Видимо, поэтому в Space Adventures решили оптимизировать свой бизнес.

Всего в 3 млн. долларов оценена надежда на то, что Ричард Гэрриот по тем или иным причинам не сможет в 2008 году отправиться на космическую станцию. Любой человек, выложивший такую сумму, станет дублером известного программиста, пройдет с ним бок о бок все тернии подготовок в Звездном городке и получит сертификат космонавта. Даже если в космос не отправится.

Сам Гэрриот только рад привлечь больше внимания к собственному полету, а Space Adventures, со своей стороны, на 10% сможет увеличить прибыль. В дальнейшем планируется продавать места дублеров на все коммерческие полеты к МКС. Отличной рекламой нового начинания оказался прошлогодний полет американки Аньюши Ансари. Напомним, что она была дублером японского бизнесмена, в последний момент отстраненного от полета по медицинским показаниям.

И все же новая услуга чем-то напоминает покупку диплома в переходе метро. Светлая мечта о полете в космос подменяется стремлением войти в список причастных к нему. А сколько, интересно, будет стоить со стороны посмотреть? АБ

Конференц-телевидение

В прежние времена образованный человек, наткнувшись на отчет о какой-нибудь интересной ярмарке или земском соборе, вздохнул бы: "Ну и пошто мне этот сказ о диве, яко узреть мне уже не дано?" Современный читатель, интересующийся клиентскими интернет-технологиями, был бы раздосадован не меньше, запоздало узнав о конференции ClientSide 2007, прошедшей в Москве сразу после пережитых страной дней народного единства. А послушать там было что. В частности, веб-программистам я бы посоветовал посетить семинар "Что такое XSS и как их искать", который провел ведущий разработчик почтовой системы "Рамблер" Алексей Капранов. Уязвимость эта описывалась в самых черных красках - к счастью, вместе с путями решения.

Аббревиатура XSS расшифровывается как Cross Site Scripting ("межсайтовый скриптинг"). Главная опасность - это отсутствие "подозрительных следов" в логах серверов. Такая атака становится возможной при взаимодействии двух синтаксисов, например PHP+HTML, PHP+SQL и т. п. Суть атаки - во внедрении вредоносного кода в любую динамически формируемую на сайте HTML-страницу. В отличие от атак на веб-серверы, XSS-атака направлена на клиента, используя при этом уязвимый сервер в качестве посредника. По словам Капранова, XSS-уязвимости можно разделить на активные, пассивные и полуактивные.

Активные - это когда вредоносный скрипт хранится на зараженном сервере и срабатывает в браузере жертвы при открытии какой-либо страницы сайта. Пассивные подразумевают, что скрипт не хранится на сервере; злоумышленник пересылает жертве ссылку на известный сайт, а внутри ссылки скрывается скрипт. Открыв такую ссылку, пользователь попадет куда ему обещали, однако в его браузере будет работать вредоносный скрипт (либо этот на первый взгляд приличный URL содержит в себе код с автоматической переадресацией на поддельный фишинговый сайт). Полуактивные XSS - это когда скрипт содержится на непосещаемой странице зараженного сервера и злоумышленникам приходится перенаправлять туда пользователей "вручную": с помощью спама и ссылок в форумах. Чаще всего эти виды атак используются для сбора cookies с конфиденциальной информацией пользователя, а также для фишинга. По данным докладчика, до трети сайтов в Рунете обладают уязвимостью к XSS-атакам, включая и весьма известные ресурсы.

Не менее интересной показалась лекция Андрея Золотова "Особенности проектирования интерфейсов для начинающих пользователей". Так случилось, что адвокаты, брокеры, кассиры и бухгалтеры вынуждены осваивать информационные системы в моменты редких перерывов в своей основной работе. И интерфейсы, рассчитанные на ИТ-профессионалов, им вовсе не кажутся понятными. Андрей поделился не только тем, как планировать структуру и вид сайтов "для ИТ-чайников", но и какие сопроводительные справочные материалы необходимо предоставлять таким пользователям. Вообще, разработке пользовательского интерфейса на конференции уделялось особое внимание.