webtech.lv

Kopš pašas pirmās Dtweet versijas ir pagājis jau vairāk kā gads. Tolaik tas tika veidots kā projekts, lai nodemonstrētu draugiem.lv api iespējas. Laiks gāja uz priekšu, bet dtweet mazliet bija aizķēries savā attīstības fāzē. Kādu laiku atpakaļ lietotāju ērtībām pievienoju iespēju autorizēties ar draugiem.lv pasi, lai nebūtu jācīnās ar parolēm, e-pastiem un visu pārējo. Taču dtweet lietošana joprojām bija salīdzinoši sarežģīta – draugiem.lv aplikāciju apstiprināšanas mehānisms vienkāršajam lietotājam ir salīdzinoši nesaprotams. Ik pa laikam ienāca arī jautājumi no lietotājiem par jaunām iespējām. Tā nu nolēmu, ka ir vairākas būtiskas lietas, kas ir jāsakārto un ķēros pie pārbūves darbiem. Un te nu tas ir – jaunais dtweet.lv ir uzbūvēts kā draugiem.lv integrētā aplikācija, kas nozīmē, ka vairs nevienā mirklī nav jācīnās ar aplikāciju apstiprināšanu – tikko tu ieej aplikācijā, tev ir jāatbild uz jautājumu par to, vai atļausi aplikācijai piekļūt saviem datiem un viss. Tālāk jau vairs tikai norādi savu Twitter vārdu, kura datus gribēsi publicēt draugiem.lv un viss.

Papildus ir ieviesta arī sinhronizācija otrā virzienā – publicējot ierakstus draugiem.lv pusē, tie tiks publicēti Twitter plūsmā. Tiem, kas aktīvi izmanto draugiem.lv runā un Twitter, šī varētu būt īpaši vērtīga iespēja. Jāpiezīmē, ka vienlaikus ir iespējams lietot abas sinhronizācijas un ieraksti publicējas tikai vienā virzienā. Tas nozīmē, ka ierakstot Twitter, sinhronizējot uz draugiem.lv ar otru sinhronizācijas virzienu ieraksts vairs atkārtoti netiks publicēts.

Vēl daži jaunumi:

• Vairs nav jānorāda Twitter lietotāja vārds un parole. Virzienā Twitter -> draugiem pietiek ar vienkāršu Twitter vārda ierakstīšanu, otrā virzienā darbojas oAuth autorizācija, kas arī neprasa lietotāja vārda un paroles atklāšanu.
• Tagad vienam draugiem.lv runā kontam var piesaistīt vairākus Twitter kontus un otrādi. Ieraksti publicēsies visos saistītajos profilos

Noslēgumā neliels grafiks par to, kā aug no twitter pārpublicēto ierakstu skaits:

Kad uznāks iedvesma, pielikšu arī sen prasīto iespēju sinhronizēt tikai tos ierakstus, kas satur noteiktu Twitter “hashtag”. Lai veicas lietojot!

Pavisam nesen Draugiem.lv palaida savu kārtējo jauno pakalpojumu – čivināšanas servisu “Runā“. Savā ziņā līdzīgs ārzemēs dikti populārajam Twitter, taču ar zināmām atšķirībām, niansēm un nākotnes plāniem. Viena no jaunajām iespējām dienas gaismu ieraudzīja pagājušās nedēļas beigās – iespēja ieteikt draugiem kādu konkrētu saturu. Šobrīd ir iespējams ieteikt praktiski jebkuru pašā draugiem.lv esošo saturu, kā arī diena.lv, miljons.com un citu mājas lapu saturu.
Lai pievienotu iespēju lietotājiem ieteikt savas lapas saturu atliek vien pievienot pavisam vienkāršu JavaScript funkciju savas lapas kodam un izsaukt to ar atbilstošiem parametriem:

function DraugiemSay( title, url, titlePrefix ){
 window.open(
  'http://www.draugiem.lv/say/ext/add.php?title=' + encodeURIComponent( title ) +
  '&link=' + encodeURIComponent( url ) +
  ( titlePrefix ? '&titlePrefix=' + encodeURIComponent( titlePrefix ) : '' ),
  '',
  'location=1,status=1,scrollbars=0,resizable=0,width=530,height=400'
 );
 return false;
}

un atbilstošais funkcijas izsaukuma kods:

