必威体育下载克里斯蒂安·海尔曼

贴有“法国”标签的帖子

自由,Accessibilite和Securite—这是巴黎Web 2009

星期二,10月13日,2009年

上周我去了巴黎,法国将在雅虎开发者网络活动和巴黎网站上发言。巴黎网络是一种网络开发,设计和可访问性会议已经持续了四年(我想),我已经是第三次在那里演讲了。

我的演讲-基本的家务管理

最初,我计划谈论我最喜欢的话题——数据网络和如何使用它——但组织者对我另有安排。通常情况下,我不喜欢改变我的话题和被要求做专题,但我有一个喜欢巴黎的网站,所以我谈论了网络安全。我的“基本家政”演讲的幻灯片可在幻灯片共享中找到:

在我的演讲中,我谈到了一些非常基本的措施,你可以采取,以保护你的网站成为一个垃圾邮件中心,僵尸网络的一部分或只是被垃圾邮件。我指出了人们常犯的以下错误:

  • 低估了Web应用程序安全漏洞的严重性——这不仅与您的服务器有关,还与各地使用相同密码的用户有关。
  • 将文件夹保持在列表中,从而允许人们查找易受攻击的脚本并挖掘他们不应该看到的数据(我展示的示例是eat.co.uk未能保护他们的/cgi文件夹,因此允许完全访问管理部分并列出他们的dbs)
  • 允许搜索引擎索引Web应用程序的管理部分(我建议使用robots.txt,但正如一位与会者在问答中指出的那样,使用.htaccess进行保护更有意义)
  • 保持错误消息传递,从而允许人们了解您的服务器设置
  • 有不安全感PHP启用全局变量的设置将允许覆盖安全检查和远程代码注入(使用phpsecinfo可以帮你找到这些问题)
  • 盲目依赖软件而不是测试安装。也,不覆盖预设用户和密码(例如,在任何Ektron供电的网站上尝试用户和密码“builtin”)。
  • 不保持安装和插件的最新状态
  • 依靠HTML作为javascript/ajax的数据源(我可以在Firebug中轻松地操作它)
  • 依赖JavaScript -你不能,如果你使用它作为唯一的验证手段关闭JavaScript允许攻击者注入任何类型的数据。
  • 将信息留在HTML通过注释HTML-总是在服务器端注释。
  • 不是过滤输入.
  • 尝试筛选而不是白名单
  • 允许包含到iframe中,从而允许点击劫持。
  • 未能提供易于使用和无压力的界面,从而允许社会工程(“这对你来说太难了,把你的密码给我,我会帮你填写的)。
  • 在较长时间内保持身份验证和登录,从而允许攻击者让您单击包含CSRF公司陷阱(示例是可以获得受保护的Twitter更新的演示代码)。
  • 让用户觉得您是负责安全性的人,而不是用户和站点提供者的工作。
  • 依赖验证码作为对抗机器人攻击的唯一手段(检查普温查河用于验证码破解工具)。
  • 没有更新他们的软件
  • 不定期检查他们的日志,查看是否有黑客企图。

然后我很快地回顾了我们现在的一些想法,使网络更容易使用,同时更安全:一次性登录,奥奥斯,OpenID和储蓄。

我解释了网络钓鱼的安全威胁和趋势,移动互联网,相机访问,地理位置访问和生物识别。

我得到了很好的反馈,我喜欢在法国演讲。你可以开玩笑,当你提出一些意想不到的事情时,人们会高兴地大声笑出来。

会议的其余部分

这是巴黎网络的一个普遍现象。演讲者不仅真正知道自己在说什么,而且还乐于在演讲时打破常规。同时巴黎人幻灯片只暗示你能找到一些吗关于那里发生的事情的非常酷的照片.

