понедельник, 29 сентября 2008 г.

Использование Secure Cookies в Oracle ApEx

Поддержка Secure Cookies в процедурах login ApEx - сравнительно новый функционал, который поддерживается начиная с версии 3.1.

Первое применение, которое напрашивается - в случае защиты login-страниц приложений просто переписать процесс Login, добавив соответствующий параметр в вызов процедуры wwv_flow_custom_auth_std.login:

wwv_flow_custom_auth_std.login(
P_UNAME => :P101_USERNAME,
P_PASSWORD => :P101_PASSWORD,
P_SESSION_ID => v('APP_SESSION'),
P_FLOW_PAGE => :APP_ID||':1',
P_USE_SECURE_COOKIE => TRUE);

Однако, при реальном применении начинаются неочевидные проблемы. Например, до настройки SSL и перезаписи в Web-сервере (OHS), войти в приложение становится невозможным.

Поскольку приложения ApEx могут быть использованы по-всякому, хотелось бы получить несколько более гибкую схему, причем желательно, чтобы выбор режима передачи cookie был автоматическим, в зависимости от установок Web-сервера.

Прелесть в том, что решение заключается в использовании Web-toolkit Oracle:

if lower(owa_util.get_cgi_env('REQUEST_PROTOCOL')) = 'https'
then
wwv_flow_custom_auth_std.login(
P_UNAME => :P101_USERNAME,
P_PASSWORD => :P101_PASSWORD,
P_SESSION_ID => v('APP_SESSION'),
P_FLOW_PAGE => :APP_ID||':'||<номер домашней страницы приложения>,
P_USE_SECURE_COOKIE => TRUE);
else
wwv_flow_custom_auth_std.login(
P_UNAME => :P101_USERNAME,
P_PASSWORD => :P101_PASSWORD,
P_SESSION_ID => v('APP_SESSION'),
P_FLOW_PAGE => :APP_ID||':'||<номер домашней страницы приложения>);
end if;

Решение настолько очевидно, что удивительно, как его просмотрели разработчики ApEx.

В действительности стоило бы включить генерацию именно такого блока процесса Login по умолчанию при создании login-страниц приложения.

пятница, 5 сентября 2008 г.

Extended Validation SSL спасет гиганта мысли?

А пока наше неспешное государство с отсутствующей индустрией IT телилось, не торопясь разродиться адекватным законодательством такое количество времени (ну, оно и понятно - раз индустрии нет, за каким чертом дергаться?), весь мир опять утопал вперед.

Забавно до дрожи, но, похоже, ситуация будет как с электроникой в СССР - "Насколько мы отстали от Запада? Навсегда".

Пока эстонские и казахстанские айтишники неспешно курят свои планы по завоеванию мира, мир пытается адекватно справиться с проблемой PKI.

Напомню вкратце. Основная проблема PKI x.509 - это доверие. Отсутствие тщательно проработанной спецификации по проверке идентичности субьектов, для которых подписывается сертификат, привела - в условиях массового практического применения технологии - к куче проблем и инцидентов, которые, по большей части, тщательно скрываются (совершенно незачем выносить сор из избы, правда?)*.

Тот факт, что удостоверяющие CA верхнеего уровня назначили себя сами и сами себе доверяют, пока оставим в покое. Этот закрытый клуб, который, похоже, находится почти целиком в одних руках и сильно напоминает масонскую ложу с полным доступом ко всевозможным источникам открытой и закрытой информации, имеет по состоянию на сегодняшний день чрезвычайно высокий уровень вхождения.

Вернемся к нашим баранам.

Новый стандарт регулирует прежде всего вопросы всеобъемлющей проверки субъектов, претендующих на получение сертификата. С практической точки зрения, это глубокий скрининг данных, с обязательным предоставлением кучи документов и полной обязательной их проверкой. Если присмотреться к стандарту повнимательней, то советские ОВИРские анкеты на получение разрешения для загранпоездки - "Девичья фамилия матери, когда в первый раз сел на горшок, фамилия дантиста, девичья фамилия бабушки дантиста....." - кажется детским лепетом. Некоторые пункты являются подлинным шедевром демократии- "Юридическое лицо не должно состоять в правительственных запретительных списках (например, под торговым эмбарго)", "Юридическое лицо должно иметь подтвержденный действующий домен с продолжительной регистрацией, доступный для проверки в режиме 24x7". Периодичность переподтверждения большинства пунктов - 1 год, то есть придется тратить время, силы и средства на регулярные и частые перепроверки и аудиты. Кое-кто будет неплохо зарабатывать на этом - как идея выдавать новые документы гражданам некоей страны на средства этих самых граждан.

