grep -i "찾을 문자" 해당 파일

찾을 문자에 해당하는 것을

대소문자 구분 없이(-i)

해당 파일에서 찾습니다.
Posted by Parker Falcon
이런 사이트가 있다니

정말 짱이다 ㅠㅠb

http://www.htaccesseditor.com/kr.shtml
Posted by Parker Falcon
이게뭐냐.. PHP로 발코딩...

그래도 덕분에 Google doodle은 다 받았네 :)
Posted by Parker Falcon
질문 - 외부페이지 검색은?
답변 - 사람들이 요구가 많다. 하지만 개발이 끝이 아니라 UI편이성이나 디자인등의 과정이 힘들다. 그래서 만드는데 오래 걸린다.
디자인이나 기획등에 대한 인원이 추가될 예정이므로 전문가들과 함께 해서 좋은 프로그램이 나올 것 같다.

외부페이지 검색도 다음달 중에는 추가하도록 하겠다.

어떻게 하더라도 결국은 모두가 참여하는 것이 답이다.

질문 - DW2004를 사용하는데 CS를 추천한다. MX와의 차이는???
PHP4 와 PHP5의 차이점은?


답변 - 드림위버는 다른분이, PHP5는 버전이 높아졌다.
처음에는 간단한 언어였는데, OOP적인 요소가 증가했다.
Java등에 비해서 아직 많은 부분이 부족하지만, PHP4보다는 좋아졌다.

답변2 - DW8까지는 CSS2.0을 지원하고 CS3부터 CSS2.1을 지원한다. 완전한 표준은 아니지만 대부분의 브라우저에서 지원하고 잇어서 사용하면 무방하고, DW8, MX에 비해서 자동 완성이 좋아졌다. DW의 위지윅이 정교해지고 표준에 맞게 개선이 되고있다. 이런면에서 좋아졌다.

질문3 - 웹 표준, activeX가 안될 예정이다(?) 이유와 어떤 대안이 있는가?
답변3 - MS가 activeX를 가져가면서 다른 browser에게 기회를 제한한다는점. 그 점을 인정한것같다.
대안은, 경우에 따라서 다르지만, 민원신청 때 자신의 개인 인증을 받는데 activeX를 사용한다.
사용하지 않아도 된다.
부가 - activeX가 없어도 다 가능하다.

질문4 - 모듈을 만들 때
확장 변수등을 이용해서 db에 넣고 빼고 싶은데, 새로 db를 사용할까라고 생각해보았다. 어떻게 하는가?
확장변수라는게 db schema차원에서 변형하지 않는 이상 문제가 된다. 넣기 싫었지만 억지로 넣었다.
예를 들어서 이력서를 만들고 싶으면 그에 맞는 module을 만드는게 맞고, 그래서 모듈 만드는 방법을 만드는게 좋다.
그런 모듈을 만듦에 있어서 지식의 전달이 필요하다.
최대한 도움을 줄 수 있도록 하겠다.
질문4(ㅅㅁㄷ기자님) - spam문제. 일반 게시판이나 그런게 문제다.
트랙백이 default가 false이다. 부정적으로 생각하는가?
호환이 안된다. tatter tools쪽에서 잘 안된다.
소통 기능이 잘 안되는데 어떻게??

+제안 - 블로그 툴을 사용하시는 입장에서는 처음에 게시판만 달랑 있는건 힘들다.
template가 좀 더 좋으면 좋겠다. 그대로 쓰면 되니까
계획은?


답변 - 스팸은 소프트웨어적으로는 힘들다. 숫자이미지등 기법이 있다. 이것은 추가 개발 예정이다. 나는 부정적이다. 하지만 대책이 필요한것은 맞다. 스펨센터등과 연계해야겠다. 아직은 손을 더 못데고 있다.
트랙백은 처음에 열어 놨는데, 싫어하는 분들이 많아서 default를 닫았다. RSS를 푸는것을 싫어하시는 분들도 계신다.
traffic이 안가는게, 3분마다 주소가 바뀐다. 그 문제가 아닌가?
zbxe가 아직 개발자적으로 나열만 했는데, 이제 그 방향으로도 추가 할 예정이다.
blogXE등등으로 나올지도 모르겠다.
tatter tools도 좋아한다. 다른 진형에서 오픈했을때, 좋은 것이면 같이 사용할 예정이다. 댓글알리미도 다른 분들과 함께 할수있게 공개한것.
소통은 환영이다.

질문 - 디자이너 입장에서 skin이 어려워졌다.
답변 - 힘든것은 나도 인정한다. 하지만 zb4의 폐단을 막기위해서는 어쩔수 없이 이렇게 가야된다.

