ZeroNet Blogs

Static ZeroNet blogs mirror

Сохранённое в облаке

Интересные или полезные материалы из clearnet'а для архива

By David Berlind

October 16, 2001

From time to time, I'll perform a transaction or some other process at a Web site when whatever I'm doing suddenly comes to a screaming halt -- just crashes, with a message in my browser telling me what line of code bombed and maybe even displaying the errant source code. Once, this happened just after I supplied my credit card information. I quickly shut down the process and called the merchant. But I was never 100% confident that a screw up didn't really happen, and checked my credit card statements for several months before I was reasonably certain that the charge wouldn't appear.

The problems I've had were a little scary and a lot annoying, but mostly I viewed them as signs of the immaturity in the programming code of many sites. But there was a common theme to each of my episodes. The programming language was always VBScript, the language used to code Active Server Pages on Microsoft's Internet Information Server. When I had the time, I'd take a screen shot and send it to the operators of the problematic site.

Until a few days ago, I didn't give it much thought. But then a Tech Update reader, who shall remain anonymous, showed me the "error message" that he was issued after attempting to sign on to the Certified Partners area of For resellers of Microsoft products, the Certified Partners area is one of those Web sites that Microsoft has "gated" with Passport. By requiring a Passport before resellers can enter, Microsoft turned all of its resellers into Passport holders. Conspiracy theorists will argue that this is yet another play that Microsoft has used to inflate the number of Passport holders (the current claim is 165 million and rising).

The error message received by the reader (shown here is reminiscent of the VBScript dumps I used to see on those malfunctioning Web sites. At first, the error message seemed harmless enough. It indicates that there was a compilation error because of an undeclared variable and shows the offending line of code plus the two lines before and after. But there's also a link labeled "Show Complete Compilation Source." Being naturally curious, I clicked the link -- and the details of the error message were far more revealing. As you can see from the source code that was revealed, the VBScript provides detailed information about the names and addresses of Microsoft's Web and database servers, as well as complete user id and password information; all of it in clear text; in particular, see lines 444, 454, 464, 474, 483, 492, 502, 512, 521, and 574.

Now, I don't consider myself a VBScript programmer. But I do know enough to know that any time a Web site spits out a bunch of resource names, user ids, and passwords at the user, that it's a bad thing.

To confirm, I contacted a friend who dreams in VBScript to get his opinion of the code. My expert friend said, "The site that generated the error is being built using the beta version of Visual Studio 7.0. The programmers have also enabled detailed error dumps. The only code that I see that relates to Passport is for the purpose of checking whether the user currently has a valid session. The database information is for the local site's databases. The information includes the database server name, database names, username, and password for accessing the data."

My friend went on to say, "Although I wouldn't want somebody outside my organization to have this information, chances are that the database server is on a private network or behind a firewall so an outside user could not even have the chance to log on. However if someone were to use a Trojan horse program they could then place an ASPX page [on that server] to access the protected data since the Web server already has access to the database server. Again, I would hope that all the security patches would be up to date on any server that faces the outside world."

My immediate reaction to that is to ask: Sort of like the way that Microsoft patched it's Hotmail servers? As we all know by now, Microsoft failed to patch some of its Hotmail servers and the Code Red worm forced Microsoft to take them offline. And the second question that popped into my mind was, Is Microsoft really building production Web sites with beta versions of its development tools? I understand the need to stress test its own products, but building production systems with beta tools isn't exactly the sort of practice that breeds confidence. (Although some Microsoft detractors would argue that all Microsoft software, shipping or not, is beta.)

Saying "If I can load hostile code onto a system, then I own that system," Microsoft security spokesperson Christopher Budd doesn't dispute that damage than can be done once hostile code (ASPX-based or otherwise) is loaded onto a server. That much, I'll give him. If hostile code successfully penetrates any software or operating system (Windows, Linux, Unix, or otherwise), that code owns the system. The problem is not unique to Microsoft, although it's worth noting that its products are more frequently targeted than others. But what about when user ids and passwords are revealed in the same way they were revealed here? Doesn't that make the bad guy's job easier? Budd says no, claiming that when hostile code is loaded on the system, it's no easier to target a particular server or database when this information is revealed, than when it's not. I'm not convinced. Perhaps it's only a matter of time before someone who controls hostile code can find the same information that was revealed by this error message. But, as far as I'm concerned the less the bad guy knows, the better.