Иначе говоря, для вступление в клуб клубов Web of trust вам придется подчиниться этому стандарту.

Кое-что это, безусловно, напоминает. Новорожденное антитеррористическое законодательство США, например.

"Покажите содержимое вашего желудка и сдайте анализы для получения документа". "Докажите, что вы не Террорист Номер Один". Я утрирую, но между строк стандарта находится масса интересных вещей.

Поскольку стандарт сформулирован - как и любой стандарт - достаточно обтекаемо, под его пункты можно много чего подвести, по желанию. Думаю, не стоит сомневаться, что это будет сделано. В подобных вопросах возможность практически равносильна выполнению.

Да, все эти атрибуты - регистрационные номера юридических лиц итп. - будут включены в сертификаты. То есть, фактически это означает, что, получив сертификат, вы предъявляете всему миру достаточно информации, зацепившись за которую можно в буквальном смысле слова выяснить, что вы ели на завтрак.

Очень своеобразный подход к концепции доверия. С одной стороны, он буквально соответствует заявлению "Без знания нет доверия, без доверия нет дела" и, в теории, все хорошо.

С другой стороны, чрезмерная открытость означает два следствия:

Первое. Правительство/правительства желают знать все и совать свой нос в возможно большее количество карманов, кошельков, досье итп. "А то не будем вам верить!"

Второе. Кто сказал, что эти данные будут всеми без исключения использоваться в благих целях?

Персональные и иные данные являются самой высокой ценностью и желанной добычей. Давайте преподнесем их на блюдечке всем желающим, "Нам скрывать нечего", "Мы маленькие честные люди и нам нечего бояться".

Честно говоря, выхода из этого очевидного противоречия - между необходимостью тщательно хранить в секрете критичную и персональную информацию и необходимостью предоставить возможность знать как основе доверия - не видно.

Извечный вопрос - Кто устережет сторожей? На основании чего им нужно верить? Концепция доверия в принципе противоречит концепции знания. И особенно напрягает то, что стоит за этими концепциями.

Как говориться, "блажен, кто верует".

Еще один момент. Массовое раскрытие персональных и конфиденциальных данных посредством EV-SSL означает также разрастание рынка услуг по защите, поскольку атаковать-то определенно станет проще. Разумеется, защита будет платной. Разумеется, услуги по защите будут достаточно часто предоставляться самими нотариатами-CA. Разумеется, как всякий вид подлицензионной деятельности, это будет облагаться пошлинами и повышенными налогами. Хорошо бюджету - хорошо правительству.

В сухом остатке все это означает только одно. Интернет начинает расслаиваться на агнцев и козлищ. К последним автоматически причиаляются те, кто не может предъявить EV-SSL. С другой стороны, морлоки вовсе не бедствовали, если вспомнить классиков. Очередной виток гонки безопасности означает лишь новые сверхдоходы для клуба CA, потому что они явно не относятся к богадельням. Паспорта надо выдавать за счет самих подон... .... , простите, ребятишек.
_________________________
* Мне лично стал известен только один достаточно громкий инцидент, когда в употреблении непонятным образом появился промежуточный доверенный сертификат якобы Microsift, подписанный VeriSign.

понедельник, 1 сентября 2008 г.

"Многабукф. Ниасилил!"

У меня все чаще создается впечатление, что вокруг в мире выросло поколение людей, которые в принципе не умеют читать. Ну или в любом виде воспринимать текстовую информацию.

Доходит до абсурда. Человек смотрит на веб-страницу, прямо перед его глазами находится надпись - и он ее не видит: "Скажите мне на словах!".

Называется, "Да ты не умничай, ты рукой покажи!".

Выглядит это так, будто даже слово из трех букв на заборе люди уже не способны прочесть, если оно там не нарисовано в виде картинки.

Generation Ы, выражаясь терминологией Пелевина. Характерным признаком которых является однообразное выражение любой мысли в дерьмосфере* в виде "Ыыыыыыы!".

