Some words on things we like

Open Source Τηλεδιάσκεψη

Το BigBlueButton είναι ένα σύστημα τηλεδιάσκεψης ανοιχτού κώδικα σχεδιασμένο για την εξ'αποστάσεως εκπαίδευση, που ωστόσο μπορεί να καλύψει ένα ευρύ φάσμα εφαρμογών όπως:


  • εταιρικές συνεδριάσεις,
  • e-government,
  • programming sprints,
  • project management.

Tο όραμα του BigBlueButton είναι να επιτρέπει στους ενδιαφερόμενους να ξεκινήσουν μια ποιοτική τηλεδιάσκεψη απλώς με το πάτημα ενός μπλε κουμπιού!

Το project είναι βασισμένο σε μια σειρά από κορυφαία προγράμματα ανοιχτού λογισμικού, όπως το σύστημα τηλεφωνίας Asterisk PBX server, τον Red5 flash server για τη μετάδοση video, και τα Flex SDK και Grails open source web frameworks

Οι συμμετέχοντες σε μια τηλεδιάσκεψη μπορούν να ανταλλάσουν γραπτά μηνύματα, να ακούν και να βλέπουν ο ένας τον άλλο, μέσω μικροφώνου - κάμερας. Κάποιος από τους συμμετέχοντες ορίζεται ως διαχειριστής της τηλεδιάσκεψης (moderator). Ο διαχειριστής μπορεί να επιλέξει να παρουσιάσει ένα αρχείο pdf, σε πραγματικό χρόνο, είτε να μοιραστεί το desktop του με όσους συμμετέχουν στην παρουσίαση.

Μπορείτε να πραγματοποιήσετε μια δοκιμαστική τηλεδιάσκεψη στον demo server της unweb.me στο http://bbb.unweb.me/ και να διαπιστώσετε αν το BigBlueButton είναι αυτό που οι δημιουργοί του οραματίζονται!

TechCrunch hacked (δις)

Το TechCrunch, το μεγαλύτερο portal-blog  με νέα για τεχνολογία, start-ups, και θέματα που αφορούν το Web 2.0, δέχτηκε επιτυχημένη επίθεση. Στις 26 Ιανουαρίου οι επισκέπτες του έβλεπαν για κάποιες ώρες, αντί για την σελίδα που περίμεναν, το εξής:

tech hack

Στο παρελθόν έχει καλύψει με άρθρα του επιθέσεις στο Twitter, στο RockYou, και σε άλλα μεγάλα Web 2.0 sites.

Το TechCrunch έτρεχε το διάσημο πακέτο ανοιχτού λογισμικού Wordpress, αλλά για την ώρα δεν υπάρχει κάποια πληροφόρηση αν η παραβίαση οφείλεται σε κάποιο άγνωστο exploit (zero day) στο Wordpress, σε κακή ρύθμιση της PHP, σε αμέλεια διαχειριστών, dns hijack, ή παραβίαση του δικτύου.

Σήμερα οι εισβολείς της προηγούμενης μέρας επέστρεψαν και ξανατοποθέτησαν το μήνυμα τους στη σελίδα του TechCrunch! Το μήνυμα όπως μπορεί να διαπιστώσει κανείς είναι σε οργισμένο και απειλητικό ύφος ενάντια στους ιδιοκτήτες του TechCrunch. Το screenshot είναι από το praetorianprefect.com

 

deface

 

Η δεύτερη συνεχόμενη εισβολή σημαίνει είτε ότι οι επιτιθέμενοι έχουν βρεί περισσότερους από ένα τρόπους παραβίασης του TechCrunch, είτε επιβεβαιώνει τα σενάρια για άγνωστο bug στο Wordpress (σε ορισμένα sites συζητιέται οτι πρόκειται για το xmlrpc.php, το οποίο σε προηγούμενες εκδόσεις επέτρεπε Sql Injections). Σε κάθε περίπτωση περιμένουμε ολοκληρωμένη ανάλυση από το TechCrunch, όπως οφείλει να κάνει.