DraugiemSay('Ieraksta virsraksts, zem kura slēpsies saite', 'http://links.uz.resursu.lv/ar/pilnu/celju/uz/failu.html', 'ManaLapa');

Kas rezultātā izskatīsies aptuveni šādi:

Izstrādātājiem ieteicams izmantot draugiem.lv piedāvāto ikonu: , kuru, protams, vajadzētu izvietot uz sava servera.

Ja nu gadījumā kādā no lapām, kurā ir interesants saturs nav saites “ieteikt draugiem”, tad pilnīgi mierīgi var izmantot šādu bookmarklet jeb javascript grāmatzīmi: Pateikt draugiem! (lai saglabātu pārlūkā vienkārši var ievilkt grāmatzīmju joslā).

Grāmatzīme darbojas pavisam vienkārši – ja lapā ir iezīmēts teksts, tad tas tiks izmantots kā ieraksta virsraksts (ja teksts nav iezīmēts, tad tiks izmantots lapas <title></title> birkās ierakstītais teksts, par saiti tiks paņemta pašlaik atvērtā lapa, bet lapas nosaukums saturēs lapas domēna vārdu bez “www.”.

Noslēgumā vēl pāris bildes, kā tas izskatās lietotājiem:

Ja tu raksti savu blogu, izmanto WordPress dzinēju un vēlies par katru jauno ierakstu savā blogā automātiski paziņot visiem saviem draugiem, tad DraugiemSay WordPress spraudnis ir domāts tieši tev. Iespēja izvēlēties standarta ievada tekstu, iespēja izvēlēties vai ierakstu publicēt draugiem “Runā” sadaļā, vai nē.

Projekta lapa: http://webtech.lv/projects/draugiemsay/

Dažas dienas atpakaļ rakstīju par to, ka piedalījos pirmajā velokrosā savā mūžā. Kā par brīnumu tā īsti pat neizjutu muskuļu sāpes pēc šī pasākuma. Labi, stāsts šoreiz ir par kādu interesantu projektu, kuru pamanīju sakarā ar šīm sacensībām. Baložu velokrosa mājas lapas diskusiju sadaļā kāds komentētājs bija ievietojis saiti uz lapu sportafoto.lv, kurā esot iespējams apskatīties šo sacensību bildes. Tā kā man pašam no sacensībām ir vien dažas draudzenes fotografētās bildes, tad ar interesi gribēju apskatīties arī sportafoto.lv esošās bildes. No sākuma mani nedaudz samulsināja fakts, ka visām bildēm ir uzliktas kārtīgas ūdenszīmes, taču tikai pēc tam es sapratu šīs lapas jēgu un ģenialitāti.

Kas tad sportafoto.lv ir tik īpašs? Viens vai vairāki fotogrāfi ir safotografējuši kaut kādas sacensības (cik skatījos lapā, tad bez riteņbraukšanas tiek fotografētas arī skriešanas, orientēšanās, slēpošanas un vieglatlētikas sacensības) un piedāvā tās iegādāties. Pie tam cena ir salīdzinoši ļoti draudzīga – Ls 1.02 par bildi. Šajā gadījumā mani interesēja Baložu velokrosa bildes. Turklāt komplektā ar izdrukātu bildi Uz e-pastu tiks nosūtīts arī bildes fails pilnā izšķirtspējā. Tas nozīmē, ka būtībā lapas fotogrāfi tev par simbolisku samaksu pārdod attēla negatīvus, kurus tu pēc tam vari pavairot brīvi izvēlētā skaitā, ievietot ģimenes fotoalbumā vai kā citādi. Šis projekts man likās interesants tieši tāpēc, ka arī es pats aizraujos ar fotografēšanu un piedaloties sacensībās mazliet nākas izvēlēties starp divām izklaidēm – vai nu fotografēt, vai piedalīties. Piedaloties, protams, gribas arī tikt pie kādas savas bildes. Un ja jau kāds no fotogrāfiem ir mani labi nobildējis, kāpēc lai es nesamaksātu simbolisku summu par savu bildi?