Fortunately, the Passport databases were not compromised. In terms of this incident, Budd emphasized that "This was not a Passport-related issue. What was exposed was ASP Plus code for a specific application and no database content or user profile information was exposed." While the databases in question may be protected by firewalls and may not contain any sensitive information, the issue of Microsoft eating its own dog food, and doing so with beta product still remains. According to Budd, the beta version of Visual Studio was indeed used. "But," says Budd, "[the usage of beta development tools for production systems] really depends on system being developed. Microsoft has been very forthcoming about using its own stuff, including beta product for production systems but not all systems. Only where it makes sense."

According to my friendly VBScript guru, "Basically, this is a major goof up on the programmers' part. I know Microsoft encourages the individual groups to work with beta products but a programmer shouldn't enable programming debug information to show up on a production site." Responding to questions regarding Microsoft's best practices, Microsoft spokesperson Jim Desler said "We're still investigating the incident, but the early indication is that someone left the page in a debugging mode. This is counter to the processes and procedures that Microsoft has in place. It was an operational error. Obviously we will review how this happened, why this happened, and based on what we learn, we will develop procedures from preventing this from happening again."

Desler and Budd realize that Microsoft is the poster child for its own technologies and that incidents such as these can undermine confidence in the company and its products. According to Desler, "We can't just be as good as others. The standard is higher for us. We have to be better than others." To that extent, Budd identified many of the broader initiatives that Microsoft is taking to buttress its products and customer installations that depend on them. Budd cites Microsoft's Secure Windows Initiative, announced in April at one of RSA's conferences, and more recently the announcement of a toolset to help server administrators be more proactive about the security of their servers.

The security issue appears to be a top priority for Microsoft. But, now the company is battling against the clock. Microsoft is staking a large part of its future on .NET, and in particular, the authentication aspect of it that is based on its own Passport technology. Meanwhile, Sun is pushing a competing authentication solution that will be delivered by the Liberty Alliance.

As I point out in another column, if an authentication standard doesn't emerge, the battle between Microsoft and the Liberty Alliance to be the premier provider of authentication services will be won on trust. If Microsoft continues to call its best practices into question with one goof after another (unpatched servers, using beta product to develop production servers, spitting out error messages with user ids and passwords), it will need to do some Herculean fence mending before it should earn your or your customers' trust.

What do you think? Share your thoughts with your fellow readers at ZDNet TechUpdate's Talkback, or write directly to

Got a great tip? An industry rumor? Or do you want to submit your own column to ZDNet TechUpdate? Send David your submission, and if we use it, you'll be compensated with some of the cool vendor schwag that arrives in our mailboxes on a daily basis.

David Berlind is Editorial Director of ZDNet's Tech Update.

Хочу рассказать про мужика-медоеда. Этот отморозок вызывает во мне искреннее восхищение.

Жил-был Адриан Картон ди Виарт. Родился он в 1880 году в Бельгии, в аристократической семье. Чуть ли не с самого рождения он проявил хуевый характер: был вспыльчивым до бешенства, несдержанным, и все споры предпочитал разрешать, уебав противника без предупреждения.

Когда Адриану исполнилось 17 лет, аристократический папа спихнул его в Оксфорд, и вздохнул с облегчением. Но в университете блистательный отпрыск не успевал по всем предметам. Кроме спорта. Там он был первым. Ну и еще бухать умел.

--- Хуйня какая-то эти ваши науки, --- решил Адриан. --- Вам не сделать из меня офисного хомячка.

Когда ему стукнуло 19, на его радость началась англо-бурская война. Ди Виарт понятия не имел, кто с кем воюет, и ему было похуй. Он нашел ближайший рекрутерский пункт --- это оказался пункт британской армии. Отправился туда, прибавил себе 6 лет, назвался другим именем, и умотал в Африку.