질문 - zbXE 에서 wiki에 대해서..
답변 - 게시판은 열었는데, 아직도 wiki에 대해서는 이해가 부족하다.
1년이 지나도 안생겨서 다들 지친다. springnote를 연동해서 사용할 수 있다. mediawiki까지는 아니라도 문서가 작성 관리하는정도로 계획중이다. 일단은 간단한 구조로 만들어질것같다. 만들고 싶은것인것은 맞다.
질문 - 동영상강의 모듈은?
답변 - 나는 모른다. 동영상강의 시스템에 필요한 지식이 부족하다. 필요하다면 기획부터 해서 만드는게 좋을수도 있다. open source project는 개발자만의 것이 아니라 모두가 참여하는 것이기 때문에, 필요하다면 기획안을 만들어라.


질문 - 모듈을 고치면 어떻게 유지하는가
답변 - SVN을 이용하면 된다.
좋은 기능이면 공개해주면 포함시켜주겠다.

질문 - 드루퍼(?)를 사용했었는데 부하가 컸다. XML를 이용한 추상화는 계속 할 것인가?
답변 - 그렇다. 그렇게 하면 최적화를 사용할 수 없다.
성능과 확장성에서 나는 확장성을 선택했다.
복잡한 쿼리는 추가할 예정이다.
추상화 방법은 추후에 다른 언어들처럼 나아지면 좋아질것이다.
지금 당장은 기능이 많이 부족하다.
XML을 caching시키기 때문에 차이가 크게 미비했다.
DBMS별 최적화는 계획중이다.

질문 - 문서화쪽의 의견 -
zb4를 쓸때는 첨부파일을 올리면 사진이 올라가는데
zbxe의 본문첨부는 적응을 못한다.

답변 - 하반기에 모듈 나와서 괜찮아질듯

질문
- 관공서 초중고 홈페이지 제작회사 다니는데
개인보호 / 저작권 / 표준화 / e-learning 컨텐츠가 중요하다.
zbxe를 사용한다고 접근성이 좋아지는가?
i-pin서비스 사용하는데 어떤가?
학원 강의 - LMS를 개발중이다. 잘 쓸수 있을까?
주문형 페이지 - 학교 홈페이지가 호환이 안되는데 해결할 수 있는가?
보안은 ?

답변 -
i-pin / 가상주민등록번호 : 인증 시스템은 add-on으로 구현가능
접근성 : 웹 표준이 추구하는바와 법이 추구하는 바가 다를 수 있다.
FLV : 서버에 프레임워크를 구축해야된다. 다만 구현하는게 어렵지는 않다.
보안 : KISA와 zb4때부터 계속 이야기 하고 있다. supporting해준다고는 했는데, 요즘은 연락이 뜸하다. 최선을 다하고 있다. 하지만 보안은 언제든지 문제가 생길수 있다. 다만 빨리 해결할 수 있지만 근거자료가 되지 않아서 아쉽다.

오늘 모임 수고하셨습니다!!
Posted by Parker Falcon
웹 표준에 관한 조훈님의 발표가 시작되었습니다.

웹에 기원한 설명중입니다.

간단한 역사에 대해서 설명중입니다.

90년대 초반에는 광고/홍보의 대상이었습니다.

처음에는 img tag가 없었는데 나중에 이런 요구에 의해서 추가되었답니다.

HTML + CSS + DOM/JS로 돌아갈 때 여러가지 문제가 있어서
W3C에서는 웹 표준을
(X)HTML + CSS + DOM + ECMA Script 로 정했습니다.

상호 운용성이라는것이 있습니다.
H/W나 S/W등 환경이 다르더라도 제공하는 정보를 동일하게 구현하는 내용을 이야기 합니다.

즉 환경에 구애받지 않는다는 것이죠.
그와 함께 나오는 것이 cross browsing인데, 다양한 브라우져들에 버전에 크게 구애받지 않고 최대한 동일하게 나오는것을 이야기합니다.
pixel단위까지 동일할 수는 없다는것은 미리 알려드립니다.

접근성과 상호운용성과 크로스브라우징이 같은 것은 아닙니다.

두번째는 웹표준의 오해와 진실에 관한 이야기 입니다.

웹표준을 준수하면 상호운용성이 향상된다?
웹 표준을 준수한다고 모든 브라우저에서 다 똑같이 나오는것은 아닙니다. 그리고 상호운용성이 보장되는것도 아닙니다. 왜냐하면 출력하는 엔진의 구조가 다르기 때문입니다(?)
하지만 표준을 준수한다면 그렇지 않을 때 보다 적은 노력으로 좀 더 나은 결과가 나옵니다.

웹 표준을 준수하면 웹 접근성이 향상된다?
필수조건이지만, 충분조건은 아니다. 여러가지 신체적 차이로 화면을 잘 인식할 수 없는 문제들도 고려해야된다.

웹 표준을 준수하면 화면 출력 속도가 향상된다?
항상 맞는말은 아니다.
브라우저 버전 마다 차이가 있을수 있다.

