Lông Vịt - The most stupid coder ever [3]

Hôm nay Lông Vịt dậy thật sớm... hơn bình thường một chút ... Việc đầu tiên là anh power-on cái PC, double-click vào cái Total Commander, browse đến folder chứa nhạc, click chọn 2 bài "Games People Play" và "Garden of Black Roses" rồi fire-up cái Winamp... Trong điệu nhạc xập xình, anh đứng đó nhún nhảy như một thằng điên ... Chà, tập thể dục buổi sáng đem lại cho anh một cảm giác thật sảng khoái... Ước gì ngày nào trong tuần anh cũng được cảm giác đó nhỉ?... Nhưng có lẽ cảm giác đó sẽ kô kéo dài lâu, bởi anh và nhóm của anh đang bị khách hàng coi "như con" ...

Hmm, cũng xin giới thiệu một chút về nhóm anh và dự án anh đang làm... Nói chung cũng do thời cuộc đẩy đưa mà Lông Vịt trôi dạt đến bộ phận phát triển Web của công ty "FCG-S"... Í, khoan, đây không phải là một chi nhánh công ty FCG (hồi xưa là PSV), mà đó là tên viết tắt của "Fast-Cheap-Good Software"... Ờ, department của anh, nếu trừ anh ra thì còn lại khoảng "nửa" người, lý do ông đại ca của anh cũng là manager của một dự án khác... Với nguồn nhân lực dồi dào như vậy cho nên anh nghiễm nhiên trở thành *designer - coder - tester - teamleader - analyzer - architector...*, nói một cách gọn gàng là *all-in-one-developer*. Với thành công của dự án "Web 2.0" hôm trước (sếp đã khen anh , chính xác là: "Giỏi! Code của mày rất scalable!"), anh vững bước với một dự án Web khác, lần ngày lại viết bằng ASP, đây là một hệ thống E-Commercial chuyên về mọi lĩnh vực kinh doanh buôn bán (nó đây nè)...

Với khả năng designing/coding nhuần nhuyễn, cộng thêm khả năng search-copy & paste, anh đã hoàn thành rất nhanh phần web-ui, business-logic và storage... Nói kô ngoa, một tuần là anh code xong, một tuần nữa để test và fix bug, thêm 1 ngày để package & release... Ấy vậy mà sau khi deploy trên cái dedicate server của thằng khách hàng, chạy khoảng 1 tuần thì nó dở chứng gì kô biết, khách hàng chửi sếp anh như *con* , sếp anh chửi anh như *thú* , anh thì tự dày vò mình như *giặt quần áo* ... Dĩ nhiên sau đó Lông Vịt được cử ngay lên "hiện trường" để tìm hiểu, và đập vào mắt anh là số khách hàng đăng ký trong trang đó lên đến hơn 1.000.000 mà account ai cũng có tên đại loại "bà_mày_#######", "instcode_#######"... (# là chữ số..)... Hmm, sao lạ vậy ta? Anh nhớ là anh đã chống DoS ở phần đăng ký thành viên bằng cách kiểm tra Security Code (Verification code) rồi mà ta? Và anh kiểm tra cái register form:


(Bà con nhà mình có thể vào xem trực tiếp cái form tại: http://www.gso-media.com/home/register.asp)

Ờ, bình thường mà? Có gì lạ đâu?Sao mà flooding phần register user được? ... Vô lý... Thường Kiệt !... Lý nào lại vậy? ... Vô lý hết sức ... Bình thường mà? Chẳng thấy gì lạ...


P/S: Cáo lỗi những coders nào đã code cho trang gso-media đó! Hehe, cái này nhảm nhí cho vui thôi mà ... Bà con nhà mình cũng biết chọn lọc phần thông nào là của Invisible-Lông Vịt, phần nào là Gso-media-Lông Vịt nha! ...

Phòng chống bị xẻo blog Yahoo 360...

Huhuhu... Một lỗi khi rất phổ biến với ứng dụng Web là Cross Site Request Forgery (CSRF hoặc XSRF) đã giúp cho những kẻ phá hoại có thể remove toàn bộ các comment cũng như blog-entry của bà con! Huhuh, phải cẩn thận !