IT Security News 01/10

Τον προηγούμενο μήνα είδαν το φως της δημοσιότητας αρκετά ενδιαφέροντα θέματα σχετικά με την ασφάλεια πληροφοριακών συστημάτων και τηλεπικοινωνιών. Παρακάτω θα μιλήσουμε για:

1. Domain Hijack και Defacement στο Twitter

2. Ιστορίες phishing και αν-ασφάλειας με αφορμή ένα SQL Injection

3. Πρακτική (και φτηνή) υλοποίηση σπασίματος της ασφάλειας του GSM

 

1. Domain Hijack και Defacement στο Twitter

Στις 17 Δεκέμβρη το διασημότερο δίκτυο micro-blogging twitter δέχτηκε επίθεση από την ομάδα "Iranian Cyber Army" και για λίγες ώρες οι επισκέπτες του twitter.com έβλεπαν μια διαφορετική σελίδα από αυτή που περίμεναν, με μηνύματα όπως το "THIS SITE HAS BEEN HACKED BY IRANIAN CYBER ARMY". Όπως προέκυψε αργότερα, πρόκειται για domain name hijack και όχι για παραβίαση κάποιου server του twitter. Το domain hijack (αρπαγή domain) είναι επίθεση στην οποία οι επιτιθέμενοι αλλάζουν τα νόμιμα DNS για ένα domain με τα δικά τους. Έτσι και στην περίπτωση του twitter, οι εισβολείς απέκτησαν πρόσβαση στο λογαριασμό του twitter στην εταιρεία που ρυθμίζει τα DNS του και άλλαξαν τις IP's ώστε να δείχνουν σε δικές τους. Έτσι όποιος επισκεπτόταν το twitter.com για όσο διήρκησε η επίθεση, μεταφερόταν σε servers που είχαν προσδιορίσει οι επιτιθέμενοι και όχι σε αυτούς του twitter.

copy_of_Twitterhacked.jpg


Πάντως το twitter μέχρι στιγμής έχει πολύ κακό ιστορικό σε θέματα ασφάλειας, όπως μπορεί να διαπιστώσει κανείς εδώ και εδώ.

Περισσότερα για το θέμα στα:
http://www.techcrunch.com/2009/12/17/twitter-reportedly-hacked-by-iranian-cyber-army/
http://www.securityfocus.com/news/11569

2. Ιστορίες phishing και αν-ασφάλειας με αφορμή ένα SQL Injection

sql_injection.jpg

Το Rockyou.com είναι ένα απο τα πιο γνωστά προγραμματιστικά εργαλεία για sites κοινωνικής δικτύωσης, όπως τα Myspace και Facebook, παρέχοντας σε εκατομμύρια προγραμματιστές και χρήστες υπηρεσίες όπως διανομή βίντεο, δημιουργία και ενσωμάτωση εφαρμογών και στόχευση σε διαφημίσεις.

Μέσα στο Δεκέμβρη η εταιρεία ασφάλειας πληροφοριακών συστημάτων Imperva ειδοποίησε το RockYou για ένα πολύ σοβαρό SQL Injection που υπήρχε στο site. Η εταιρεία μετά ανακοίνωσε οτι το RockYou επικοινώνησε μαζί τους και τους ενημέρωσε οτι διόρθωσε το σοβαρό αυτό πρόβλημα. Μιας και το SQL Injection όμως υπήρχε ήδη στο site, μπορεί να υποθέσει κανείς οτι η βάση του είχε ήδη παραβιαστεί, για παράδειγμα στις 29 Νοέμβρη είχε σταλεί email σε underground λίστα με το proof of concept της εκμετάλλευσης του Injection. Έτσι, στις 15 Δεκέμβρη, σε ένα νευριασμένο blog post, ένας hacker με ψευδώνυμο igigi υποστήριξε ότι μέσω του SQL Injection είχε ήδη πάρει τη βάση του RockYou και δημοσίευσε μέρος των δεδομένων της βάσης το οποίο μάλιστα αποδείκνυε ότι το RockYou αποθήκευε usernames και κωδικούς σε απλό κείμενο! Ο igigi μάλιστα αναφέρει χαρακτηριστικά "μη λέτε ψέμματα στους πελάτες σας (προς το RockYou), γιατί θα δημοσιεύσω τα πάντα", ενώ στο post του περιέχει μέρος του σχήματος της βάσης δεδομένων καθώς και κωδικούς χρηστών, προς απόδειξη οτι η παραβίαση όντως έγινε.