웹표준을 준수하면 디자인 품질이 감소된다?
과거의 잡지책들은 다단 구조로 이루어져 있다. 하지만 최근에는 양면을 활용한 layout등이 있어서 위치를 넘어서 자리잡고 있다(?)
즉 과거의 table기반의 디자인에서 position위주로 넘어간다. 이런 부분에서 디자인이 웹 표준에 의해서 감소되지 않는다.
(조금 이상한 비유인가요?)

웹표준은 배우기 어렵다?
많은 분들이 제로보드를 4~5년전부터 사용하셨을텐데요.(정말요 ㅠㅠ?)
이미 알고 있는 지식을 수정하는데 어려움이 있다는 이야기를 하시기 위해서
대학생과 유치원생에 대한 영어 교육 난이도의 차이에 관한 이야기를 비유해서 설명하셨습니다.
웹표준은 쉽게 배울수 있답니다.

웹 표준 쉽게 익히기 파트 입니다.

가장 쉬운 방법은 다른사람이 만든 코드를 참고하는 것 입니다.

점토인형 제작, 화룡점정
즉 처음부터 잘하지 말고, 큰 것 부터 만들어서 작은것을 따라가자

Generalist vs Specialist
5년전과 현재의 기대치가 다르다. 혼자서 다 하기 힘들다.
분배해서 주변의 사람들에게 도움을 요청하거나 참고해라.

인간은 도구를 사용하는 유일한 동물이다.
도구를 잘 활용해라.

주고 받는 두레의식, 정보공유
여러분들이 가지고 있는 정보를 공유하는것이 필요하다. 한글로 된 자료가 부족하기 때문에 여럿이서 같이 해야된다.

먼저 찾아 보고, 물어 보고
모든 논문의 기본은 참조이다. 고민의 솔루션이 대부분이 있다. 찾아보고 안되면 옆에사람에게 물어보고, 그래도 안되면 물어보세요.
제로보드와 웹 표준
- 분업과 협동

우리는 사회적인 동물이기 때문에 분업이 중요하다.
분업을 하고 협동을 하는게 필요하다고 본다.

- 밀어주고 끌어주기

적정한 수준에서 할 여지를 주어야된다.

- 누구나 쉽고 빠르게 정보 생성과 공유
이렇게 되었으면 좋게다.

발표는 끝났고, 질문을 받고 계십니다.

질문 - activeX가 필요하는경우는?
답변 - 안쓰는게 좋다

질문 - 웹표준을 통해서 상호운용성등과 같은 웹에서 중요한 가치를 위한것이라고 생각하지만, 만병통치약은 아니라는것을 알았다. 어떤 목적에 의해서 어떻게 결정하며 어떻게 나아가는지 궁금하다.
답변 - 상위 호환성이 중요하다(?) 어떠하더라도 우리가 만든 코드들이 앞으로 나올 브라우저에서도 잘 나오는것이 중요하다. 하지만 legacy에 대해서는 적당히 선을 긋는 것이 필요하다. 결과적으로 모든 호환성을 잡을 수는 없으나 상위호환성에 좀 더 가치를 주는 것이 필요하다.
만병 통치약은 아니라는 말씀을 하고싶었다.
(충분조건은 아니지만 필수조건이라는 나의 잡생각도 추가)

질문 - 간단한 건의
닉네임에 대한 관리자의 선별?
다른 언어로 페이지를 만들었을 때 게시물들이 따라 움직이지 않아서 온란스럽다.
(잠시 제로님의 interrupt)

질문 - 슬라이드중에 웹표준을 따르면 출력속도에 관한질문입니다.
웹 표준을 따랐을 때, table과 div로 했을 때, css를 내부파일, 외부파일로 했을때 속도의 차이가 어떠한지궁금하다.
답변 - 자세한 값은 검색 사이트에 있다.
예를 들어서 성적표를 만들 때 table을 만들 때 browser에서 parsing을 하고 출력해준다. 하지만 div등을 쓰면 바로바로 읽고 출력해준다. 많은 분들이 보기에는 table처럼 한번에 출력되는게 좋다고 하고, 어떤 분들은 div처럼 바로바로 출력되는게 좋다고 하는데, 취향 차이이다.
css의 external 과 내부에 있을 경우 큰 차이는 없는데 배경그림에 대해서 문제가 생길 수 있다.
css를 통해서 배경이미지가 느리게 나올수도 있다(?)
모든 브라우저가 그렇지는 않다. Opera나 FF3에서는 구조/내용 표현을 분리해서 처리하려고 한다.
IE6은 2002년이었는데, 당시에는 크게 고려되지 않았다.
질문 - 일반 출력 순서를 했을 때 css를 내부/외부로 하는데 차이가 있나?
그렇다(?)

