CSS3.info weet te melden, voordat er ook maar enige melding is gemaakt op WebKit's eigen weblog Surfing Safari, dat WebKit in recente nightly builds de eerder voorgestelde CSS variabelen ook daadwerkelijk implementeert.
Een tijdje geleden hadden we de Month of PHP Bugs, maar deze keer is het Ruby die er van langs krijgt. Het Security Team van Apple heeft namelijk 5 serieuze lekken in Ruby gevonden.
Van het weekend was ik aan het spelen met de Twitter API en liep, ondanks een caching constructie, op een gegeven moment toch tegen het rate limit aan; je mag vanwege de performance problemen eerder dit jaar momenteel max. 20 requests per uur naar de Twitter API doen.
De Twitter API geeft dit aan met een HTTP 400 response code. Ik kon dit alleen niet goed detecteren want fopen() retourneert alleen maar FALSE en ik wilde graag de daadwerkelijke HTTP response code hebben.
Het feit dat je PHP dan toch al behoorlijk wat jaartjes gebruikt houdt niet in dat PHP dan ook geen verrassingen meer voor je heeft. Sowieso aangezien er behoorlijk wat toegevoegd wordt aan PHP, maar ook omdat er soms gewoon rare, verstopte, dingen in PHP zitten. Het detecteren van de HTTP response headers bij een mislukt HTTP request is daar wat mij betreft een van.
Vandaag brengt CollabNet, de hoofdsponsor van Subversion, het heugelijke nieuws dat de langverwachte nieuwe versie van Subversion, subversion 1.5, sinds vandaag beschikbaar is.
Sinds de PHP group het wiki gebruikt om o.a. voorstellen tot uitbreidingen van de PHP taal te verzamelen lijkt het wel voorstellen te regenen ook. Eerder hadden we al voorstellen voor Taint mode (waar het akelig stil over blijft, overigens) en Traits. Gister kwam daar een derde bij namelijk een voorstel voor closures & lambda's door Christian Seiler.
Na ongeveer 2 jaar na het uitbrengen van Firefox 2.0 is het dan tijd voor de opvolger: Firefox 3.0 is vandaag uitgebracht. Firefox 3.0 brengt een hoop nieuwe dingen, voor zowel de gebruiker als de developer. Een greep uit de nieuwe features!
Google heeft in Mei haar eigen developer conference gehouden genaamd Google I/O. Tijdens deze 2-daagse conference bespreekt Google manieren om met hun producten, zoals Gears, Google Maps, Andriod, etc. te werken.
Van dat evenement zijn nu van ruim 70 talks (!) de video's en slides gepost, zodat de rest van de wereld ook nog wat mee kan krijgen van het evenement. Een kleine greep uit de video's:
Afgelopen vrijdag en zaterdag vond de tweede Dutch PHP Conference van iBuildings plaats in de Amsterdam RAI en net als vorig jaar was ik er bij.
Dit jaar was alles iets groter opgezet dan vorig jaar. De conference duurde twee dagen, 1 tutorial day met in-depth sessies over een bepaald onderwerp en de tweede dag met kortere sessies maar wel erg bekende sprekers, zoals Zeev Suraski van Zend en Marco Tabini van PHP|Architect.
Vandaag heeft Opera Software de laatste versie van haar desktop browser uitgebracht: Opera 9.5 die tot nu toe bekend stond onder de codenaam Kestrel. De Opera browser suite bestaat niet alleen uit een browser maar ook uit een Mail client, BitTorrent client en IRC client. De nieuwste versie van Opera zit barstensvol updates voor zowel de gebruiker als de developer.
Een werknemer van Mozilla heeft een nieuwe voorstel uit gebracht dat het gevaar van Cross Site Scripting (XSS) en Cross Site Request Forgery (CSRF) moet beperken. Het voorstel beschrijft namelijk manieren om op te geven welke hosts / domeinen bijv. Javascript mogen aanleveren of juist een bepaald request mogen uitvoeren. Mocht er een situatie voorkomen waarbij een van deze regels doorbroken zou worden (bijv: een niet toegestane host probeert request uit te voeren), dan kan de site ook een URL opgeven waarnaar een rapport gestuurd moet worden.
Site Security Policy provides a way to greatly reduce or altogether eliminate a website's attack surface for Cross-Site Scripting. With proper Site Security Policy in place, a successful XSS attack will require the attacker to have control over the contents of white-listed script source files. No longer will XSS attacks which rely on echoing script into page contents be effective. Further, if a site knows it never want to have JavaScript executing in its pages, it can simply globally disable JavaScript and not have to worry about script injection attacks against its users with supporting browsers.
Site Security Policy also provides a simple way for a website to prevent Cross-Site Request Forgery against its sensitive resources. A comprehensive CSRF protection mechanism, such as form token checking, can be complicated to implement and difficult to integrate into an existing web application. Such a mechanism may even be subject to its own security bugs. Even a properly implemented CSRF-protection-token system will not stand up in an environment with XSS bugs. Web sites facing these challenges can utilize Site Security Policy to harden themselves against attack and achieve a higher level of confidence in the security of their systems with an added layer of security. Websites will be able to fully control who can request resources from outside the site and what remote locations should be reachable by content from within the site.
Het voorstel is compleet met voorbeelden van syntax en zelfs een Firefox Addon waarin het voorgestelde reeds is geimplementeerd. Wat denk jij, zou een dergelijke beveiliging vanuit de browser helpen, of moet de focus toch meer bij de ontwikkelaars blijven liggen?
on PHP5: Een formulier verwerken met de filter extensie
on Debuggen met FirePHP
on Gears 0.4: HttpRequest met Progress Events
on XHTML vs HTML 5
on Dutch PHP Conference ‘09
Volg Scriptorama via RSS!