файл отрицательного размера

Моя первая разработка на django – система поиска производителей сетевых адаптеров по MAC-адресам: mac.dil.pp.ru .
А некоторое время назад сайт почему-то перестал работать, выдавал ошибку

uWSGI Error
Python application not found

Программа действительно была запущена через uwsgi, посмотрел в его лог, а там дикая ошибка:

Traceback (most recent call last):
  File "./mac/wsgi.py", line 10, in 
    import os
ImportError: No module named os

Потому веб-сервер и не мог прицепиться к этому неазпускающемуся приложению:

unable to load app 0 (mountpoint='') (callable not found or import error)
*** no app loaded. going in full dynamic mode ***

Запустил питон в консоли, там import os нормально работает. Запустил программу через джанговский manage.py runserver – тоже работает, а в uwsgi почему-то нет..

Почти неделю копался, но толком не мог понять, отчего же стандартный питоновый модуль может не импортироваться.

Ну, похоже, что uwsgi пытался использовать старый python 2.6, а он уже проапдейтился до 2.7. Так что грабельки удалось обойти, вписав в uwsgi’шный ini-файл plugin = python27. Теперь вроде нормально работает.

Оригинал этой записи в личном блоге.

Нет ли среди моих читателей специалистов по TinyMCE?

Мне хочется к стандартному редактору (скорее, 3 версии, включённой в django-tinymce) добавить несколько кнопочек для дополнительных HTML-тэгов, типа <code>, <pre>, <lj-cut> и т.п.
И ещё хочется заменить B, I, U на обычные <b>, <i>, <u>, вместо <span>‘ов с дополнительными опциями, который там вставляются этими кнопками.

Example plugin сам по себе работает, но позволяет вставлять или изменять только текст, а если попробовать в плагине добавить туда тэги, они убиваются нафиг.

А описания внутренних функций tinymce, которые используются в плагинах, я в оригинальной документации вовсе не вижу.
Вот список команд нашёлся, а описания их параметров вовсе нету.

Гуглить тоже пробовал, но ничего толком не нашёл.

Оригинал этой записи в личном блоге.

В продолжение https://dil.dreamwidth.org/1301956.html я наваял страничку с тем тестом: https://dil.pp.ru/drug-test.html

Чистый javascript, у меня в FF работает, в других браузерах не проверял за отсутсвием оных. Если найдёте ошибки, сообщайте.

Оригинал этой записи в личном блоге.

А что, такая конструкция действительно работает?

<!--[if !IE]><body><![endif]-->
<!--[if IE 9]><body class="ie9"><![endif]-->
<!--[if IE 8]><body class="ie8"><![endif]-->
<!--[if IE 7]><body class="ie7"><![endif]-->
<!--[if lt IE 7]><body><![endif]-->

Вопрос о том, зачем в разных версиях IE делать body с разными стилями тоже интересен, поскольку это всего-навсего веб-морда кабельного модема.

Оригинал этой записи в личном блоге.

Написал простенькую искалку по мак-адресам.
coffer.com был хорош, но очень давно не обновлял базу, я неоднократно натыкался на адреса, которых он не знает.

Если кто заметит ошибки, или, может, какую дополнительную функциональность захочет, типа списков префиксов по организациям или организаций по странам, или, например, ссылки на поиск в Гугле названия компании, как на coffer.com, пишите свои пожелания.

Оригинал этой записи в личном блоге.

Это мог написать кто угодно, не всем же разбираться в тонкостях работы веба. Но написал _веб-разработчик_. Якобы. С PHP вместо головы. А потом мы удивляемся, откуда берутся ТАКИЕ сайты.

Оригинал этой записи. Комментировать можно тут или там.

Отдельной рубрики про верстальщиков у меня нет, и вообще я не настоящий сварщик, поэтому пусть будет в задачках для сисадминов.

Сегодня один товарищ в одном совершенно непрофильном сообществе задал интересный вопрос: как сделать, чтобы колёсико мышки осуществляло  на широком сайте _горизонтальный_ скроллинг?

Я немножко погуглил и сделал так. Может, это как-то проще делается?

На фотографии можно внимания не обращать, я взял первые попавшиеся.

Оригинал этой записи. Комментировать можно тут или там.

Тут вот [ljuser]dinozavr[/ljuser] написал заметочку о потере культуры информационной безопасности. Общий смысл её в том, что все эти проблемы профессиональной деградации вызваны минимизацией расходов на оплату труда разработчиков и админов, и вследствие этого – качества работы.

С одной стороны да, “вы всегда получаете то, за что заплатили”. Меньше зарплата – меньше квалификация человека, который пойдёт за эту зарплату работать, ну и результат он, естественно, выдаст в соответствии со своей квалификацией.