질문 - 웹표준의 validate를 받을 수 있는데, 받았다면 인증받은건지?
답변 - 웹표준을 준수하고, mark-up을 준수했다는 것이 자랑은 아니다. html + css + script를 분할한 것과 는 무난하다. 다만 기술적인 면에서 mark up을 준수했다는데 의미가 있다. 필수사항중 하나이다.

질문 - 메모장 보다 좋은 도구를 추천해주십시요.
답변 - 개인적으로 다르지만, dreamweaver를 추천(2004이후), 또는 유사한 open source프로그램도 있다.

Posted by Parker Falcon
이제 곧 2부 모임을 위해서 한승엽님께서 준비중이십니다. - 15:26

여기 저기서 MacBook의 부팅 소리가 나네요 ^^;

MBP도 보이네요.

이제 시작합니다.

제로보드에 구성에 대해서 발표를 하십니다.

zb4와의 비교

기능을 분할했다는 차이
interface로 db에 접근
그러므로 유연해졌다.

새로 생긴 기능?

module, widget, addon, query XML, trigger, template??

설명하고 계십니다.
Posted by Parker Falcon
이제 막 모임을 시작했습니다.

고영수님께서 발표하시네요 :)

Zeroboard의 역사(?)에 대해서 이야기하고 계십니다 - 14:28:50

괜찮은 스킨들이 올해 하반기쯤 나올것으로 추측? - 14:38

블로그 기능도 추가될거랍니다. - 14:41

몇 가지 이야기 더 해주시고 발표 마치셨습니다. - 14:49

상품이 있으니까 질문을 바로 해주시네요 ^^ - 14:50
- 블로그 상태에서 검색이 잘 안된다.
- 리스팅에 문제가 있다(?)
라는 질문을 해주셨습니다.
그리고 NaverCam을 받으셨네요.
20개나 준비되었다고 하십니다.

답변 - 블로그는 제작에 잘 못했다.
이제 열심히 버닝하겠다. 의견을 통해서 참여해주면 좋겠다.

백성찬님 질문 -
1. mobileXE에서 읽기만 되고 쓰기는 안된다.
답글도 못단다. 언제쯤 지원할 예정인가?

2. 예전부터 기대하는 쇼핑몰 모듈은 어떻게 되는가?

제로님 답변 -
일단 선물 드리고 +_+

모바일 같은경우는 기대를 많이하셨는데,
처음애 모바일에 대한 지식을 얻었을 때 WAP밖에 없었는데,
아직은 시험버전이고, 사이트를 실질적으로 활용하기보다는, 잘 돌아가는가에 대해서
알아보기 위해서 개발한 것이다.
아직 지식이 부족하고, 찾아서 개발하면 되기는 하는데 전문 분야는 아니므로 오래 걸릴 예정이다.
누군가가 선듯 나와서 도와주시면 좋겠다.
일본에서 핸드폰으로 보는데 댓글도 볼 수 없어서 답답했다.
누군가가 같이 개발해주시는게 어떤가?
그리고 요즘에는 풀 브라우징이 대세로 올라오면서 방법이 바뀔지도 모르겠다(?)
나도 full browsing mobile device가 없는데, 누군가가 같이 해주면 빨리 될 것 같다.

쇼핑몰은 아직 할 여력이 안된다.
쇼핑몰 자체는 큰 문제가 아니지만, 결제시스템이 고민이다.
올해안에는 만들어야 된다 ㅠㅠ

질문 - 예전에 오픈소스(?)처럼 개발한 쇼핑몰들이 다른 회사에서 가져가버려서 문제가 생겼다.
어떻게 해결하는가?

답변 - zb4같은경우 재배포를 금지했다. 이유는 코드를 변경해서 문제가 생길수 있으니까.
그 회사가 라이센스를 지키지 않은것(그런가??)이다.
대안은 소스를 공개하지 않는것. 문제는 발전은 없다.
오픈소스를 사용하면, 권리를 나누어서 사용하는 경우인데,

브렌치도 환영한다. 외국에는 그런경우가 많다.

원하지 않는 다른 곳에서 사용하는 부분에 대해서 아직은 제제애 대해서는 없다(?)

(몇 가지 놓쳤네요;;)

토깽이님 질문 -
업데이트 할 때 버전을 건너띄면 제대로 작동하지 않는다.

제로님 답변 -
소스코드 / 디비가 있는데
소스코드를 올릴 때 누락되는경우가 있고
디비가 변하지 않아서 문제가 있다.

tools기능을 이용하면 source문제는 할 수 있고,
모듈들의 업데이트 기능이 있는데,
이런 기능들이 자동적으로 되어야 되다고 생각한다.
버전이 달라지면 다시 확인하는 기능을 추가한다.

업데이트 할 때 사이트를 잠시 멈추게 하는 것에 대한 이야기도 있음.