Trong khi chưa có thông tin sửa lỗi này từ Yahoo thì bà con phải cẩn thận!! Phương pháp hữu hiệu và triệt để nhất là sign-out khỏi Yahoo 360 khi duyệt Web! Nếu trong trường hợp bất khả kháng, làm theo những hướng dẫn sau:

1. Phòng chống bằng biện pháp "xã hội":
- Duyệt web ít lại, chỉ vào những trang tin cậy (ví dụ của Invisible nè ).
- Đừng click vào những link lạ, trừ những link Invisible gửi (lý do là trường hợp xui nhất cũng có người chết chung ).

2. Phòng chống bằng biện pháp "kỹ thuật":
- Khi thấy thanh progress/status bar của trình duyệt nhá nhá liên tục đến trang "360.yahoo.com", ngay lập tức đóng cửa sổ trình duyệt càng nhanh càng tốt... Hạn chế tang thương được chừng nào hay chừng ấy .
- Làm theo những bước sau để chặn tất cả những GET request tự động bởi trình duyệt đến những link "ác", ví dụ remove các entries/comments của bạn, mà bạn kô hề hay biết!!!

1. Từ bỏ IE và sử dụng ngay trình duyệt Firefox. Download ở đây: Get Firefox
2. Sau khi cài đặt xong Firefox, cài ngay extension AdBlock Plus để chặn quảng cáo và chặn luôn những request kô mong đợi (ví dụ request delete một blog entry...), download và cài đặt ở đây: AdBlock Plus
3. Bạn nên cài thêm một bộ filter cho AdBlock Plus để trị luôn những quảng cáo thông dụng, vào trang chủ của EasyList (recommend) để cài đặt EasyList và EasyElement.
4. Soạn file "BlockMe.txt" với nội dung như sau:
   

   [Adblock Plus 0.7.1]
   http://*360.yahoo.com/*gbd=*
   http://*360.yahoo.com/*delete.html?id=*
   http://*360.yahoo.com/*recent_comments.html?d=*
   http://*360.yahoo.com/*delete.html?msgid=*
   http://*360.yahoo.com/*dc=*
   

5. Vào Tool -> [Add-ons ->] AdBlock Preference, chọn Filters -> Import Filters -> Chọn đường dẫn đến file "BlockMe.txt" ở trên và import vào với tùy chọn "Append". Bạn cũng có thể thêm từng dòng ở trên (trừ dòng đầu ) vào bộ Filter bằng cách "Add Filter".
   
6. Bổ sung: Để tránh trường hợp bọn ác dùng STYLESHEET để "xẻo", bạn phải vào AdBlock Preference như ở trên và đến phần "Exception rules", xóa (hoặc disable bằng cách click vào cái nút tròn nhỏ nhỏ màu xanh cho thành xám) cái default rule: "@@$stylesheet". Nếu kô, bọn ác dùng "<link type="text/css">" hoặc "@import url(...)" là tiêu ...
   
7. Bọn ác còn cách chơi khác là dùng Redirect Header bằng cách dùng "<meta equiv="refresh" content="5; http://url;">", cái này thì AdBlock Plus bó tay, nhưng nói chung thương vong hông nhiều ...
   
Hi vọng sau khi cài thêm AdBlock extension ở trên, bà con có thể hạn chế được phần nào những tang thương do XSRF gây ra và đừng quên đó kô phải là biện pháp triệt để , tức là vẫn có khả năng bà con sẽ bị "xử" (đó là khi "bọn ác" nó dùng client-script, ví dụ Javascript, để chém bà con ).

Hehehe, Invisible may mắn là chưa bị mất mát tí gì ... Nhưng... Huhuhe, bữa này ai kô để blog ở chế độ "Public" thì Invisible kô đọc được đâu nha ! Huhuh, cẩn thận vẫn hơn... Bà con comment xong thì cũng click vào link [Signout] ở trên để ra khỏi Yahoo Mail/360 liền đi... Coi chừng bị bọn ác chém !! Huhuhuh ...