Nu till sommaren planerar jag att lära mig redigera bilder Photoshop CS3 eller CS4. Jag är nämligen webbutvecklare på fritiden och jag känner att jag vill förbättra mina kunskaper inom bildredigering och hur man kan skapa snygga "eng. Gradients", knappar, bakgrundsbilder med mera.
Notis: För er som undrar så berättar jag att jag även känner till programmet Gimp till GNU Linux som är nästan lika funktionsrikt men gratis.
Jag gick en väldigt grundläggande kurs om Photoshop 7 när jag gick på gymnasiet. Då var det inkluderat i Estetisk verksamhet (bild och musik). Men lärarna var ju inte så bra på att lära ut så man fick inga riktigt bra tips på hur man kunde lära sig programmet på egen hand. Personligen tycker jag att man lär sig bäst genom att pröva sig fram men Photoshop var lite svårt då tyckte jag, lager, skuggor, framhöva olika lager, ljussättning, etc.
Men när jag häromdagen läste en artikel om tio bra designtekniker vid webbdesign så kände jag ett starkt intresse som väcktes till liv - jag ville lära mig använda Photoshop på riktigt.
Jag har hittat några bra guider på Internet om hur man kan gå tillväga för att lära sig bemästa programmet på bästa sätt men jag ställer även samma fråga till alla er som läser bloggen eller som bara hälsar på en kort stund.
Finns det några där ute som är intresserade utav Photoshop CS3/CS4 och som känner att ni vill bidra till några bra webbresurser där man kan lära sig Photoshop från grunden och upp med enkla exempel som vem som helst (nästan) kan följa? Klicka bara på länken "Skriv en kommentar" för att hjälpa till.
Här under rubriken "webbresurser" listar jag några resurser som jag tycker verkar bra.
Webbresurser
Photoshop Guider för Nybörjare - 35st
Använda Lager i Photoshop och hur det fungerar
Devello Photoshop Tips
Photoshop 7.0 grunder (pdf)
Good-Tutorials Photoshop
Adobe Photoshop Tutorials
Watch and Learn Photoshop CS4
Visar inlägg med etikett grunder. Visa alla inlägg
Visar inlägg med etikett grunder. Visa alla inlägg
08 april, 2009
17 februari, 2008
AJAX: Är ajax säkert
Förord
Jag har inte läst på så mycket om AJAX säkerhet men det jag tänker berätta är den mest grundläggande säkerheten som de flesta glömmer bort när de utvecklar en ajax-tjänst.
Introduktion
Detta är min första lilla artikel om säkerheten i AJAX. Det är mycket grundläggande och är till för många av er där ute som inte är så insatta i detta. Personligen har jag själv inte hunnit utveckla så mycket med AJAX men när jag skapade en enkel dynamisk CMS (Content Management System) tjänst lärde jag mig hur jag skulle implementera simpla säkerhetsåtgärder.
Att tänka på
För det första måste ni veta vad AJAX egentligen är och hur det fungerar. Jag kommer inte gå igenom alla detaljer, utom endast det nödvändigaste. AJAX står för Asynchronous Javascript And XML är är ett sätt för en webbsida att kontakta en webbserver i bakgrunden (dolda anrop/request) utan att det märks för besökaren. Webbsidan har t.ex ett Javascript som anropar webbservern och begär information om de senaste inloggade personerna. Webbservern kör PHP och använder MySQL för att hämta informationen som efterfrågas av AJAX. Koden kanske är utvecklad så att den bara visar användare som har samma behörighet för webbsidan som den aktuella besökaren har. Därför skickas besökarens ID med i AJAX anropet och klistras in i SQL-frågan som skickas till databasen med PHP. Sedan skickar PHP ett svar (response) tillbaka med de 10 senaste inloggade användarna på webbsidan. Utvecklaren som har programmerat ihop allt detta tror att koden är säker eftersom det är dolt för användaren så därför har inga säkerhetskontroller implementerats.
Hur kan man knäcka detta system
Man kan knäcka systemet enkelt genom att modifiera sitt användar ID med ett enkelt Javascript. Man kan då skicka med "skadlig" kod som sedan klistras in i SQL-frågan tillsammans med användar ID:t och göra en så kallad SQL Injection.
Utvecklaren får sedan ett epostmeddelande från en säkerhetsexpert som har analyserat hans/hennes AJAX tjänst och talar om vilka brister som finns. Utvecklaren tänker inte mer på det utan försöker istället dölja Javascript koden som används i AJAX anropet. Det kan t.ex vara kod som innehåller värden och parametrar som sedan skickas till en specifik adress med GET eller POST.
Utvecklaren tror då att man kan använda webbläsarens referer-värde för att kontrollera att koden kommer från rätt plats. Men detta kan också modifieras av en illasinnad besökare. Istället blir han/hon kontaktad av en person som säger att AJAX fungerar precis som en vanlig besökare som surfar på webbsidan men att det istället görs automatiskt med diverse kommandon som skrivs av utvecklaren. Detta betyder att det inte spelar någon roll (i nuläget) om man använder AJAX eller inte för att göra anrop till webbservern, som annars skulle ha skett med t.ex formulär, klick, knappar, länkar etc.