巴黎网2009年:第二天。巴黎网2009年:第二天。

同时观看视频:

它的位置非常豪华(IBM法国总部),拥有所有你需要展示的最新系统——麦克风,一个伟大的投影系统,舞台监视器,现场翻译等等。餐饮业给人留下了深刻的印象,食物是——嗯,这是法国,我们不需要再多说了。

双预算方法

巴黎网络所做的另一件大事是,在会议结束后的第二天,会上有一些演讲人愿意以非常低的价格给他们讲习班(去年是10欧元,不知道今年是什么时候)。这使得那些负担不起主要会议费用的学生只能在星期六来,而且仍然可以利用专家们来巴黎。

总之,我一直很自豪能参加这次会议,看到法国在倡导网络标准方面的热情和伟大成就,未来的技术和方法的专业工作作为网页设计师。高技术讲座的高可访问性和可用性使它成为任何在网上创作作品的人的一个有用的会议。

唉,有一个问题。

语言障碍

由于会议主要以法语举行,很多伟大的见解,对于非法语国家来说,信息和实践是丢失的。这是一个遗憾,因为我对会谈的务实态度印象深刻。关于如何打造更好的产品,没有太多的“蓝天”思维,而是非常实际的信息,如何以正确的方式与你的老板交谈,如何使Web开发成为贵公司产品组合的重要组成部分,并对我们的工作质量和实用的可访问性进行了大量讨论。所有的谈话都被拍摄和记录下来了,这将是巴黎网络翻译成绩单的一个很好的步骤——也许这可以通过众包来完成?

小型地铁,棘手的事件处理和伟大的新遭遇-这是巴黎网络2007

星期天,11月18日,2007年

缩小是删除所有不必要的空白(空格,标签,linebreaks)从一段代码中删除,以便在下载时减轻其重量。在巴黎的一次罢工中,公共交通系统正是如此:

拥挤的地铁

我在……度过了最后三天巴黎网络——在巴黎举行了为期三天的关于网络标准和可访问性的会议,法国。总结一下:虽然穿越城市到达两个不同的地方是我曾经想象过的噩梦,这次会议本身就是一次奇妙的经历,我很高兴成为其中的一员。

巴黎网络展示了一个会议的特点,这个会议是由那些仅仅热衷于将标准化和易用性的好想法带给人们而不是让他们的口袋里塞满东西的人组织的。

为期两天的会议通行证国际商用机器公司大楼里有一个最先进的礼堂(我还在玩遥控器,在舞台上有一个显示器来看我的幻灯片),两天内供应的咖啡和饮料超过100欧元。车间,可悲的是(因为罢工)在镇另一边的一所学校里举行的活动,使与会者只花了10欧元就退场了!

这些价格意味着你能够接触到你通常无法接触到的人,因为他们负担不起昂贵得多的会议的门票。等着我,低廉的价格并不意味着你得不到令人印象深刻的演讲者和精彩的演讲。的演讲者名单读起来像是法语网站的名人录,包括黄蜂的人,这个W3C公司,IBM和prototype团队的成员。

我在会议上的演讲“成功的团队使用网络标准”

我自己的演示刻意保持非技术性,并解释了在开发web站点时遵循标准的好处:

我关于不引人注目的javascript的研讨会

我根据我的低调JavaScript的七个原则并试图通过增强指向文档中几个内容区域的内容表来应用它们。当我有时间的时候,会有一个关于增强的详细描述。

这个房间不适合做工作室,因为它是一个塞满了电脑和19英寸的教室阴极射线管监视器,这意味着你不能看到很多你教的人。

我已经向小组承诺,到课程结束时,精通javascript的人会意识到他们编写代码的时间太长,害怕javascript的参与者会知道如何与JS开发人员工作和交流(是的,那个可能)。

充分利用房间,心血来潮,我解释了事件处理和事件委托使用真人:

使用人豚鼠处理事件

第一行是目录中的链接,在列表项后面,然后左边是一个ul,左边是斯蒂芬妮·布思(Stephanie Booth)的窗口对象(我没有把她当作对象,不要开始这些谣言!坐在前面的女士是事件监听器,其中一个链接的手上的便签是事件对象E。这很难解释,我想你必须在那里。

我目前还在清理workshop文件,一完成就会放到我的服务器上。你可以在网址:http://icant.co.uk/articles/parisweb2007/files.zip今天晚些时候。

演出会继续吗?

我听说这将是最后一个巴黎网络,我认为这是一种耻辱,因为这是一个非常需要的会议,有太多的人需要感谢和提及。这是一次伟大的经历,它应该继续下去。

很多关于Flickr会议的照片组织者告诉我,所有的会议都将在稍后的DailMotion上以创意共享视频的形式提供。

照片
拉斐尔·戈特和克里斯托夫·波特纽夫