--- Ишь ты, как заебись! --- обрадовался он, оказавшись впервые в настоящем бою. --- Пули свищут, народ мрет --- красота ж!

Но тут Адриан был ранен в пах и живот, и его отправили на лечение в Англию. Аристократический папа, счастливый, что сынок наконец нашелся, заявил:

--- Ну все, повыёбывался, и хватит. Возвращайся в Оксфорд.

--- Да хуй-то там! --- захохотал ди Виарт. --- Я ж только начал развлекаться!

Папа убедить его не смог, и похлопотал, чтобы отморозка взяли хотя бы в офицерский корпус. Чтоб фамилию не позорил. Адриан в составе корпуса отправился в Индию, где радостно охотился на кабанов. А в 1904 году снова попал на Бурскую войну, адъютантом командующего.

Тут уж он развернулся с неебической силой. Рвался во всякий бой, хуячил противника так, что аж свои боялись, и говорили:

--- Держитесь подальше от этого распиздяя, он когда в азарте, кого угодно уебет, и не вспомнит.

Хотели ему вручить медаль, но тут выяснилось, что он 7 лет уж воюет за Англию, а сам гражданин Бельгии.

--- Как же так получилось? --- спросили Адриана.

--- Да не похуй ли, за кого воевать? --- рассудительно ответил тот.

Но все же ему дали британское подданство и звание капитана.

В 1908 году ди Виарт вдруг лихо выебнулся, женившись на аристократке, у которой родословная была круче, чем у любого породистого спаниеля. Звали ее Фредерика Мария Каролина Генриетта Роза Сабина Франциска Фуггер фон Бабенхаузен.

--- Ну, теперь-то уж он остепенится, --- радовался аристократический папа.

У пары родились две дочери, но Адриан заскучал, и собрался на войну.

--- Куда ты, Андрюша? --- плакала жена, утирая слезы родословной.

--- Я старый, блядь, солдат, и не знаю слов любви, --- сурово отвечал ди Виарт. --- Быть женатым мне не понравилось. Все твои имена пока в койке выговоришь, хуй падает. А на самом деле ты какой-то просто Бабенхаузен. Я разочарован. Ухожу.

И отвалил на Первую Мировую. Начал он в Сомали, помощником командующего Верблюжьим Корпусом. Во время осады крепости дервишей, ему пулей выбило глаз и оторвало часть уха.

--- Врете, суки, не убьете, --- орал ди Виарт, и продолжал штурмовать укрепления, хуяча на верблюде. Под его командованием вражеская крепость была взята. Только тогда ди Виарт соизволил обратиться в госпиталь.

Его наградили орденом, и вернули в Британию. Подлечившись, ди Виарт попросился на западный фронт.

--- Вы ж калека, у вас глаза нет, --- сказали в комиссии.

--- Все остальное, блядь, есть, --- оскалился Адриан. --- Отправляйте.

Он для красоты вставил себе стеклянный глаз. И его отправили. Сразу после комиссии ди Виарт выкинул глаз, натянул черную повязку, и сказал:

--- Буду как Нельсон. Ну или как Кутузов. Похуй, пляшем.

--- Ну все, пиздец, --- сказали немцы, узнав об этом. --- Можно сразу сдаваться.

И были правы. Ди Виарт херачил их только так. Командовал он пехотной бригадой. Когда убивали командиров других подразделений, принимал командование на себя. И никогда не отступал. Под Соммой его ранили в голову и в плечо, под Пашендалем в бедро. Подлечившись, он отправлялся снова воевать. В бою на Ипре ему размололо левую руку в мясо.

--- Давай, отрезай ее к ёбаной матери, --- сказал Адриан полевому хирургу. --- И я пошел, там еще врагов хуева туча недобитых.

--- Но я не справлюсь, --- блеял хирург. --- Чтобы сохранить руку, вам надо ехать в Лондон.

