Inbjudan till Trig

http://www.codeodyssey.se/upload/resource/blog/join-trig.png

Du kanske har hört talas om Trig.com? Det har skrivits lite om denna nya community på nätet. Det är en svenskutvecklad sajt som kan liknas vid den mer kända Myspace.

Gillar du upplägget på Myspace så kommer du att älska Trig. Allt är så mycket snyggare och väl genomtänkt. Jag har själv hängt på deras beta-version i några månader och träffat massor av roligt folk. Riktigt kul att få vara med från början när en sån här community håller på att skapas.

Nu har jag fått några extra inbjudningar till övers. Om du känner för att kolla in så skriv en kommentar till detta inlägget och ange en giltig email-adress. Din adress kommer inte synas på sidan men jag får den och skickar ut en inbjudan.

Vi syns på Trig!

By Jesper Lind

Slideshow i flash med dynamiskt inladdade bilder

Vi tänkte dela med oss med ett exempel på hur man kan göra en slideshow i flash. Längst ner i detta inlägg finns en länk där du kan ladda ner zip-fil med Fla-fil och ett exempel på XML-fil som används för att ladda in bilderna.

Filen kan konfigureras med två parametrar men i så fall måste två rader kommenteras bort i orginal-filen. Här är ett exempel på hur dessa parametrar som anger vilken XML-fil som ska användas och även hastigheten på hur snabbt bilderna ska bytas. Filerna är gjorda för bilder med storlek på 400 bredd och 265 pixlar i höjd. Hastigheten på bildväxlingen är satt till 4 sekunder i flash-filen.

<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=7,0,19,0" width="400" height="265">
<param name="movie" value="slideshow.swf?albumURL=album-data.xml&time=4000" />
<param name="quality" value="high" />
<embed src="slideshow.swf?albumURL=album-data.xml&time=4000" quality="high" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" width="400" height="265"></embed>
</object>

Det finns även möjlighet till att göra så att bilderna blir klickbara. Då måste följande rad kommenteras bort i actionscriptet på rad 7.

hit.enabled=false;

Strukturen på XML-filen ser ut så här.

<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<images>
<pic>
<image>http://www.codeodyssey.com/footprints/data/1.jpg</image>
<link>enter URL for click on image</link>
</pic>
<pic>
<image>http://www.codeodyssey.com/footprints/data/2.jpg</image>
<link>enter URL for click on image</link>
</pic>
</images>

Vill ni se ett exempel på en slideshow kan ni besöka myspace.com/clubfootprints. Instruktioner om hur man länkar in flashfiler på Myspace har vi skrivit om tidigare om det kan vara intressant. Rekommenderar även läsning om hur man gör så att flashfiler aktiveras med en gång i webbläsaren IE.

Vill ni använda denna slideshow i era egna projekt så är det fritt fram. Länka gärna till vår hemsida eller detta inlägg. Det uppskattas. Vi vill också passa på att tacka Fakepilot.com som har varit med och utvecklat dessa filer.

Ladda ner zip-fil med orginalfiler för slideshowen

By Jesper Lind

Ny Internet Explorer Developer Toolbar-beta

Fick reda på genom Robert Folkessons blog att beta 3 av Internet Explorer Developer Toolbar finns att ladda hem. Nyheter i denna är:

  • validering av HTML, CSS, WAI och RSS-feeds
  • visning av bildstorlekar, filstorlekar och sökvägar
  • linjal för att mäta objekt på en sida, praktiskt för att kunna linjera saker mer exakt
  • rensa cachen för en enskild domän - mycket användbart när man vill vara säker på att man har senaste innehållet från just den sidan, men inte vill sopa bort allt annat i cachen

Jag lyckades till slut få igång den den men blev lite besviken på att man var tvungen att avinstallera beta 2 genom "Lägg till eller/ta bort program". En sån extra manöver kan man ju alltid leva med när det rör sig om beta-versioner. Om det fungerar...

Jag kunde inte avinstallera min förra beta pga att jag har städat bort installeraren. Den hade lagt sig i temporära internet filer (ingen bra plats för viktiga filer).