Nākamā nianse, kas mani patīkami pārsteidza bija fakts, ka visām bildēm ir pievienoti atbilstoši atslēgvārdi, tā, piemēram, manām velokrosa bildēm bija pievienots gan vārds un uzvārds, gan mans dalībnieka numurs. Tādējādi es varēju praktiski dažu sekunžu laikā atrast uzreiz VISAS bildes, kurās es esmu labi redzams. Nezinu, kāda ir saikne starp pasākuma organizatoriem un fotogrāfiem, taču fakts ir tāds, ka no sportafoto.lv lapas lietotāja viedokļa tas viss izskatās pēc vienkārši ģeniāla un ērta risinājuma.

Piereģistrējos lapā un mēģināšu intereses pēc pasūtīt kādu savu bildi. Redzēsim, vai pirmais iespaids saglabāsies arī turpmākajā servisa lietošanas laikā. Interesants ir arī fakts, ka šis serviss pēc visa spriežot nāk no Latvijas reģioniem – lapā “par mums” kā adrese ir norādīts Valmieras rajons, Brenguļu pagasts. Malači, tā tik turēt!

Papildināts: No rīta pasūtīju divas bildes, veicu apmaksu izmantojot internetbanku un tikko (nepilnas 5 stundas pēc pasūtījuma veikšanas) manā e-pasta kastītē iekrita abas pasūtītās pilna izmēra bildes:

Sveiki,
paldies par pasūtījumu! Pielikumā pievienotas pilna izmēra fotogrāfijas.
Ceram uz turpmāko sadarbību!
Jauku un sportisku dienu vēlot,
Santa Paegle

Nu ko, sākotnējās uz šo servisu liktās cerības ir pilnībā attaisnotas.

Kas ir Google Gadget?

Google Gadgets ir miniatūri rīki, kas piedāvā dinamisku saturu, kuru ir iespējams izvietot jebkurā mājas lapā. Šādi rīki var jūtami atvieglot darbu (darāmo darbu saraksti, valūtas pārveidotāji, kalendāri, kalkulatori) vai arī vienkārši ļauj sekot līdzi jaunumiem – ziņām, blogiem, u.c. Ja uz šiem rīkiem paskatās šauri tehniski, tad tās ir minimālas tīmekļa aplikācijas, kas darbojas uz tās izstrādātāja servera, bet citās mājas lapās tiek iekļautas ar iframe palīdzību. Tā kā aplikācija lapā tiek ievietota izmantojot iframe, tad tas uzreiz garantē, ka aplikācijas izstrādātājs nevarēs nekādi kaitēt lapai, kurā šis rīks ir izvietots. To, ka šādi rīki ir populāri var secināt kaut vai apskatoties Google Gadgets lapu, kurā angļu valodā ir pievienotas gandrīz 40 000 šādas miniatūras aplikācijas.

Triviāla Gadget izveide

No kā tad īsti sastāv šāds rīks? Patiesībā viss, kas ir vajadzīgs ir viens XML fails, kurā ir nodefinēts saturs, kas ir jāparāda. Ja ar tīru HTML/CSS/JavaScript saturu kādam ir par maz, tad tā vietā, lai šajā XML failā norādītu parādāmo saturu, ir iespējams arī norādīt izpildāmo tīmekļa aplikācijas adresi. Tā, piemēram, triviālais “Hello world!” piemērs:

<?xml version="1.0" encoding="UTF-8" ?> 
<Module>
  <ModulePrefs title="hello world example" /> 
  <Content type="html">
     <![CDATA[ 
       Hello, world!
     ]]>

  </Content> 
</Module>

Lai būtu nedaudz interesantāk, es izdomāju, ka varētu uztaisīt rīku, kas parādītu nekur.lv jaunākos pievienotos ierakstus. Te nu ar pliku HTML/CSS/JavaScript varētu būt par maz, tāpēc rīka XML failu pārveidoju par šādu:

<?xml version="1.0" encoding="UTF-8"?>
<Module>
<ModulePrefs title="Nekur.lv news feed" scrolling="true" author_email="hi5@webtech.lv" />
<Content type="url" href="http://www.webtech.lv/projects/gadgets/nekur.lv"></Content>
</Module>

Būtībā ar to arī beidzās specifiskās lietas, kas saistītas ar mana rīka izstrādi – tālāk jau vairs atlika tikai uzrakstīt attiecīgo tīmekļa aplikāciju, kas slēpjas adresē http://www.webtech.lv/projects/gadgets/nekur.lv.