--- Лондон-хуёндон, --- разозлился ди Виарт. --- Смотри, как надо!

И оторвал себе два пальца, которые висели на коже.

--- Давай дальше режь, и я пошел!

Но вернуться в Англию пришлось, потому что у него началась гангрена, и руку ампутировали.

--- Рука --- не голова, --- сказал ди Виарт, и научился завязывать шнурки зубами.

Потом явился к командованию, и потребовал отправить его на фронт.

--- К сожалению, война уже закончилась, --- сообщили в командовании.

Наградили кучей орденов, дали генеральский чин и отправили в Польшу, членом Британской военной миссии. Чтоб не отсвечивал в Англии, потому что всех заебал требованиями войны.

Вскоре миссию эту он возглавил. В 1919 году он летел на самолете на переговоры. Самолет наебнулся, все погибли, генерал выбрался из-под обломков, и его взяли в плен литовцы.

Но вскоре его вернули англичанам с извинениями, говоря:

--- Заберите, ради бога, мы его темперамента не выдерживаем. Заебал он всех уже.

Англичане понимающе усмехнулись, и снова отправили ди Виарта в Польшу.

А в 1920 году началась Советско-польская война, и Варшавская битва. Все послы и члены миссий старались вернуться домой.

--- Да щас, блядь, никуда я не поеду, --- заржал ди Виарт. --- Тут только веселуха начинается.

И отправился на фронт. Но на поезд напали красные.

--- Это кто вообще? --- уточнил генерал, который в политике не разбирался.

--- Это красные, --- пояснили ему.

--- Красные, черные, какая хуй разница, --- махнул единственной рукой ди Виарт. --- Стреляйте!

Организовал оборону поезда, сам отстреливался, наебнулся из вагона, залез обратно, как ни в чем не бывало. В итоге красные отступили.

После окончания войны ди Виарт вообще стал польским национальным героем, его страшно полюбили, и подарили поместье в Западной Беларуси. Там был остров, замок, охуенные гектары какие-то. Генерал там и остался, и все думали, что он ушел на покой.

Но началась Вторая Мировая. Де Виарт снова возглавил Британскую военную миссию в Польше.

--- Отведите войска дальше от границы и организуйте оборону на Висле, --- говорил генерал польским военным.

Но те только гонорово надувались, и говорили:

--- Вы кто такой вообще? У вас вон ни руки, ни уха, ни глаза, блядь.

--- А у вас, мудаки, мозга нет, --- плюнул ди Виарт.

И стал эвакуировать британцев из миссии. Попал под атаку Люфтваффе, но умудрился сам выжить, и вывести колонну, переведя через румынскую границу. Потом выяснилось, что он был прав. Но тут уж ничего не попишешь.

Добравшись до Англии, ди Виарт потребовал, чтоб его отправили на фронт.

--- Вам 60 лет, и половины частей тела нету, --- сказали ему. --- Уймитесь уже.

--- Отправляйте, суки, иначе тут воевать начну!

В командовании задумались: куда бы запихнуть бравого ветерана. И отправили на оборону Тронхейма, в Норвегии. Там союзников немцы разбили, потому что союзники забыли лыжи.

--- Пиздец какой-то, --- огорчился ди Виарт, --- Никогда не видел такой тупой, ебанутой военной компании.

В Лондоне слегка охуели, что он уцелел, и отправили на военные переговоры в Югославию. По дороге самолет опять пизданулся, де Виарт опять выжил. Но попал на итальянскую территорию.

--- Бля, чот ничего нового, --- вздохнул он, и его взяли в плен итальянцы.

Генерала поместили в оборудованный под тюрьму замок, как высокопоставленного пленного.

--- Думаете, я буду тут сидеть и пиццу жрать, когда все воюют? --- возмутился ди Виарт. --- Хуй вы угадали, макаронники.

Голыми руками устроил подкоп, рыл 7 месяцев. А вернее, одной голой рукой. Одной, блядь! Чувствуете медоеда? В итоге свалил, пробыл на свободе 8 дней, но его снова поймали.