 

Data UserAccount [32603388]

================

1|jennaplanerunner@hotmail.com|mek*****|myspace|0|bebo.com

2|phdlance@gmail.com|mek*****|myspace|1|

3|jennaplanerunner@gmail.com|mek*****|myspace|0|

5|teamsmackage@gmail.com|pro*****|myspace|1|

6|ayul@email.com|kha*****|myspace|1|tagged.com

...

 

Το περιστατικό είναι ιδιαίτερα σοβαρό, μιας και από τα 32 εκατομμύρια των κωδικών, η πλειοψηφία των χρηστών θα έχει ορίσει τους ίδιους κωδικούς και για τους προσωπικούς τους λογαριασμούς email, όπως Gmail ή Yahoo.

 

Αποτελέσματα

Με πρόσβαση στους προσωπικούς λογαριασμούς, ένας επιτιθέμενος μπορεί να προβεί σε μια σειρά ενεργειών:

1. Να αποσπάσει ιδιωτικές πληροφορίες για έναν χρήστη, όπως αριθμούς πιστωτικών καρτών, φωτογραφίες, εμπιστευτικές πληροφορίες, κωδικούς για άλλες υπηρεσίες, όπως web banking κτλ.

2. Να προβεί σε κλοπή ταυτότητας (Identity theft), μιμούμενος τον χρήστη του οποίου το email έχει παραβιάσει

3. Να χρησιμοποιήσει τη λίστα των αποσπασμένων email και των επαφών τους για αποστολή spam, που ούτως ή άλλως πρόκειται για μια από τις πιο κερδοφόρες επιχειρήσεις στο Internet Underground.

 

Συμπεράσματα

Από το περιστατικό μπορούμε να εξάγουμε μια σειρά συμπερασμάτων και πρακτικών.

1. Το RockYou πάνω απ'όλα δεν έπρεπε να πάσχει από SQL Injection. Το SQL Injection είναι από τις πιο γνωστές επιθέσεις σε Web applications και sites δυναμικού περιεχομένου, με πολύ σοβαρές συνέπειες για ένα site, όπως η παραβίαση ολόκληρης της βάσης δεδομένων.

2. Απ'ότι φαίνεται το RockYou κράταγε τους κωδικούς των χρηστών σε clear text για 2 λόγους: α)για να τους στέλνει στους χρήστες σε περιπτωση που είχαν ξεχάσει τον κωδικό, και β) μιας και πρόκειται για υπηρεσία proxy και Single Sign On, προς τα Myspace, Facebook κτλ. Το πρώτο είναι προφανώς λανθασμένη πρακτική, μιας και το email κυκλοφορεί σε clear text, και έτσι ανοίγει ένας ακόμα δρόμος να αποσπαστεί από τρίτους, αλλά και επειδή η συνηθισμένη πρακτική είναι να γίνονται encrypted τα passwords ώστε να είναι πιο προστατευμένα σε περίπτωση παραβίασης του συστήματος. Όσον αφορά το δεύτερο, μπορούμε να φανταστούμε ότι για μια υπηρεσία του επιπέδου του RockYou η ανάπτυξη συστήματος ώστε το SSO να λειτουργεί με encrypted passwords δεν είναι ιδιαίτερο πρόβλημα!

Όπως και να'χει υπάρχουν ενδείξεις ότι η λίστα κυκλοφορούσε (και κυκλοφορεί) σε underground κύκλους, για τη χρήση σε phishing attacks και spam.