Kur likt gatavo Gadget?

Patiesībā iespējas izvietot savus garadarbus ir pietiekami plašas. Līdz ar Google Gadget API iekļaušanu lielākajos sociālajos tīklos, var droši teikt, ka ir vērts piedomāt par šādu sīku rīku izstrādi. Tā, piemēram, viens no standarta veidiem, kā izmantot izveidoto rīku ir to pievienot savai iGoogle lapai.

Nākamais solis ir skatīties sociālo tīklu virzienā. Tā, piemēram, manis izveidotais rīks izskatās vienā no pasaules lielajiem sociālajiem tīkliem hi5.com:

Metam pie malas sociālos tīklus, ir kas vēl interesantāks. Patiesībā ar Amnesty™ Generator palīdzību visus šos Google Gadget rīkus var darbināt arī Windows Vista sāna rīku joslā (sidebar). Iespaidīgi, vai ne? Visbeidzot katrs pats var šādus rīkus izvietot arī savās mājas lapās izmantojot Google piedāvāto gmodules.com servisu. Tā, piemēram, lai ievietotu manis izveidoto rīku savā lapā, ejam uz gmodules.com lapu un izvēlamies, kā izskatīsies pats rīks. Pēc tam jau saņemam HTML kodu, kuru vienkārši jāievieto savā mājas lapā. Pēc ievietošanas mājas lapā tas izskatīsies šādi:

Kas tālāk?

Tālāk mēs varam atkal atgriezties pie sociālajiem tīkliem un paskatīties Google OpenSocial virzienā, izstrādāt savus rīkus uzreiz vairākiem sociālajiem tīkliem, kuri jau izmantotu ne tikai mūsu servera resursus, bet arī konkrētā sociālā tīkla draugu tīkla un citu specifikācijā definēto funkcionalitāti. Tāpat tālāk var skatīties arī uz iespējām pašiem savā sistēmā ieviest atbalstu šādu rīku izmantošanai (skatamies un sekojam līdzi Apache Shindig projekta attīstībai). Katrā ziņā tiem, kas nodarbojas ar programmēšanu un interesējas par sociālajiem tīkliem, ir vērts ar vienu acs kaktiņu pieskatīt lietas, kas pavirzās uz priekšu šajā jomā.

Nobeigumā vēl interesenti var paspēlēties ar manu sarakstīto izejas tekstu: nekurlv-gadget.zip

Nevienam laikam nav noslēpums, ka nu jau pēdējos pāris gadus liela uzmanība interneta projektu izstrādē ir jāpievērš tieši dažāda veida drošības pasākumiem, īpaši jau dažādu XSS uzbrukumu formā. Līdz ar dažādu satura sidikācijas servisu uzplaukumiem tagad paveras pavisam jaunas iespējas darboties arī cilvēkiem ar noslieci uz XSS izvritībām. Tad nu es te tagad tā padomāju – pavisam nesen pie mums Latvijas internetā ir uzradušies divi jauni satura sindikācijas servisi (nekur.lv un svaigs.lv), kas apkopo jaunāko Latvijas blogos. Arī mana bloga ieraksti tur parādās.