Efter en sökning hittade jag dock tråden om betan i IEBloggen att en del andra haft liknade problem. Genom denna hittade jag filerna till den gamla installeraren. Dessa finns på PlanetMirror, de jag behövde var iedevtbar.msi och IEDevToolBarSetup.msi. Efter att sen döpt om dem till iedevtbar[1].msi och IEDevToolBarSetup[1].msi för att matcha infon i min installering så kunde jag avinstallera den gamla betan. Hoppas att detta kan hjälpa andra som har liknande problem.

Provkörde just den nya betan av toolbaren och det ser riktigt bra ut. Nu börjar man verkligen ge Firefox en match på smidiga verktyg för utvecklare.

By Jesper Lind

Säkerhetsproblem hos DN och SvD

http://www.codeodyssey.se/upload/resource/blog/DN-achtung.png

För ett tag sen skrev jag om en tysk sajt som listar upp säkerhetsproblem av typen XSS på kända webbplatser. Ägaren av denna hittade min artikel och frågade om jag kunde översätta den till engelska.

Under vår diskussion sa jag att det skulle vara intressant att veta hur säkerheten ser ut på den svenska webben. "beNi" som säkerhetsexperten kallar sig erbjöd sig att ta en koll på några sajter om jag skickade honom en lista. Jag tog några som var i färskt minne och har varit ganska aktuella på nätet det senaste.

Nyhetssajter:

Aftonbladet.se
DN.se
SvD.se

Bloggportaler:

Bloggportalen.se
Twingly.se
Knuff.se

Stor besvikelse

Nu fick jag ett svar från beNi som har undersökt säkerheten på några av sidorna. Han orkade bara att undersöka DN, SvD och Twingly. De andra tre tyckte han laddade för långsamt för att han skulle orka jobba med dem (även fast han har en 6MBit-uppkoppling).

BeNi hittade en hel del osäkra sidor inom loppet av några minuter. Både DN och SvD innehåller luckor i säkerheten som man kan läsa i sammanställningen på hans blogg. Där finns även fem exempel på länkar som visar hur säkerhets-luckorna kan utnyttjas.

Exempel på säkerhetsluckor

De länkar han hittade på DN, SvD och Koll.se finns här under. Jag har även laddat upp skärmdumpar på hur sidorna ser ut när man besöker dem för tillfället. Observera att det inte är farligt att klicka på just dessa länkar. Men ser du några liknande länkar från en okänd källa så skulle jag definitivt avråda från att besöka dem.

Säkerhetsproblem 1 - DN.se (problem åtgärdat) (skärmdump)

Säkerhetsproblem 2 - DN.se (problem åtgärdat) (skärmdump)

Säkerhetsproblem 3 - Koll.se (problem åtgärdat) (skärmdump)

Säkerhetsproblem 4 - SvD.se (problem åtgärdat) (skärmdump)

Säkerhetsproblem 5 - SvD.se (problem åtgärdat) (skärmdump)

Man kan alltså kontantera att Twingly klarade sig bra mot XSS-attacker. Sajten använder ASP.NET där mycket av skydden är inbyggda. Microsoft har som tur är insett att hoten är väldigt allvarliga och även gett ut speciella API:er som man kan skydda sina projekt med. Jag kommer att återkomma om dessa i senare artiklar.

För DN som använder Java och SvD som kör klassisk ASP gick det alltså inte så bra för i testet.

Utvecklare måste vakna

Det är lite pinsamt att se hur så här stora nyhetssajter inte har total koll på säkerheten. Webmasters måste vakna och förstå de nya hoten som hela tiden ökar mot webbplatser. Sajter med svagheter hotar inte bara den inre strukturen, utan själva grejen med cross-site-scripting är att det kan användas i attacker mot andra mål.

Uppdatering: Twingly indexerar XSS-länkar! Märkte just att en länk till det här inlägget dök upp på SvD. Det var inte min mening, men visar att Twingly inte verkar har något filter mot XSS. Eller så får vi hoppas på att de har kapat bort de sista querystringsen i länken. Hur som helst borde inte systemet godkänna den länk som jag kallar "säkerhetsproblem 5" här ovan. Att artikeln på SvD handlar om säkerhet och har överskriften "Jakten på trygghet gör oss otrygga" var ju endå lite ironiskt. Det visste nog inte vår tyska vän när han valde ut målet. Och jag hade inte sett innehållet när jag postade detta eftersom den riggade länken gömmer hela det riktiga innehållet. Nåväl, nu kanske SvD och Twinglys utvecklare får upp ögonen lite snabbare.