Συμβουλές

Με αφορμή το περιστατικό μπορούμε να σημειώσουμε τα εξής βασικά, για :

χρήστες

1. Μη χρησιμοποιείτε τους ίδιους κωδικούς για περισσότερους από ένα λογαριασμούς (πχ email), ώστε αν καταφέρει κάποιος να παραβιάσει έναν να μην μπορεί να αποκτήσει πρόσβαση σε όλους.

2. Φροντίζετε να αλλάζετε κωδικούς κατά καιρούς και σιγουρευτείτε οτι δεν μπορούν να τους βρουν εύκολα.

προγραμματιστές

1. προστατεύστε τις εφαρμογές σας από σοβαρά προβλήματα τύπου sql injections.

2. Χρησιμοποιήστε frameworks που έχουν υψηλή ασφάλεια από default, όπως τα django και plone μεταξύ άλλων, που προστατεύουν από τέτοιου είδους επιθέσεις.

3. Μην αποθηκεύετε κωδικούς χωρίς κρυπτογράφηση!

Περισσότερα

http://hackingexpose.blogspot.com/2009/12/rockyoucom-sql-injection-flaw-issue.html

http://www.rockyou.com/help/securityMessage.php

 

3. Πρακτική (και φτηνή) υλοποίηση σπασίματος της ασφάλειας του GSM

 

gsmcracked.jpg

 

Στο 26ο συνέδριο CCC (Chaos Communication Congress) στο Βερολίνο που πραγματοποιήθηκε το διάστημα 27-30 Δεκέμβρη, ανάμεσα στις (ιδιαίτερα) ενδιαφέρουσες παρουσιάσεις, ήταν και αυτή των Karsten Nohl και Chris Paget που αφορούσε την επίδειξη πρακτικής επίθεσης στο σύστημα GSM (Global System for Mobile communications) και υποκλοπής τηλεφωνικών κλήσεων, με ιδιαίτερα χαμηλό σε κόστος εξοπλισμό. Γίνεται έτσι πραγματικότητα αυτό που έχει αποδειχτεί σε θεωρητικό επίπεδο εδώ και αρκετά χρόνια, ότι ο αλγόριθμος A5/1 που χρησιμοποιεί για κρυπτογράφηση το GSM δεν είναι αρκετός να προστατεύσει την ασφάλεια των κλήσεων, οι οποίες είναι ευάλωτες σε σειρά επιθέσεων (Cloning, spoofing, man-in-the-middle, decrypting, sniffing κτλ). 

Ο εξοπλισμός που χρησιμοποίησαν (USRP hardware) κοστίζει $1500 και το λογισμικό είναι ανοιχτού κώδικα (OpenBTS και Asterisk).

Η ομιλία και το βίντεο βρίσκονται στο
http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html, ενώ η έρευνα για την ασφάλεια του A5/1 των συγκεκριμένων ερευνητών βρίσκεται στο http://reflextor.com/trac/a51

Αξίζει να μεταφέρουμε εδώ αυτό που αναφέρουν οι ερευνητές στη σελίδα του project, "δεν αποσκοπούμε στην εκμετάλλευση των αδυναμιών αυτών, παρά θέλουμε να ενημερώσουμε για το γεγονός ότι οι κλήσεις μέσω GSM μπορούν ήδη να παρακολουθούνται και να αποκρυπτογραφούνται με χρήση εμπορικών εργαλείων".

Το Wikileaks χρειάζεται τη βοήθεια μας

Ο διάσημος δικτυακός τόπος εδώ και λίγες μέρες είναι κατεβασμένος, και στη θέση του έχει αναρτηθεί ένα μήνυμα που καλεί σε υποστήριξη χρηματική, τεχνική ή νομική.