Lai gan neesmu pamēģinājis šādas mahinācijas veikt, tomēr man ir diezgan lielas aizdomas, ka šie projekti varētu būt salīdzinoši ļoti viegli ievainojami. Viss, kas mums ir jāizdara, ir jāpanāk, ka mūsu bloga ieraksti parādās attiecīgajos servisos. Lai arī šis process nav automātisks, tomēr abi servisi ir ieinteresēti lielākā satura plūsmā, tāpēc pēc vairāku sakarīgu rakstu uzrakstīšanas varētu būt salīdzinoši vienkārši tikt viņos iekšā. Ko darīt tālāk? Vienkārši – rakstam kaut kādu sliktu JavaScript kodu sava bloga ierakstā, vai arī nomainām RSS barotni pret kādu sliktu saturu. Ko mēs varētu izmēģināt? Mēs varētu vienkārši iekļaut kaut kādu nekaitīgu javascript koda fragmentu šajā ierakstā un paskatīties, kas notiks, kad šis ieraksts parādīsies katrā no servisiem.

Tad nu mazliet padomāju un lai mahinācijas neviens īsti nemanītu, ievietoju šādu vienkāršu javascript kodu:

<script>
try{
console.info(document.domain);
}catch(e){}
</script>

Kods ir pilnīgi nekaitīgs, FireBug konsolē (ja tā ir pieejama) izdrukājot vien pavisam vienkāršu testa tekstu – attiecīgās lapas domēnu. Ja nu ir dikti liela vēlme taisīt ziepes, tad te varētu sarakstīt arī stipri kaitīgāku kodu.

Tad nu tagad pagaidīšu, kad abos servisos šis ieraksts parādīsies un tad izdarīsim secinājumus.

Papildināts: nekur.lv veiksmīgi izgāja šo triviālo testu, <script></script> birkas vienkārši tika izgrieztas. Tas gan neizslēdz iespējas, ka nav citu veidu, kā tur iemānīt dažādus XSS skriptus vai izmantot dažādas CSRF mahinācijas.

Papildināts #2: svaigs.lv izrādījās ievainojams. Patiesībā tests bija ārkārtīgi vienkāršs, netika pielietota neviena no neskaitāmām XSS iebarošanas viltībām, tik vien kā tīrs JavaScript kods atklāti ierkastīts <script> birkās. Cerams, ka kļūdas pavisam drīz tiks novērstas, citādi te ļaundariem paveras ļoti plašas iespējas manipulācijām, gan vienkārši veicot kaut kādas lietotāju pārsūtīšanas (redirect) darbības, lai zagtu trafiku, gan arī visādas citas manipulācijas.

Patiesībā, gaidot rezultātus jau domāju, ko rakstīšu pie secinājumiem, ja abas lapas izies šo testu un nevarēju izdomāt. Tā nu veiksmīgi tiku cauri no neliela aplauziena, jo aizdomas izrādījās patiesas. Tad nu varu vien novēlēt labu veiksmi esošajiem un topošajiem projektu autoriem cīņā ar XSS un mācīties no šīs vienkāršās norādes uz potenciālajām problēmām. Un jā, cerams, ka mani par šādu joku no šiem servisiem tagad neizmetīs :).

Papildināts #3: Izrādās, ka pavisam nesen arī citi ir veikuši mahinācijas svaigs.lv, tiesa tikai ar CSS līdzekļiem un pēc visa spriežot tīri nejaušības pēc.

Pēdējā laikā esmu kļuvis apzinīgāks un sācis vairāk domāt par to, ka jālieto legāla programmatūra. Tā jau kādus pāris gadus man nav nelegāla Tildes Biroja, pat bakalaura darbu rakstīju OpenOffice bez gramatikas pārbaudes. Līdz ar Tildes biroja iztrūkumu, iztrūkst arī datorvārdnīca, parasti lietoju letonika.lv piedāvājumu vai dictionary.site.lv.

Tā nu sagadījās, ka nācās uzrakstīt pāris vēstules vāciski, taču tā kā mans vācu valodas krājums ir maigi izsakoties stipri nabadzīgs, tad nu ķēros pie vārdnīcu meklējumiem. dictionary.site.lv vācu valodu neatradu, toties atradu to letonika.lv. Pāris dienas iepriekš biju lasījis par letonika.lv uzlabojumiem kādā no vietējiem blogiem. Viss, kas vai nu pašā ierakstā vai komentārā bija pieminēts, bija fakts, ka nomainījies izskats un pati vārdnīca kļuvusi stipri lēnāka.