Uppdatering 2: Vi är glada att Primelabs (som utvecklar Twingly) har tänkt igenom XSS-hoten. Martins upplyser oss i kommentarerna om att deras system normaliserar urlerna innan de sparas. Vi vill också passa på att förklara att det inte är någon fara att surfa på någon av de webbplatser som har nämnts i denna artikel. Det finns dock en risk att utomstående sajter kan lägga ut länkar till DN och SvD som på något sätt kan vara ett hot mot säkerheten. Eller skicka länkar via email eller chatt-system. Det är också värt att påpeka att såna här sårbarheter är väldigt vanliga. Det visar inte minst det faktum att säkerhetsexperten beNi kunde hitta problem på två av de tre webbplatser han försökte med.

Uppdatering 3: Nu har tydligen DN också länkat till denna artikel genom Twingly. Det kan jag inte riktigt förstå eftersom XSS-länkarna till DN inte verkar ha alls samma adress. Länken "Säkerhetsproblem 2" går visseligen till nån inloggningssida som innehåller id-numret för den artikel. Det visar att Twingly har rätt stor dynamik på systemet för att länka rätt. Det är artikeln "Över 70 döda i nya bombdåd i Irak" som länkar hit. Nu ser jag ett litet problem med Twingly tjänsten. Hur får man bort länkar man inte vill ska hamna där? Måste man anmäler man dem som olämpliga? Ett enklare tillhandagångssätt för att ta bort sina egna länkar hade underlättat. Om ni på DN som kollar på detta imorgon läser detta så får ni gärna plocka bort länken. Den är ju inte direkt relevant i det sammanhanget. Om ni vill läsa andras funderingar om Twingly och relevans på nyhetssajterna så kan ni ju alltid börja på Beta Alfa.

Uppdatering 4: Jag beslutade mig för att ta bort länkarna tills vidare. Detta så att utvecklarna ska kunna få tid att lösa problemen i fred. Tror inte att dessa länkar skulle kunna användas till att ställa till någon speciell skada. Ville mest visa att man kan hitta dem på de flesta webbplatser och visa ett verkligt exempel. Sen var jag ju inte heller först med att publisera länkarna publikt. Ifall DN och SvDs utvecklare (SvD har hört av sig och tackat för mitt tips) vill ha länkarna så kontakta mig på info [at] codeodyssey.se. Annars bör ni kunna hitta dem i er besökarlogg.

Uppdatering 5: SvD har fixat problemen på sin sajt. Grattis till att det gick så fort, det var imponerande! Jag har lagt fram dessa länkar igen i utbildningssyfte till andra utvecklare. Ett annat skäl till att jag vill ha kvar länkarna är att jag vill studera hur sökmotorerna kommer att reagera på dem. Kommer de till exempel fortfarande fungera i de cachade versionerna hos Google? Det ska bli intressant att följa vad som händer.

Uppdatering 6: Vi är glada att lägga märke till att DN nu också har fixat säkerhetsproblemen. Båda sajterna lyckades alltså täppa igen hålen på bara 1-2 dagar vilket är riktigt bra.

By Jesper Lind

Utvärdering av textarea-editorer

Läste nyligen hos media:screen att Peter Kranz har gjort en utvärdering av textarea-editorer och rangordnat dem enligt hur bra de klarar av att formatera giltig HTML. Totalt åtta olika editorer finns med i testen, sju av dem är så kallade WYSIWYG-editorer och en av dem är en WYSIWYM-editor.

Den senare beteckningen (What You See Is What You Mean) var något nytt för mig men låter definitivt som något att kolla vidare på. Om jag har förstått det rätt så ska denna nya typ av editor generera XHTML och separera innehåll från formatering i större mån. Läs mer om den nya typen av editor eller testa en demo-version av WYMeditor som hör till denna kategori.