Το Wikileaks έχει κατέβει προσωρινά και θα παραμείνει έτσι μέχρι τις 6 Γενάρη, αν και δεν δίνονται πολλές πληροφορίες. Πιο συγκεκριμένα το Wikileaks ζητά βοήθεια σε:

  • Τεχνικό επίπεδο, ψάχνουν προγραμματιστές και διαχειριστές συστημάτων, για να βοηθήσουν στην προσθήκη καινούργιου hardware, να γράψουν λογισμικό, ή να γίνουν διαχειριστές σε μέρος της υποδομής. Επίσης ζητούν δωρεάν server space, για περίοδο τουλάχιστον 12 μηνών. Επικοινωνία στο wl-supporters@sunshinepress.org.
  • Νομικό επίπεδο, χρειάζονται βοήθεια από δικηγόρους που μπορούν να αφιερώσουν λίγο χρόνο υπερασπίζοντας υποθέσεις που αφορούν την παγκόσμια δικαιοσύνη και την ελευθερία του λόγου. Επικοινωνία στο wl-legal@sunshinepress.org.
  • σε Οικονομικό επίπεδο, οποιαδήποτε δωρεά είναι απολύτως απαραίτητη για τη συνέχιση του εγχειρήματος. Επικοινωνία στο wl-supporters@sunshinepress.org.

Με μότο "We help you safely get the truth out", το Wikileaks είναι ένας δικτυακός τόπος που λειτουργεί από το Γενάρη του 2007 και δημοσιεύει ευαίσθητα, απόρρητα και εμπιστευτικά έγγραφα και διαρροές από κυβερνητικό και εταιρικό υλικό από οποιαδήποτε χώρα του κόσμου, διατηρώντας την ανωνυμία του προμηθευτή του υλικού. Το Wikileaks επιτρέπει δηλαδή να βγεί στην επιφάνεια υλικό που πολύ δύσκολα θα έβγαινε διαφορετικά.

Τεχνολογία

Το Wikileaks λειτουργεί πάνω στην πλατφόρμα Mediawiki, που χρησιμοποιεί και το Wikipedia. Μέσα σε ένα χρόνο από τη λειτουργία του, δέχτηκε πάνω από 1.2 εκατομμύρια έγγραφα, ενώ τον Ιούνιο του 2009 διέθετε πάνω από 1.200 εγγεγραμμένους εθελοντές. Το Wikileaks επιτρέπει στους αποστολείς του υλικού να στέλνουν κείμενα ανώνυμα και χωρίς να μπορούν να εντοπιστούν. Για να διασφαλίσει ότι τα άτομα που στέλνουν τα κείμενα δεν θα καταλήξουν στη φυλακή, διωκόμενοι από τις χώρες τους για δημοσίευση απόρρητων πληροφοριών, το Wikileaks στηρίζεται σε τεχνολογίες ελεύθερου λογισμικού, όπως τα Tor, Freenet και PGP.

Ορθότητα των διαρροών

Όπως διακηρύττει το Wikileaks, δεν έχουν δημοσιεύσει ποτέ παραποιημένα ή ψεύτικα έγγραφα. Οποιοδήποτε κείμενο αξιολογείται πριν δημοσιευτεί. Στην πιθανότητα οι διαρροές να είναι αποπροσανατολιστικές ή επιτηδευμένα ψεύτικες, έχει απαντήσει ότι οι ψεύτικες διαρροές είναι μέσα στην καθημερινή ατζέντα των μεγάλων ΜΜΕ. Αυτό που υποστηρίζει είναι ότι μια παγκόσμια κοινότητα ενημερομένων χρηστών και διαχειριστών είναι ο πιο αποτελεσματικός τρόπος για να αναλύονται τα κείμενα-διαρροές και να αποφεύγεται το ψεύτικο υλικό.

Διάσημες διαρροές

Στη βάση του Wikileaks υπάρχει ένα πλήθος κειμένων και εγγράφων. Το υλικό μπαίνει σε κατηγορίες ανάλογα με τη χώρα που αφορά και είναι διαθέσιμο προς αναζήτηση. Μέσα από το Wikileaks μάθαμε για τις παράνομες δραστηριότητες (πχ ξέπλυμα χρημάτων) της Ελβετικής τράπεζας Julius Baer, για τις οδηγίες μεταχείρισης των κρατουμένων στη φυλακή του Γκουαντανάμο, από τον αμερικανικό στρατό, μέσω του εγχειριδίου που διέρρευσε, για έγγραφα που αποδεικνύουν τη μόλυνση του περιβάλλοντος από μεγάλες πολυεθνικές και σκόπιμες παραλείψεις αυτών, και πολλές άλλες υποθέσεις.