Эллочка-людоедка - Эйнштейн в сравнении с этими людьми. Впрочем, им неизвестно, кто такая Эллочка-людоедка.

Я долго пытался сообразить, чем же вызвана такая деградация интеллекта. То ли воспитанием на комиксах, то ли полным неприятием книг.

"Чукча не писатель, чукча - читатель!"

Это Generation Ы зачастую даже не знает, что существуют - все еще - книги на бумаге. Электронные книги - которые читают вслух - даже эти современные отродья Нета используют далеко не все.

"Телевизор мне что хочешь заменил!" - перефразируя Владимира Семеновича.

Визуальное пережевывание образов за аудиторию. Готовые чужие мысли, в виде жвачки, сплевывают зрителям в рот, и они их послушно глотают.

Воспринимать что-либо сложнее сорокасекундного рекламного клипа выше их разумения. "Вам достаточно запомнить одно слово (на большее вы все равно не способны) - название бренда, который вам впыживают".

Распространенные в последнее время насмешки над блондинками, у которых "Мастер и Маргарита" как максимум ассоциируется с одноименной песней (кстати, достаточно древней в сравнении с ними - поскольку она была написана задолго до рождения большинства из них) - это смех над собой.

Потому что если бы только блондинки страдали от анацефалии**.

К сожалению, таких большинство. Рэй Брэдбери*** в гробу переворачивается. Когда он писал свой знаменитый роман "451 по Фаренгейту" - он и представить себе не мог, что такое действительно может когда-то произойти, да причем совсем не в далеком будущем!

Люди перестали воспринимать текст сложнее пары междометий.

Я просто молчу про художественную литературу, про чтение руководств. До всего этого большинство этих пожирателей рекламы просто не продвинулось.

Информационное неравенство - в действии. О нем в последнее время много болтают.

Причем следует читать это словосочетание так:

"Мы понимаем, что подавляющее большинство недоумков неспособно даже слово на заборе прочесть. Но нам удобней, чтобы общество было компьютеризовано. Давайте научим этих тупарей кликать мышкой на трех кнопках и не пугаться цветных дисплеев, и нажимать пять кнопок для ввода примитивного пароля чтобы цифровую подпись активировать. И скажем им, что теперь они умеют обращаться с компьютером. А чтобы обезьянки были самомотивированы, скажем им, что теперь они - УМЕЮТ. Что-то гордое. Мы-то знаем, что они так и остались обезьянками - а нам удобней, чтобы они и впредь не думали."

Чувствуете, господа и дамы?

Информационное неравенство было есть и будет. ВЫ сами его создали и поддерживаете. Тем, что не напрягаете головной мозг. Тем, что не читаете. Тем, что хаваете то, что вам скармливают, не задумываясь.

Черт побери, большинство недоумков даже контракты не читают, которые подписывают!

"Многабукф! Ниасилил!"

А потом рвут волосы на голове и прочих местах. "Я не знал, что по контракту не могу уволиться три года! Я не знал, что должен при увольнении оплатить свое обучение в компании!"

"Каждый буратино - сам себе единственный друг", мальчики и девочки. Куда буратино смотрит и что видит - то и получает.

Если бы вас приучили в детстве читать, а особенно мыслить - вам бы оказали ценную услугу.

Обезьянка не видит того, что перед ее носом - если только ее не ткнуть рыльцем прямо в то, что она должна бы видеть. Хотя как раз обезьянки весьма любознательны - они даже клеточки свои исследуют. А их потомки, носящие гордое имя "Хомо", ввиду практического отсутствия естественного отбора, уже утратили эту любознательность. Начисто. Превратившись просто в тупое стадо потребляющих, жрущих, гадящих и трахающихся животных.

И не хотелось всего этого писать - но в последнее время обезьянки просто окружили и находятся буквально повсюду.

Посмотрите в зеркало, люди. Вы все-таки пока относитесь к виду "Человек Разумный".
_____________________________________
* Дерьмосферой так и напрашивается назвать тот гадюшник, который создали для такой публики - блогосфера с ее дневниками онанистов, социальные сети, вКонтакте, однокамерники.ру и прочий фейк.
** Анацефалия - врожденное отсутствие головного мозга.
*** Впрочем, обезьянкам невдомек ни кто такой Рэй Брэдбери, ни что это за роман.