제일 좋은건 subversion을 사용하는것.

가가멜님(?) -

검색은 나중에 마케터와 광고를 차단하는것만 해결하는게 더욱 좋아질것이다.
zbxe는 호환성이 좋은편이다.
특히 게시판 검색같은 경우에 full-text로 하면 더욱 빨리진다거나
하는 성능 향상으로 올라갈수 있는 부분들이 core에 들어갈 수 있다.
이 부분에 대해서는 어떻게 생각하는가?

답변 -
일단 검색은 abusing이다. 전문회사도 있다. nhn같은경우는 ?
관심이 많고 잘 쓰고 싶은데, abusing은 검색회사에서 할 일이라고 본다. zbxe차원에서 차단할 문제는 아니라고 본다.
그 contents를 걸러내는것은 회사의 몫이다.
(질문의 의도는 liveXE에 관한 이야기라고 생각하는데요...;;)

호환성을 보장하려고 하는데,
예를 들어서 mysql에서 더 효율적으로 할 수 있는데, 아직 core에는 없다.
각 db에 특화된 부분을 당장에 사용할수는 없을것 같다.
아직 능력이 부족해서 적용하기는 어렵지 않을까.

1부 종류 후 휴식시간입니다 :)
Posted by Parker Falcon

March 24th Update: We've modified the rules and increased the prize amounts. Please see the new rules detailed below.
3 24일 업데이트: 규칙을 수정하였고 상금의 양을 늘렸습니다. 아래에 나온 새로운 규칙을 확인해주세요.

Since the announcement of the ZDI cash prize sponsorship for the CanSecWest PWN to OWN contest, we've received a lot of excellent and much appreciated feedback from the security community regarding the complexity of the original rules and the prize structure. We've gone back to the drawing board to see how we can better simplify the contest.
ZDI
CanSecWest PWN to OWN 컨테스트에 현금 상금을 지원하기로 한 발효 이후에 우리는 보안 컴뮤니티들로 부터 원래 규칙과 상금의 규모에 대한 소중한 피드백을 많이 받았다. 우리는 처음 단계로 돌아가서 컨테스트를 얼마나 더 단순하게 할 수 있는지 보았다.

Based on the current feedback, we've agreed to keep this contest a "best of the best" showdown, and therefore only one cash prize will be offered per machine.  Our original goal in offering the chance for multiple persons to compete for cash prizes (even after the boxes were pwned) was to create more opportunity and fairness to the contestants and alleviate issues of timing around who gets to go first.  As a result of reducing the number of prizes to three, we were able to increase the prize amounts as detailed below.
현재의 피드백으로 보아 우리는 이 컨테스트를 "최고중의 최고인" 경기로 하는데 동의했다. 그래서 한 기기당 하나의 상금만이 지급될 것이다. 우리의 원래 목표는 경쟁을 위해서 여러 사람들에게 상금을 나눠 주어(이미 컴퓨터가 점령 당했더라도) 좀 더 많은 기회를 주고 경쟁자들에게 공정하게 하며 누가 먼저이냐는 시간적인 문제를 완화시키기위해서 이었다. 결과적으로 전체 상의 수를 셋으로 줄이면서 상금의 양이 아래와 같이 늘어났다.


Well, it's that time of year again- the CanSecWest security conference is rolling back around March 26th-28th in Vancouver, BC.
, 올해도 CanSecWest 보안 회의가 벤쿠버에서 3/26~3/28일 까지 열립니다.

This year's conference includes another round of the now famous "PWN TO OWN" contest, established in 2007 by CanSecWest organizers.  For any who may not be familiar with the previous year's festivities, you can brush up on the subject here.
올해의 회의는 2007년에 시작된"PWN TO OWN"이라는 유명한 경기도 같이 진행합니다. 작년의 대회에 대해 잘 모르시는 분들을 위해서 여기서 복습하실 수 있습니다.

We received numerous inquiries as to whether or not the TippingPoint Zero Day Initiative program (ZDI) was going to step up with another cash reward this year for the winning vulnerability. After some careful thought and deliberation, we all agreed that despite some of the controversy last year, the outcome was a win-win situation for all. The ZDI program was able to remove a critical Apple QuickTime flaw from the market and hand it over to Apple quickly and responsibly- and Apple was able to very quickly issue an update to protect their customers. Oh yes, and the winner- Dino Dai Zovi- walked away with a pocket full of cash.
우리는 올해에 ZDI가 해킹 대회의 상금이 더 늘어나는지에 대한 수많은 요청을 받았습니다. 심사숙고 끝에 우리는 작년의 몇가지 논쟁이 있었지만 결국은 모두에게 윈-윈 상황이 되는것이라는데 동의했습니다. ZDI 프로그램은 시장에서 Apple QuickTime의 결점을 제거할수 있었고 Apple에게 전달하여 재빨리 업데이트 하여 그들의 소비자들을 보호할 수 있었습니다. 물론 승리자인 Dino Dia Zovi는 상금을 잔득 받아서 돌아갔습니다.