Σημείωση: μέχρι τις 6 Γενάρη που το site δεν λειτουργεί, μπορείτε να επισκέπτεστε το mirror στο http://mirror.wikileaks.info, με περιορισμένη λειτουργικότητα.

Εισαγωγή στο Plone και δημιουργία portal

 

p.jpg

Στο tutorial που ετοιμάσαμε θα δούμε πώς μπορούμε να εγκαταστήσουμε το Plone μέσω του Installer μέσα σε λίγα λεπτά και με τον ελάχιστο κόπο.

Για τις ανάγκες του tutorial, θα δημιουργήσουμε έναν εικονικό σύλλογο, τον Περιπατητικό σύλλογο "Η Αστράκα". Στο portal αυτό θέλουμε να βάλουμε τις πληροφορίες και τα νέα του συλλόγου, επόμενες εκδηλώσεις και πληροφορίες συμμετοχής, φωτογραφίες από παλαιότερες αναβάσεις, καθώς επίσης και διαδρομές και μονοπάτια.

Θα δούμε πώς μπορούμε να αλλάξουμε τη γλώσσα και βασικές ρυθμίσεις (όπως η προσθήκη χρηστών), πώς μπορούμε να ανεβάζουμε φωτογραφίες που να προβάλονται σαν μικρογραφίες, τις default προβολές του συστήματος για σελίδες/ειδήσεις, ενώ γίνεται αναφορά στα portlets, στην εξελιγμένη αναζήτηση, στα workflows και στις καταστάσεις.

Τελικά το portal που θα δημιουργήσουμε στο tutorial θα μοιάζει ως εξής:

end.jpg


end2.jpg

 

Διαβάστε εδώ ολόκληρο το tutorial.

CMS award για το Plone στο διαγωνισμό της Packt Publishing

Στον ετήσιο διαγωνισμό της Packt Publishing, το Plone κέρδισε για δεύτερη συνεχή χρονιά την πρώτη θέση στην κατηγορία "non-PHP-based open-source CMS".

Ο καθιερωμένος ετήσιος διαγωνισμός του εκδοτικού οίκου Packt Publishing, ανέδειξε το Plone μεταξύ των νικητών. Το Plone κατέλαβε την πρώτη θέση στην κατηγορία "non-PHP-based open-source CMS", με βραβείο $2000 τα οποία θα διατεθούν στο Plone Foundation. Στην ίδια κατηγορία τη δεύτερη και την τρίτη θέση κέρδισαν το Java-based dotCMS, με έπαθλο $500, και το .Net-based mojoPortal, με έπαθλο $500.

Ο διαγωνισμός της Packt Publishing για τα συστήματα διαχείρισης περιεχομένου ανοιχτού λογισμικού (Open Source CMS) περιλαμβάνει τέσσερις ακόμα κατηγορίες:

  • Καλύτερο PHP CMS Ανοιχτού Κώδικα: ο νικητής θα ανακοινωθεί στις 10 Νοέμβρη
  • Πιο υποσχόμενο CMS Ανοιχτού Κώδικα: ο νικητής θα ανακοινωθεί στις 11 Νοέμβρη
  • Hall of Fame: ο νικητής θα ανακοινωθεί στις 12 Νοέμβρη
  • Καλύτερο Συνολικά CMS Ανοιχτού Κώδικα: ο νικητής θα ανακοινωθεί στις 13 Νοέμβρη

Η φετινή είναι η τέταρτη χρονιά που ο συγκεκριμένος διαγωνισμός λαμβάνει χώρα. Περισσότερα σε αυτήν τη σελίδα.

unweb.me @ Plone conference 2009, Βουδαπέστη

Το μεγαλύτερο γεγονός για το Plone έλαβε χώρα από τις 26 Οκτωβρίου έως την πρώτη Νοέμβρη στην πανέμορφη Βουδαπέστη!