Säkra tjänsten
För att säkra en AJAX-tjänst måste man även implementera säkerhetskontroller på serversidan. Om man t.ex använder MySQL och PHP kan man säkra SQL-frågan med en funktion som heter mysql_real_escape_string(). Sedan kan man även skapa HASH (Message-Digest) kontroller på datan som skickas och sedan se efter om datan har modifierats.
En annan viktig sak är att endast tillåta tal och siffror om det är det som förväntas - och inget annat.
Sammanfattning
Okej! Så om ni använder AJAX måste ni även se till att ni gör samma säkerhetskontroller som förut, innan ni började använda AJAX för att skicka/ta emot data. Helst görs detta på serversidan men man kan även försöka dölja och kryptera Javascriptet på webbsidan som anropar webbservern så att det är svårare för illasinnade besökare att tyda och förstå kodens logik och funktion. Säkra alltid alla data som skickas till servern.
Jag har inte läst på så mycket om AJAX säkerhet men det jag tänker berätta är den mest grundläggande säkerheten som de flesta glömmer bort när de utvecklar en ajax-tjänst.
Introduktion
Detta är min första lilla artikel om säkerheten i AJAX. Det är mycket grundläggande och är till för många av er där ute som inte är så insatta i detta. Personligen har jag själv inte hunnit utveckla så mycket med AJAX men när jag skapade en enkel dynamisk CMS (Content Management System) tjänst lärde jag mig hur jag skulle implementera simpla säkerhetsåtgärder.
Att tänka på
För det första måste ni veta vad AJAX egentligen är och hur det fungerar. Jag kommer inte gå igenom alla detaljer, utom endast det nödvändigaste. AJAX står för Asynchronous Javascript And XML är är ett sätt för en webbsida att kontakta en webbserver i bakgrunden (dolda anrop/request) utan att det märks för besökaren. Webbsidan har t.ex ett Javascript som anropar webbservern och begär information om de senaste inloggade personerna. Webbservern kör PHP och använder MySQL för att hämta informationen som efterfrågas av AJAX. Koden kanske är utvecklad så att den bara visar användare som har samma behörighet för webbsidan som den aktuella besökaren har. Därför skickas besökarens ID med i AJAX anropet och klistras in i SQL-frågan som skickas till databasen med PHP. Sedan skickar PHP ett svar (response) tillbaka med de 10 senaste inloggade användarna på webbsidan. Utvecklaren som har programmerat ihop allt detta tror att koden är säker eftersom det är dolt för användaren så därför har inga säkerhetskontroller implementerats.
Observera att detta bara är ett testscenario!
Hur kan man knäcka detta system
Man kan knäcka systemet enkelt genom att modifiera sitt användar ID med ett enkelt Javascript. Man kan då skicka med "skadlig" kod som sedan klistras in i SQL-frågan tillsammans med användar ID:t och göra en så kallad SQL Injection.
Utvecklaren får sedan ett epostmeddelande från en säkerhetsexpert som har analyserat hans/hennes AJAX tjänst och talar om vilka brister som finns. Utvecklaren tänker inte mer på det utan försöker istället dölja Javascript koden som används i AJAX anropet. Det kan t.ex vara kod som innehåller värden och parametrar som sedan skickas till en specifik adress med GET eller POST.
Utvecklaren tror då att man kan använda webbläsarens referer-värde för att kontrollera att koden kommer från rätt plats. Men detta kan också modifieras av en illasinnad besökare. Istället blir han/hon kontaktad av en person som säger att AJAX fungerar precis som en vanlig besökare som surfar på webbsidan men att det istället görs automatiskt med diverse kommandon som skrivs av utvecklaren. Detta betyder att det inte spelar någon roll (i nuläget) om man använder AJAX eller inte för att göra anrop till webbservern, som annars skulle ha skett med t.ex formulär, klick, knappar, länkar etc.
Säkra tjänsten
För att säkra en AJAX-tjänst måste man även implementera säkerhetskontroller på serversidan. Om man t.ex använder MySQL och PHP kan man säkra SQL-frågan med en funktion som heter mysql_real_escape_string(). Sedan kan man även skapa HASH (Message-Digest) kontroller på datan som skickas och sedan se efter om datan har modifierats.
En annan viktig sak är att endast tillåta tal och siffror om det är det som förväntas - och inget annat.
Sammanfattning
Okej! Så om ni använder AJAX måste ni även se till att ni gör samma säkerhetskontroller som förut, innan ni började använda AJAX för att skicka/ta emot data. Helst görs detta på serversidan men man kan även försöka dölja och kryptera Javascriptet på webbsidan som anropar webbservern så att det är svårare för illasinnade besökare att tyda och förstå kodens logik och funktion. Säkra alltid alla data som skickas till servern.
Prenumerera på:
Inlägg (Atom)