Но по-моему, у этой проблемы есть ещё одна сторона, мало зависящая от зарплаты: зона ответственности.

Конечно, с быдлокодера, освоившего PHP/Java/C#/whatever по книжке “Нейрохирургия для чайников за 21 день”, или пионэра, первый раз поставившего линукс вчера вечером, спроса никакого.

Но в приличные компании таких не берут, там есть некоторый пороговый уровень интеллекта, который предполагает, что человек а) действительно разбирается в том, чем занимается и б) в некоторой степени разбирается в смежных областях. Веб-программист – в том, как работает HTTP, CSS и база данных, администратор веб-сервера – в том, как работает тот же PHP и C#, DBA – в том, чтО за данные напихали программисты в базу, и как они используются в приложениях, и т.п.

И вот тут в полный рост встаёт вопрос: будет ли человек эти свои знания использовать, глядя чуть шире, чем в спущенное ему менеджером задание? Сообщит ли разработчик менеджеру, что задание поставлено некорректно, потому что если копнуть чуть глубже, то окажется, что задача решается гораздо проще и эффективнее? Начнёт ли бить тревогу из-за того, что в используемом протоколе есть очевидные проблемы с безопасностью? Заметит ли, что вместе с выкладываемым кодом на сервер попадают лишние файлы – тот самый .svn/ – и проверит конфиг сервера?

Или будет делать ровно то, что ему сказали? Качественно, в соответствии со своими знаниями и компетенцией, но – совершенно не оглядываясь по сторонам, потому что “мне такого задания никто не давал, это не моё дело, оно ж и так работает, и вообще – пусть менеджер думает, он за это зарплату получает”. Менеджер-то да, получает, но он специалист по организации производства, а не по таким тонкостям. И в результате получится давно известная картина “К пуговицам претензии есть?”

Конечно, бывают компании с военной  дисциплиной. “Командир сказал, что бурундучок птичка, значит, бурундучок – птичка”, и нечего высовываться и считать, что ты умнее начальника. Вот дорастёшь до его поста – тогда будет считаться, что ты умный, а пока сиди молча и делай, что сказали.

Но таких компаний в области разработки относительно мало. А подход “моя хата с краю”  наблюдается всё больше и больше, даже у крутых профессионалов, получающих за свою работу очень немаленькие деньги. И это очень печально.

Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.

Это для веб-девелоперов, остальным неинтересно будет.

Как известно, у веб-девелоперов случаются ошибки, в результате чего в приложениях появляются уязвимости. Вопрос у меня о том, как можно дополнительно превентивно от этих уязвимостей защититься на уровне разграничения прав доступа в базе данных.

Вот в файловой системе как – приложение, конечно, может и само проверять, надо ли позволять  текущему пользователю выполнять ту или иную операцию с файлом или директорией, но администратор системы дополнительно устанавливает права на чтение/запись/…, которые приложение обойти не может.

А в веб-приложениях, работающих с базой, обычно все операции выполняются от имени одного пользователя, и разграничение полномочий целиком возлагается на приложение. Поскольку обычно этому пользователю разрешены операции модификации данных в базе, то при эксплуатации уязвимостей хакер имеет возможность поменять не только “пользовательские” данные (скажем, содержание текстов на сайте), но и “системные” (например, шаблоны, привилегии веб-пользователей и прочие, которые нормально подлежат редактированию только администраторами сайта).

Вопрос: а что мешает веб-приложению, работающему в “режиме обычного пользователя” и в “режиме администратора сайта” подключаться к базе от имени разных пользователей, которым назначены разные привилегии – первому поменьше, второму побольше? Чтобы хакер, работающий с приложением в первом режиме, в принципе не имел возможности поменять “системные” данные.

Я никаких принципиальных ограничений не вижу, кроме небольшого усложнения приложения и необходимости разделения данных на две группы и более тонкой настройки прав в базе.

Понятно, что это не панацея, но как дополнительная мера защиты покатит. Но я ни в одном распространенном движке для веб-приложений такого не видел. Кто-нибудь такие знает?

P.S. Про Windows Integrated Authentication в IIS я в курсе, но у него область применения довольно узкая. Если его включить, то придётся всех пользователей заводить на уровне ОС. Для публичных веб-приложений с большим количеством пользователей это неприемлемо.

Оригинал этой записи. Комментировать можно тут или там.

А что, этот вот масон – хорошая штука? Стоит тратить время на изучение, или с тех пор прогрессивное человечество придумало что-нибудь принципиально лучшее в области фреймворков для веба на перле?

Оригинал этой записи. Комментировать можно тут или там.