Πρόκειται για το ετήσιο Plone Conference, στο οποίο συγκεντρώθηκε η κοινότητα των προγραμματιστών του Plone για ένα 7ήμερο ομιλιών, workshops και φυσικά sprints, όπου οι developers είχαν την ευκαιρία να δουλέψουν στα αγαπημένα τους projects.

Οι σύνεδροι

Η unweb.me έδωσε το παρόν στο Conference και έλαβε μέρος στο Plone Video Sprint, μετά απο πρόσκληση της Engagemedia η οποία αναπτύσσει το Plumi. Η συνεισφορά της unweb.me στο Video Sprint ήταν η ανάπτυξη του TranscodeDaemon, ενός ευέλικτου server που μετατρέπει τα βίντεο σε κατάλληλα formats (flv, ogg, κ.α.), ώστε να μπορούν να ενσωματωθούν σε σελίδες στο web.

Την πρώτη μέρα του συνεδρίου άνοιξε ο ιδρυτής του Plone, Alexander Limi, όπου παρουσίασε το roadmap για τις επόμενες εκδόσεις του Plone, 4 και 5. Οι εκδόσεις αυτές θα βελτιώσουν το Plone 3 σε σημαντικούς τομείς, όπως η ταχύτητα και η υποστήριξη για μεγάλα αρχεία, θα υποστηρίζουν by default το Dexterity για δημιουργία content types μέσω του web interface, καθώς επίσης το Deliverance, ως ένα πρωτοποριακό τρόπο για εύχρηστο theming.

O Alexander Limi στην πρώτη ομιλία του συνεδρίου

Ένας από τους στόχους του Plone foundation για το επόμενο διάστημα είναι η προώθηση του Plone σαν μια σταθερή, ασφαλή και στιβαρή πλατφόρμα για επαγγελματικά συστήματα. Στην ομιλία του ο Limi δεν παρέλειψε να αναφέρει ότι το Plone δεν ανταγωνίζεται άμεσα τα ιδιαίτερα δημοφιλή php CMS (Joomla, Drupal, Wordpress), μιας και τα συστήματα αυτά απευθύνονται σε άλλη αγορά, με χαμηλότερες απαιτήσεις. Οι ανταγωνιστές του Plone είναι τα εμπορικά Content Management Systems όπως τα Vignette, Alfresco και φυσικά το SharePoint.

Η 2η μέρα του συνεδρίου μας βρήκε να παρακολουθούμε την παρουσίαση του Godefroid Chapelle για το GenericSetup,το Ricardo Alves να μας μιλάει για το debugging στο Plone και τους διαφορετικούς τρόπους να ανακαλύπτουμε τι φταίει στην εφαρμογή μας και τον Nate Aune να μας μιλάει για το Deliverance, την πρωτοποριακή πλατφόρμα του Plone για τη δημιουργία themes.

Η 3η μέρα του συνεδρίου ήταν ένα Open Space ή unconference. Συμμετείχαμε σε συζητήσεις για τη διαχείριση projects όπου απαιτείται η δημιουργία δεκάδων υπο-sites και την παρουσίαση του νέου συστήματος για την προσθήκη σχολίων σε Plone based sites (plone.app.discussion) που πιθανότατα θα ενσωματωθεί στον πυρήνα του Plone στην έκδοση 4.1.