With a few important lessons learned from the ad-hoc sponsoring of the contest last year, the ZDI program has agreed to get involved again, and raise the stakes of the existing contest with some cash incentives.
작년에 Ad-hoc 스폰서링을 통해서 배운 몇가지 중요한 교훈들과 함께 ZDI 프로그램은 같이 하기로 하고, 현재 경기의 상금을 더 늘리기로 하였습니다.

Here are the details that we've ironed out with CanSecWest organizers, and more details will follow leading up to the contest. Stay tuned, we'll keep you posted on all the late breaking news!
여기에 우리가 CanSecWest 조합과 함께 이야기 한 자세한 것이 있습니다. 더 자세한 이야기는 컨테스트와 함께 하겠습니다. 집중하시고, 새로운 소식이 생길 때 마다 이곳에 포스팅하겠습니다.

The 2008 PWN to OWN Details

PWN to OWN 2008의 자세한 이야기.

This year's PWN to 0WN contest will begin on March 26th, the first day of the CanSecWest conference. The contest includes three laptops, running the most up to date and patched installations of MacOS X Leopard, Windows Vista, and Ubuntu Linux:
올해의 PWN to 0WN 컨테스트는 CanSecWest 회의의 첫날이 3/26일에 시작합니다. 이 컨테스트에서는 3개의 랩탑이 있는데 가장 최신 버전으로 업데이트 된 Mac OS X Leopard Windows Vista, 그리고 우분투 리눅스 입니다.

  • VAIO VGN-TZ37CN running Ubuntu 7.10
  • Fujitsu U810 running Vista Ultimate SP1
  • MacBook Air running OSX 10.5.2

 

  • Ubuntu 7.10을 돌리는 VAIO VGN-TZ37CN
  • Vista Ultimate SP1 을 돌리는 Fujitsu U810
  • OSX 10.5.2를 돌리는 MacBook Air

The main purpose of this contest is to responsibly unearth new vulnerabilities within these systems so that the affected vendor(s) can address them.
이 경기를 진행하는 목적은 아직 발견되지 않은 보안상의 문제점을 발견하여 제조사들이 처리할 수 있게 하는 것 입니다.


To claim a laptop as your own, you will need to read the contents of a designated file on each system through exploitation of a 0day code execution vulnerability (ie: no directory traversal style bugs).  Each laptop will only have a direct wired connection (exposed through a crossover cable) and only one person may attack each system at a time so that each team's exploit remains private. Slots will be available for sign up in 30 minute increments at the beginning of each day.  Slots are assigned in random order.  Once everyone signs up each morning, spots will be assigned randomly. Any WiFi or Bluetooth exploits will be verified offsite in a secure lab to prevent snooping.  The first winner of each laptop gets to keep it (one laptop per vulnerability entry) as well as a cash prize sponsored by ZDI.  Once a laptop is won however, no more exploits may be submitted.  Therefore there are a maximum of three cash prizes, one per laptop. All winning exploits will be handed over to the affected vendors at the conference through the ZDI, with the appropriate credit given to the contestant once the vendor patches the issue.  Until then, the actual vulnerability will be kept quiet from the public. This is a required condition of entry into the contest; all entrants must agree to the responsible disclosure handling of their vulnerability/exploit through the ZDI. An awards ceremony at the end of the conference will present each winner with their prizes. 
랩탑을 점령했다고 주장하기 위해서는 각 시스템에 있는 특정한 파일의 내용을 읽어야 합니다. (directory traversal 형식의 버그는 안됨) 각 랩탑은 크로스오버 케이블로 연결되어서 한번에 한 사람 만이 시스템에 공격을 시도할 수 있어 서로의 공격 방법은 비공개 입니다. 각각의 시간은 30분씩이며 순서는 임의로 배정하였습니다. 모든 사람들이 아침에 신청을 완료하면 임의로 배정합니다. 스누핑을 방지하기 위해서 모든 블루투스나 WiFi들은 밖에 두도록 합니다. 각 랩탑의 첫번째 승리자들은 이미 점령한 랩탑은 더 이상 다른 진행을 하지 않습니다. 그러므로 상은 각 노트북별로 하나씩 하여 최대 3개가 것입니다. 모든 exploit들은 이 컨퍼런스에서 ZDI를 통해 각 벤더 들에게 전해지고 벤더들이 그 문제를 해결하게 되면 참가자(?)들은 상금을 받게 됩니다(?). 그 문제가 해결될 때 까지는 보안상의 문제점은 공개되지 않습니다. 아래는 이 컨테스트에 참가하기 위한 조건입니다 : 모든 경기 참가자들은 ZD를 통해서 그 취약점들에 대해서 책임을 가지고 다루는 것에 동의해야 합니다. 시상식은 컨퍼런스가 끝나고 승리자들에 대해서 각각의 상을 수여합니다.