Med på Peters test finns TinyMCE som jag installerade i mitt blogg-system nyligen. Den kom bara på tredje plats i testen pga inkorrekt nästlade listor, inget stöd för tabellcaptions och avsaknad av lang-attributet. I nästa version av editor (2.1) kommer dock dessa problem vara lösta meddelar utvecklarna på Moxiecode i en kommentar till testet.

By Jesper Lind

QuickSSL - överdrivet hög säkerhet men väl fungerande

Fick ett varningsmail från leverantören av SSL-certifikatet på en webbplats jag har hand om. Mailet sa att det bara är 7 dagar kvar och det kändes lite stressande. Utan certifikatet slutar den säkra kassan att fungera som är så viktigt för e-handelsidan. Eftersom den person på webbhotellet som har hand om det i vanliga fall är på lång semester så fick jag ta tag i förnyelsen själv.

Det hela visade sig vara en rätt omfattande process med cirka 13 steg eller så. I min inkorg finns nu 5 stycken mail med info om verifiering och bekräftelse. Ett något mer udda steg var när jag fick ange telefonnummer och blev uppringd av en automatisk telefon. Där fick jag mata in ytterligare en säkerhetskod och även lämna ett prov på min röst.

Hur som helst gick hela processen väldigt bra och jag fick hela tiden välskrivna instruktioner. Här finns t ex ett exempel på hur man installerar SSL på en IIS-server. Många av de var på svenska men saknade dock rätt tecken-kodning så man fick gissa sig fram på ÅÄÖ.

Jag kan varmt rekommendera GeoTrust om du behöver ett SSL-certifikat. Det fungerar väldigt bra, även om säkerhetstänket har gått lite över styr.

Recension från en annan som lämnar ungefär samma betyg går att läsa här.

By Jesper Lind

Egen ordning på samling av data (nyckel och värde)

Vi behövde visa en samling av data i en egen ordning och varje rad skulle innehålla nyckel samt värde. Värdena skulle gå att få ut i samma ordning som vi la till dem med andra ord.

HashTable fungerar ju inte alls eftersom denna typ av samling sorteras efter de hashade nycklarna. SortedList trodde vi först skulle göra jobbet men, det framgick sen att den alltid sorterar samlingen efter nycklarna.

Efter ha läst på lite om namnrymden Collections och Collections.Specialized så hittade jag en typ av samling som klarade det vi behövde, nämligen NameValueCollection.

Här är ett kodexempel som lagrar kultur-beteckningarna tillsammans med namnet på länderna.

string strOutput=string.Empty;
NameValueCollection nvc = new NameValueCollection();
nvc.Add("sv-SE", "Swedish");
nvc.Add("da-DK", "Danish");
nvc.Add("en-GB", "English");

IEnumerator iEnumerator = nvc.GetEnumerator();
while (iEnumerator.MoveNext())
{
string strCulture = myEnumerator.Current.ToString();
string strLanguage = nvc.GetValues(strCulture)[0];
strOutput+=strLanguage+"<br />";
}

labelOutput.Text=strOutput;

Koden kommer skriva ut länderna i den ordning som de lades till i samlingen, alltså:

Swedish
Danish
English

Några artiklar som hjälpte på vägen

.NET Collection Madness Part 1

.NET Collection Madness Part 2

Hashlist - Hashtable meets ArrayList

Processing multiple string values in a collection

MSDN: NameValueCollection Class

By Jesper Lind

Filmer om social media och medborgarjournalism

http://www.codeodyssey.se/upload/resource/blog/teaching-the-machine.png


Den första videon beskriver hur alla som använder webben hjälper till att beskriva och mappa upp data. I filmen visas texter ur en artikel från Wired och texten "We are teaching the Machine" belyses. Den häftigaste gestaltningen av web 2.0 och social media som jag sett.


Nästa film handlar om medborgarjournalism. Cambridge Community Television gör en historisk tillbakablick av de alternativa mediernas ursprung.


Den sista och längsta filmen heter "Blogumentary" och tar oss genom en resa genom några kända bloggars liv. Handlar framför allt om USA och hur bloggar har påverkat viktiga händelser. Regisserad av Chuck Olsen.