Όλες οι ομιλίες που παρακολουθήσαμε είχαν ιδιαίτερο ενδιαφέρον. Ενδεικτικά αναφέρουμε τις εξής:

  • A case study of Plone in a large enterprise by Laurence Rowe
  • Plone Testing Tools and Techniques by Jordan Baker
  • Moving mountains, how Plone is improving Oxfam's equipment procurement in humanitarian emergencies by Duncan Booth
  • Complex CSS layout made easy by Alexander Limi
  • Building Content Types with Dexterity by David Glick
  • Hardening Plone, A Military-Strength CMS by Kees Hink
  • Euphorie: combining grok, dexterity sql content in a single application by Wichert Akkerman
  • From design to Plone site - xdv-driven Plone theming by Denys Mishunov
  • Deliverance - a compelling way to theme Plone sites by Nate Aune
  • Why open source works, and open anything does too by Lennart Regebro
  • Helping the Government Go Plone by Chantal Foster and Alex Sielicki

Μετά το τέλος του συνεδρίου ακολούθησε το καθιερωμένο Plone Sprint όπου 100 περίπου developers χωρίστηκαν σε ομάδες εργασίας και συνεργάστηκαν για να αναπτύξουν core ή side products του plone, να γράψουν tests, να αναβαθμίσουν products στην έκδοση 4 κ.α. Η unweb.me συμμετείχε με 3 προγραμματιστές στο 4ήμερο Video Sprint και κέρδισε τις εντυπώσεις παρουσιάζοντας την καλύτερη μέχρι στιγμής open source λύση για το δύσκολο πρόβλημα του video transcoding.

Video sprint

Ο πηγαίος κώδικας που γράψαμε είναι διαθέσιμος εδώ και εδώ σε άδεια GPL, και θα αποτελέσει τμήμα της WebTV πλατφόρμας που αναπτύσσουμε. Στο επόμενο διάστημα θα διορθώσουμε όσα bugs απομένουν και θα γράψουμε σχετικά tutorials που θα βοηθούν όποιον θέλει να στήσει έναν TranscodeDeamon server.

Ο TranscodeDaemon δεν εξαρτάται από το Plone, λειτουργεί με απλά XML-RPC calls και μπορεί να χρησιμοποιηθεί σε συνδυασμό με οποιαδήποτε πλατφόρμα, ενώ έχει προβλεφθεί η δυνατότητα καταμερισμού του σε πολλά μηχανήματα για sites με χιλιάδες βίντεο, με την βοήθεια ενός load balancing component το οποίο αναπτύσσουμε.

Μας έγινε και η πρόταση να φιλοξενήσουμε το επόμενο Plone Video Sprint στην Αθήνα, κάποια στιγμή μέσα στο 2010. Θα το αξιολογήσουμε και εφόσον αποφασίσουμε να το προχωρήσουμε θα επανέλθουμε με νέα ανάρτηση και κάλεσμα σε open source developers που θέλουν να συμμετέχουν.

unweb.me @ Athens Digital Week '09

Athens Digital Week (ADW) is a 5 day technology event held in Technopolis, at the center of Athens. It is very promising that one of the nine areas of interest in ADW, is Open Source! The Open Source session was organized on Friday 16th. Unweb.me was invited to give a presentation, titled "Open Source and Security".

In our presentation we tried to make clear that Open Source is more secure, not only because code is open to everyone to read, so bugs and vulnerabilities will eventually be found, but (maybe) more importantly because programmers have to comply with standards to get their code accepted. We also stated that the argument "closed source is more secure because code is a secret" is Nonsense, because there is a plethora of tools available (decompilers, disassemblers, fuzzers etc) that will eventually reveal bugs in closed source. Harder, true, but still vulnerabilities will be found.

On the second part of our presentation, we gave a quick overview of a few successful open source programs related to IT security (backtrack, openssh, tor, aircrack-ng) and noted that these programs often provide 99.x % of what closed source equivalents provide.

The panel also included presentations from owasp.gr (Greek chapter of OWASP), Microsoft Hellas and Athens University. We were lucky to attend Mr Kiagia's presentation on cryptography, where he explained with an intuitive way, why cryptography with closed source programs is a really bad idea.

After the presentations were finished, open discussion took place, where some interesting issues were raised by the audience. For example one attendee asked what needs to be done in order open source to be adopted in Greece. From our side we strongly believe that public sector needs to adopt standards, systems and applications built with open source software. This seems to be the trend in developed European countries after all!

In any case, it has been an interesting Friday night, and it is really promising that Open Source was one of the main areas on such a big event.

Find here our full presentation.