В 1943 году итальянцы говорят ему:

--- Мы воевать заебались, жопой чуем, не победим.

И отправили на переговоры о капитуляции, в Лиссабон.

Потом ди Виарт вернулся в Англию, командование поняло, что от него не отъебаться, и он будет служить еще лет сто или двести. Его произвели в генерал-лейтенанты, и отправили в Китай, личным представителем Черчилля.

В Китае случилась гражданская война, и ди Виарт очень хотел в ней поучаствовать, чтоб кого-нибудь замочить. Но Англия ему запретила. Тогда ди Виарт познакомился с Мао Дзе Дуном, и говорит:

--- А давайте Японию отпиздим? Чо они такие суки?

--- Нет, лучше давайте вступайте в Китайскую армию, такие люди нам нужны.

--- Ну на хуй, у вас тут скучно, --- заявил ди Виарт. --- Вы какие-то слишком мирные.

И в 1947 году наконец вышел в отставку. Супруга с труднопроизносимым именем померла. А в 1951 году ди Виарт женился на бабе, которая была на 23 года младше.

--- Вы ж старик уже, да еще и отполовиненный, как же вы с молодой женой справитесь? --- охуевали знакомые.

--- А чего с ней справляться? --- браво отвечал ди Виарт. --- Хуй мне не оторвало.

«Честно говоря, я наслаждался войной, --- писал он в своих мемуарах. --- Конечно, были плохие моменты, но хороших куда больше, не говоря уже о приятном волнении».

Умер он в 1966 году, в возрасте 86 лет. Человек-медоед, не иначе.

© Диана Удовиченко Источник:


1210_1_.jpg (1210x600)

Ударения --- наше всё. Можно делать вид, что вы грамотный и начитанный в переписках. Но в устном разговоре открывается правда. И приходится тут же себя поправлять и даже неловко спрашивать у собеседника, как правильно. ЗвОнить совсем непростительно. И, надеемся, вы оставили эту дурную привычку в прошлом. А остальное --- реально запомнить.

Правильно: сосед сверлИт стены по субботам

Таким соседям нет прощения. Особенно если он задумал повесить картину ранним субботним утром. Глагол «сверлить» очень похож на другой вредный глагол «звонить». Да-да, тот самый. В настоящем времени ударение в глаголах, похожих на «звонить» (наш случай), падает всегда на последний слог: сверлЮ, сверлИшь, сверлИт, сверлИм, сверлИте, сверлЯт. А в прошедшем на последнюю гласную основы: сверлИл, сверлИла, сверлИли и так далее. Сверлите, в общем, грамотно. И не в выходные. И не утром.

Правильно: у тебя скоро сыр заплЕсневеет

Неприятный глагол во всех отношениях. Хотя некоторые даже такой сыр едят! И специально выращивают плесень на уроках биологии, чтобы потом в микроскоп посмотреть. В общем, ближе к делу. В глаголе «заплесневеть» ударение падает на второй слог: плЕсень --- заплЕсневеть. И не важно, меняется ли форма глагола или нет.

Правильно: мне пломбировАли зуб

Пломбировать тоже очень серьёзный глагол. Например, с его помощью что-то запечатывают или вставляют пломбу в зуб. Жаль, что даже стоматологи неправильно произносят это слово. Так что знайте: зуб (и не только зуб) пломбирУют.

Правильно: пятиклассник принялсЯ за домашнюю работу

С окончаниями в прошедшем времени особенно сложно. Кажется, что оно стоит неправильно. Или просто вокруг часто говорят неправильно, вот и кажется. Ударение в глаголе «принЯться» в прошедшем времени падает на последний слог: принялсЯ, принялАсь, принялИсь и так далее. Словари допускают вариант «принЯлся» (и никак не «прИнялся», но большинство называют литературным именно «принялсЯ». Придётся запомнить.