Manuprāt ir vairākas citas būtiskas izmaiņas:

• Vārdnīcu vairs nevar īsti darbināt bezmaksas režīmā – meklējot vārdus, visu laiku tiek teikts, ka nekas netiek atrasts, bet kad klikšķina uz konkrētiem vārdiem sānā, tad tiek prasīts iegādāties abonementu.
• Beidzot ir iespējams arī pašu vārdnīcu normāli abonēt tiešsaistē. Pirms tam skatījos un vienīgais veids, kā tikt pie abonementa bija ņemties ar bankas pārskaitījumiem un bija jāgaida kaut kādas pāris dienas apstiprināšanai. Šobrīd ir izstrādāta abonementu iegāde ar SMS palīdzību, kas darbojas reālā laikā. Tad nu šodien pie reizes arī izmantoju lielisko iespēju iegādāties vienas dienas abonementu par Ls 0.35. Nosūtu SMS, saņemu kodu, ievadu kodu un lietoju vārdnīcu – viss mazāk kā minūtes laikā.

Secinājums – beidzot Tilde ir atradusi veidu, kā noorganizēt nesāpīgu maksas vārdnīcas lietošanu.

Ja vēl atceramies pavasara sertificēšanās bumu, tad tagad ir visas iespējas toreiz nenokārtotos sertifikātus tomēr nokārtot – Brainbench atkal ir noņēmis maksu visiem testiem līdz pat 15. novembrim. Šoreiz gan nav nekādu sacensību, tik vien kā iespēja uzlabot savu CV.

11/1/05 – FREE TEST EVENT – DON’T MISS IT! – From 11/1/2005 until the 15th, Brainbench is opening up its library of 500+ certifications, as a primer for April’s 2006 Bench Games. A $49.95 value PER TEST, you can take any of our tests free – beef up your resume – impress your boss – see where you stand! Printed certificates not included. Check back on Tuesday 11/1, to begin taking advantage of this great offer!

Brainbench.com

Praktiski visās vietās, kur vien apgrozās atvērtā koda atbalstītāji, kādu laiciņu atpakaļ tika dotas saites uz Google Summer Of Code lapu, kurā Google piedāvāja studentiem vasaras laikā izstrādāt kādu atvērtā koda projektu vai tā daļu un par to nopelnīt salīdzinoši labu naudu.

Šodien nejauši patrāpījos MozillaZine.org lapā, kurā pamanīju, ka Mozilla Foundation ir izvēlējusies projektus, kas atbilst Summer Of Code nosacījumiem.

Interesantākais fakts ir tas, ka viens no šiem projektiem ir mozlv, jeb projekts, kas nodarbosies ar Mozilla Firefox, Mozilla Thunderbird un Mozilla Sunbird tulkošanu latviešu valodā.

Tā nu mums ir cerības, ka jau salīdzinoši tuvā nākotnē varētu sagaidīt gan attiecīgo projektu lokalizētas versijas, gan arī palielīties ar sava tautieša panākumiem.

P.S. Varbūt ir vērts piepalīdzēt? :)

Beidzot ir pienācis laiks atjaunināt savu WordPress versiju. Iemesls pavisam vienkāršs – diezgan nopietna kļūda XML-RPC kodā. Ja līdz šim dzīvojos uz WordPress 1.5 kaut kādas senas alpha versijas ar dažiem saviem kļūdu labojumiem, tad tagad esmu pārvācies uz WordPress 1.5.1.3.

Many popular PHP-based blogging, wiki and content management programs can be exploited through a security hole in the way PHP programs handle XML commands. The flaw allows an attacker to compromise a web server, and is found in programs including PostNuke, WordPress, Drupal, Serendipity, phpAdsNew, phpWiki and phpMyFAQ, among others.

Vairāk informācijas par kļūdu un iespējamām sekām.

Ja vēl atceraties nesenos notikumus ar phpBB forumu masveida nonešanu, tad laikam šoreiz ir vērts ņemt vērā citu (un varbūt arī savu) neveiksmīgo pieredzi un laikus atjaunināt programmatūru.