Any vulnerability that the Zero Day Initiative awards a cash prize for, becomes the property of the ZDI, and therefore the winner can not discuss or disclose details of the 0day until the affected vendor has successfully patched the issue.  Any discussion of the bug prior to the public disclosure of a ZDI advisory will result in forfeiting of the prize. TippingPoint is collaborating with the vendors to ensure that their response teams will be ready and waiting to receive any and all 0day that comes out of this contest.  For all other vulnerabilities, we are ready to forward the information on to the appropriate vendor (Adobe, Skype, Apache, Sendmail, etc.) upon verification of the issue.
Zero Day Initiative
가 상금을 수여하면서 그것은 ZDI의 소유가 되며 어떠한 보안상의 문제점도 벤더가 완전하게 패치하기 전까지는 공개되어서는 안됩니다. ZDI 고문에 의해서 공개되기 전에 그것에 관한 논의가 있다면 상금은 없어집니다. TippingPoint는 벤더들과 함께 함께하여 그들이 이 경기에서 나온 보안상의 문제점에 대해서 잔달 받을 준비가 되었다는 것을 확인합니다. 다른 문제점들과 함께 우리는 해당하는 벤더들에게 검증이 마쳐지는 데로 전달할 준비를 하고 있습니다.

The Cash Prizes
상금

All machines will be fully patched and in a default configuration. Simply put, if the vendor shipped it on the box and it's enabled, it's in scope.
모든 기기는 모두 패치 되어있고 기본 설정으로 되어있습니다. 박스에서 꺼내서 사용할수 있고, 범위안에 있습니다(?).

Day 1: March 26th: Remote pre-auth
1
일차 : 3/26 : 원격 사전인증
All laptops will be open only for Remotely exploitable Pre-Auth vulnerabilities which require no user interaction. First one to pwn it, receives the laptop and a $20,000 cash prize.
모든 랩탑은 사용자 인증이 필요없는 exploit가능한 사전인증 취약점을 위한 포트만을 열어둡니다. 가장 먼저 점령하는 사람은 2만 달러의 상금과 함께 노트북을 받게 됩니다.
The pwned machine(s) will be taken out of the contest at that time.
점령 당한 기기는 바로 경기장 밖으로 옮겨집니다.

Day 2: March 27th: Default client-side apps
2
일차 : 3/27 : 기본 설정 어플리케이션들

The attack surfaces increases to also include any default installed client-side applications which can be exploited by following a link through email, vendor supplied IM client or visiting a malicious website. First one to pwn it receives the laptop and a $10,000 cash prize.
공격 범위가 늘어나서 기본적으로 설치된 클라이언트 어플리케이션을 이용해서 이메일등의 링크를 따라가거나 기본 제공 메신저 클라이언트나 악의적인 웹사이트를 방문하는 방법을 포함합니다. 가장 먼저 공격에 성공한 사람은 1만 달러의 상금과 함께 노트북을 받게 됩니다.
The pwned machine(s) will be taken out of the contest at that time.
점령 당한 기기는 바로 경기장 밖으로 옮겨집니다.

Day 3: March 28th: Third Party apps
3
일차 : 3/28 : Third Party 어플리케이션들
Assuming the laptops are still standing, we will finally add some popular 3rd party client applications to the scope. That list will be made available at CanSecWest, and will be also posted here on the blog. First to pwn it receives the laptop and a $5,000 cash prize.
만약 아직도 그 랩탑들이 멀쩡하다면 우리는 몇 가지 유명한 서드 파티 클라이언트 어플리케이션을 설치합니다. 그 목록들은 CanSecWest에서 볼 수 있으며 여기 블로그에도 있습니다. 가장 먼저 노트북을 점령하는 사람은 5천달러의 상금과 함께 노트북을 가지게 됩니다.


*To accommodate any individuals who may not have gotten a chance to take a stab at the machines, we'll provide the opportunity onsite for folks to submit their vulns through the normal ZDI process if they'd like to be compensated for their discovery.
*
시도도 하지 못하게 된 사람들을 위해서 그들이 보상을 원한다면 사이트상에서 일반적인 ZDI 진행에 따라 제출할 수 있는 기회를 제공합니다.

The awards ceremony will take place at the end of the day on the 28th. More details and daily results from the contest will be posted here on our blog.  Please feel free to ask questions in the Comments section of this posting and we will try to answer them in a timely manner.
수상식은 행사가 끝나는 28일날 마지막에 진행될 예정입니다. 더욱 자세한 내용은 우리 블로그에 포스팅하겠습니다. 이 포스팅 에 관한 질문이 있다면 댓글로 남겨주시면 적절할 때에 답변해드리도록 하겠습니다.