Правильно: урок географии началсЯ

Если вдруг ваш учитель торжественно объявляет «урок начАлся», рекомендуем в следующий раз подарить ему орфоэпический словарь. В слове «началсЯ» ударение падает на последний слог, хотя в неопределенной форме глагола ударение стоит в другом месте --- «начАться». Лингвисты приводят такую закономерность: достаточно часто в возвратных глаголах ударение в прошедшем времени переходит на окончание. Например: начАться --- началОсь. Как и в предыдущем примере с «приняться». И даже если в орфоэпическом словаре рядом с вариантом «начАлся» будет стоять пометка «допустимо» --- не ведитесь на уговоры.

Правильно: Коля опять тупИт на математике

На математике затупить, то есть тормозить или долго соображать, легко. Если ты рождён писать эссе и сочинять стихи. А не формулы тут выводить или решать логарифмические уравнения. Но опять одни тУпят, а другие тупЯт. Ударение в глаголе падает на последний слог «тупИть». И в значении, когда хотим сделать что-то менее острым (затупить нож, например), и в значении, когда плохо думаем и ошибаемся. Но если мы говорим «потупить взгляд» --- то тут ударение меняется и падает на «У». Не перепутайте.

Правильно: родители избаловАли детей

Дети сами балуются. Да и родители балуют детей, даже если клятвенно обещают быть строгими ребятами. Вопрос в другом: как произносить --- избаловАть или избАловать? Если вдруг вы вспомнили коронное «А мы тут плюшками бАлуемся» от Карлсона --- срочно забудьте. К сожалению, Карлсон ошибся. Ударение в этом глаголе нужно ставить на третий или второй слог --- баловАть, балУю, баловАл --- независимо от значения слова: шалить или изнеживать. Это литературный вариант произношения, зафиксированный орфоэпическими словарями. Распространённый вариант с ударением на «а» тоже встречается в словарях, но с пометкой «не рекомендуется». Ещё раз: «Детей не стоит баловАть» и «Ты сильно его балУешь». А вот о человеке правильно говорить «балОванный» или «избалОванный».

Правильно: он принУдил родителей делать за него домашку

Принуждать --- плохо. Но мы и сами иногда пытаемся принудить себя к чтению или вовремя ложиться спать. Правда, некоторые принУдили, а другие --- принудИли. Большинство словарей утверждают, что единственный литературный вариант употребления этого слова --- «принУдить». Вот только в разговорной речи, даже по телевизору и по радио, всё чаще слышишь «принудИть». Сложно сказать, откуда у этой ошибки растут ноги. Вероятно, от привычки ставить ударение на последний гласный основы, особенно в глаголах на --ить (углубИть, включИть, кровоточИть). Но в нашем варианте так произносить неграмотно.

Правильно: на ЕГЭ по истории упростЯт задания

В русском языке много глаголов с «плавающим» ударением, но вот почему-то ошибки возникают в словах с неподвижным ударением. Давайте признаемся: все любят и не упускают возможности что-нибудь облЕгчить или упрОстить. Если в слове «принудить» ударение нужно ставить на корень, здесь всё наоборот: ударение падает на последний слог: я упрощУ, мы упростИм, он упростИл. То же самое и о глаголе «упростить»: «Учителя облегчИли детям домашние задания».

Правильно: Саша включИт свет в комнате

Не менее частый запрос в гугле с формулировкой «как правильно»: вклЮчит или включИт. При строгом литературном варианте с ударением на последний слог («включИт») существует разговорный «вклЮчит», который в новой редакции орфоэпического словаря русского языка указан как «допустимый», хотя раньше был под запретом. Но мы всегда за адекватную грамотность и между «допустимым» и «нормативным» выбираем, конечно, второй (и кофе в редакции «Мела» по-прежнему мужского рода).

Правильно: вот мы и дождалИсь выходных!

Выходные --- всегда хорошо. Лучше только длинные выходные. Тут история опять про два допустимых варианта ударения, один из которых предпочтительный. Сомневаетесь, они дождАлись или дождалИсь --- выбирайте вариант с ударением на последний слог. Так дожидаться правильнее. Глядишь, и каникулы скоро наступят. Или отпуск.