(tack Beta Alfa)

By Jesper Lind

Vi tackar för de nya besökarna

http://www.codeodyssey.se/upload/resource/blog/Google-Analytics-070209.png

Lanseringen av Twingly hyllades till skyarna av majoriteten av bloggarna. Vi gjorde som många andra och provade på att länka till de båda nyhetssajterna som har introducerat funktionen. Detta genom vårat inlägg om den stora överbalastningensattacken mot rotservrarna som skedde i veckan.

Effekten var över all förväntan för en relativt liten blogg som vår. Vi hade under januari i snitt 38 unika besökare om dagen. Under första dagen med länkar på DN och SvD hade vi alltså 251 stycken, som ni kan se på diagrammet hämtat från Google Analytics. En ökning på över 600%. Kul att få en liten känning av hur välbesökta de stora medierna är.

Bloggen Bent skriver också om den ökning av trafik som länkarna från nyhetsmedierna har inneburit.

En sak som jag har märkt är att DN har varit givmilda och inte ha ett [rel="nofollow"] attribut på blogglänkarna. Det innebär ju att bloggar kommer kunna ta tillgodo av PageRank-värdet från nyhetssajten. SvD har dock [nofollow] på sina länkar.

Hoppas verkligen att bloggare kommer ha den goda smaken att verkligen länka relevanta inlägg till nyheterna. Nu i början kan man väl förstå att många provar möjligheterna, men hoppas att det blir hög relevans i fortsättningen. Det skulle ju vara tråkigt om det skedde försök till att utnyttja funktionen för att komma högre i rankning eller skaffa sig lite lättillgänglig besökartrafik.

Primelabs har verkligen visat vad de går för tycker jag och deras tjänst fungerar som vi många har märkt helt klockrent. På deras egen blogg kan man i det första inlägget sedan lanseringen läsa om målen med deras tjänst. De passar även på att tacka några av de bloggar som har hjälpt till att sprida nyheten.

Intressant uppdatering:
Mickey visar även han upp sin besökarstatistik för dagen då Twingly hade premiär. Inlägget innehåller även en diskussion där Sigge är med. Han säger att AB snart kommer få en "Twingly-liknande funktion". Kan man tolka det som att Aftonbladet också kommer börja visa blogglänkar vid sina nyheter? Kul i så fall.

Uppdatering 2:
Sigge ger svaret på sin blogg, AB kommer länka till bloggar direkt vid sina nyheter, Twingly-style.

InternetWorld skriver: Bloggrevolutionen tar nästa steg

By Jesper Lind

Bloggportalen utvecklas vidare

Alla var inte riktigt lika glada över hur den nya tjänsten Twingly skrevs om som något nytt och revolutionerande. Den utvecklingsansvarige på Aftonbladets Bloggportalen.se, Sigge Eklund, tyckte att de under en tid redan har länkat till bloggar på samma sätt. Och att det var oförskämt av bloggare att inte nämna detta faktum. Han uttryckte detta i ett öppet brev till Beta Alfa. Svaret kan man läsa här.

Aftonbladet har alltså länkat ett bra tag till bloggar om en på litet annolunda sätt än vad DN och SvD har börjat med. Man har ofta valt ut en viss nyhet som man tycker att det passar med lite blogglänkar till. Ibland har man handplockat dess, ibland har man länkat direkt till nyckelord på Bloggportalen genom Bloggsök.

Jag förstår att Sigge inte diggade läget, när alla skrev om Twinglys tjänst som den var helt unik och nyskapande. Aftonbladet har gjort mycket för bloggosfären med sina satsningar.

Nu visar man även att man lyssnar på sina användare och har tagit bort ett onödigt klick mellan portalen och bloggarna. Dock öppnas dessa länkar i ett nytt fönster, vilket jag tycker är lite onödigt. Men det är ju en smaksak och ett sätt för dem att behålla besökarna kvar på sin sida lite längre. Man har även byggt vidaresin karta och nu går den att zooma med hjälp av Googles API-tjänst.

Dessa nyheter från AB kan väl se lite som ett motdrag till Twingly's samarbete med DN och SvD. Undrar ifall man kommer gå hela vägen och länka till bloggar på alla artiklar? Det har ju i alla fall SvD gjort. Hur det ligger till med DN är jag fortfarande osäker på men man har i alla fall blogglänkar på väldigt många nyheter.

By Jesper Lind