Update - see our main blog index for the most recent daily updates from the contest.
업데이트- 우리의 블로그 메인 페이지에 가장 최근 소식을 확인하세요.

원문 : http://dvlabs.tippingpoint.com/blog/2008/03/19/cansecwest-pwn-to-own-2008

Posted by Parker Falcon

Windows users with iTunes beware! Apple has opted you in to install their vulnerable Safari browser on your computer with iTunes updates. You must click the Safari update box off before updating iTunes if you don’t want to install Safari.

iTunes를 사용하시는 Windows 사용자분들께서는 조심하십시오! Apple은 iTunes업데이트에 보안에 문제가 있는 Safari를 끼워넣었습니다. iTunes를 업데이트 하실 때 Safari를 원하지 않으신다면 체크를 해제하시기 바랍니다.

PWN to OWN Day Two: First Winner Emerges!:
PWN to OWN 2번째날 : 첫번째 승자가 나타났습니다.:

They were able to exploit a brand new 0day vulnerability in Apple’s Safari web browser. Coincidentally, Apple has just started to ship Safari to some Windows machines, with its iTunes update service. The vulnerability has been acquired by the Zero Day Initiative, and has been responsibly disclosed to Apple who is now working on the issue.

그들은 Safari의 새로운 0day 보안 문제점을 exploit하였습니다. 우연히도 Apple에서는 iTunes 업데이트를 통해서 윈도우즈에도 Safari를 설치하기 시작했습니다.  Zero Day Initiative 에게 전달된 이 보안상의 문제는 Apple 에게 보내졌고 현재 작업중에 있습니다.


So if you update iTunes and install Safari, you’re getting this exploitable code on your computer.
그러므로 만약 iTune를 업데이트 하면서 Safari를 설치하신다면 컴퓨터에는 문제가 있는 코드가 설치되게 됩니다.

I may have more information about the nature of the exploit tomorrow. :-)
내일 이 이야기에 대해서 더 해드리겠습니다.:-)

EDIT/UPDATES:
편집 / 추가

  1. The exploit Charlie Miller used to win the coveted Macbook Err involved a telnet exploit via privilege escalation from a malformed/malicious link. Reportedly. We’ll find out when Apple gets around to fixing it. Which brings me to another point…
    Charlie Miller가 MacBook Err(Air)을 뚫을 때 악의적인 링크로 부터 권한 상승을 얻어내는 방법을 이용하였습니다. 소문에 의하면 말이죠. 우리는 Apple이 언제 그 문제를 수정할지 곧 알게 될 것 입니다(?). (?)
  2. Before anyone dismisses my objections to Apple’s requirement that users opt-out of installing Safari when updating iTunes, look at Secunia’s new advisory. Note that it’s highly critical. Safari is buggy and vulnerable in OSX. It’s even worse in Windows.
    Apple의 Safari 끼워 넣기에 반대하는 나의 생각을 잊은분들은 Secunia의 새 소식을 보기 바랍니다.(?) 이것은 아주 심각하다는것을 명심해주세요. 사파리는 버그가 많으며 OSX에서 보안상 취약한 점을 가지고 있습니다. 그리고 윈도우에서는 더욱 심각합니다.


원본 사이트 : http://lucky13linux.wordpress.com/2008/03/27/pwn2own-confirmation-0day-in-safari/

Posted by Parker Falcon
사용자 삽입 이미지

처음 본 모바일 기기를 서버로 사용하여 접속한 장면. The screen that connect to the server running on iPod Touch.


지인이 iPod Touch에 apache를 설치하여 웹 서버를 구동한 것을 보았습니다.

비록 Nespot 계정에 딸린 유동 IP인데다가 감도도 그다지 좋지 않아서

실질적 웹 서버로 활용하는 것이 가능할지는 미지수 이지만,

(사실 Server의 개념이 모호해지고 있고, 모바일 기기가 서버로써 적절한지는 아직은 모르겠지만)

제대로 작동 가능하고, 내부에서 접속도 가능하며

외부에서도 IP를 입력하여 접속한 것을 확인하였습니다.

인터넷에 연결된 운영체제에 서버 데몬을 구동시켜 서버로써의 기능을 하는 것은

너무나도 당연한 일이지만, 그래도 나름 음악용 모바일 기기를 HTTP서버로 사용가능하다는 점에서

정말 신기한 장면이었습니다.

일반적인 Text정보와 작은 image정도를 제공하는 서버로 사용하기는

큰 문제가 없어 보일만큼 자연스럽게 작동하였습니다.

PS. iPod Touch에서 다른 작업중일때는 잘 접속이 안되었습니다.
PS2. iPhone용의 apache를 사용하여서 그런지 화면에는 iPhone이라고 나왔습니다.
Posted by Parker Falcon