hacking the net

Google Policy Privacy

federico casani — Wed, 25 Jan 2012 09:26:44 +0000

http://www.google.com/policies/privacy/

Filed under: Senza Categoria

sendspace..be carefull..

federico casani — Thu, 19 Jan 2012 22:55:43 +0000

..be carefull.. please..

Filed under: internet, sicurezza

maven-nexus-hudson-sonar

federico casani — Tue, 08 Mar 2011 21:34:27 +0000

Filed under: java, sicurezza

StoneSoft remote installation…Jini idea?

federico casani — Thu, 03 Feb 2011 00:47:54 +0000

I want to ask this: is the solution of StoneSoft for remote installation of appliance the same pattern solution invented by Jini? The appliance (client) can find (lookup) into remote server (service) the software to install!..I want to say yes.. and this is fantastic: I’ve found the same solution, the same thinking by two different world: networking and development… simply fantastic.

Filed under: java, networking, sicurezza

try catch finally

federico casani — Thu, 28 Oct 2010 23:04:14 +0000

We shouldn’t write this:
try { something } catch { something } finally { return }
because finally block always return!!!
The state of variable which we want return is overridden by finally block.

..is very simple to remember

Filed under: java

Audit Logging.. the date format issue..

federico casani — Fri, 02 Jul 2010 13:26:56 +0000

Which date format you prefer?
Do you like this.. RFC 3339
or this.. RFC 2228 or another your custom format?

I think that the CEST format is good, but non exaustive.

I think this date format is suitable to define unambiguously and deterministic timestamp:

Thu 13 Feb 1969 23:32:54 -0330

Filed under: sicurezza

Something goes wrong in the check…

federico casani — Fri, 02 Apr 2010 13:58:07 +0000

1 line – char[] chkIsNumeric = dataOra.toCharArray(); // dataOra is a String
2 line – for (int i = 0; i < chkIsNumeric.length; i++) {
3 line - if(!Character.isDigit(chkIsNumeric[i])) {
4 line - throw new NumberFormatException(“dataOra: ” +dataOra +” non numerico”);
5 line - }
6 line – }

I’ve seen this on a Java project yesterday: perhaps the developer had entered the race of “the check weirdest in the world”? ..incredible…

Filed under: java

Do you know inode?

federico casani — Mon, 01 Mar 2010 11:32:43 +0000

Ho creato un file nominato in questo modo: -3.xml ….hai mai provato ad eliminarlo?

This is the solution :-)

ls -latri (see the first number from the left)

find . -inum | xargs rm -f

Filed under: linux

Code Security? Code Review? Quali strumenti open-source

federico casani — Mon, 18 Jan 2010 23:24:14 +0000

Scrivere bene codice non è facile, lo sappiamo, spesso l’ impegno non basta. I nostri errori possono essere però rintracciati, osservati, analizzati e se possibile risolti aiutandoci con strumenti quali :

Findbugs (static java bytecode analyzer) http://findbugs.sourceforge.net

OWASP Orizon (source code analyzer) http://orizon.sourceforge.net/

Sonar (platform to manage code quality) http://sonar.codehaus.org/

Posted in java, sicurezza

JSON + Java = Jackson

federico casani — Mon, 04 Jan 2010 15:33:52 +0000

Jackson è una libreria che permette di gestire (read&write, marshall&unmarshall) messaggi di tipo JSON (www.json.org). Il messaggio di tipo JSON si adatta perfettamente ad elaborazioni client-side poiché il codice Javascript riesce ad elaborare il dato molto più velocemente rispetto ad un file XML: invece eseguire il parser del messaggio XML e quindi leggere il DOM, tramite JSON la lettura del dato è più “leggera” essendo strutturato come key-value.

Attraverso Jackson (http://jackson.codehaus.org) risulta semplice costruire e leggere messaggi JSON.

@JsonProperty :definisce il nome del campo nel messaggio, da posizionare sui metodi get()

@JsonIgnore: definisce i campi da ignorare

@JsonWriteNullProperties: definisce se scrivere o meno il campo quando nullo

@JsonValue: tratta il campo come una stringa (i.e. “a”=1 diventa “a”=”1″)

Esempio JSON:

{"number_json":1,
"model_json": {  "bar_json":[{}],
                                  "foo_json":[{}]  }
}

Di seguito un esempio di una classe:

/**

* JSON message

* L' ordine dei "get" è rispettata nella scrittua del file .json

* @author Federico Casani - 04/dic/2009-19.42.55

*/

@JsonWriteNullProperties(false)

public class JsonMessage {

private Integer number;

private Model model;

@JsonProperty("model_json")

public model getModel() {

return model;

public void setModel(Model model) {

this. model = model;

@JsonProperty("number_json")

public Integer getNumber() {

return number;

public void setNumero(Integer number) {

this. number = number;

@JsonWriteNullProperties(false)

public static class Model{

List fooList;

List barList;

@JsonProperty("bar_json")

public List< MyObject > getBarList() {

return barList;

public void setBarList(List< MyObject  > barList) {

this. barList = barList;

@JsonProperty("foo_json")

public List< MyObject  > getFooList() {

return fooList;

public void setFooList(List< MyObject  > fooList) {

this. fooList = fooList;

Un canale di comunicazione basato su messaggi JSON possiede notevoli vantaggi riguardanti

- pesantezza del dato scambiato (più snello di un dato in formato XML)

- velocità di esecuzione (il browser riesce a leggere velocemente il messaggio JSON)

Il problema più grande riguarda la sicurezza: un messaggio JSON interpretato tramite il linguaggio JavaScript è potenzialmente soggetto ad eseguire codice malevolo a causa dell’ esecuzione del metodo eval(). E’ caldamente sconsigliato utilizzare il metodo eval()!

Bisogna utilizzare il metodo parse()! Vedi http://www.json.org/js.html

Riassumendo i consigli più importanti per quanto riguarda canali di comunicazione JSON based sono:

Non fidarsi mai del Browser
Mantenere il messaggio pulito (non includere funzioni nel dato)
Evitare JSON di terze parti
Lato server devono essere authenticate tutte le richieste
Lato server bisogna assicurarsi della corretta codifica
Se presenti dati sensibili, utilizzare il protocollo SSL/TLS

Link utili:

http://stackoverflow.com/questions/395592/json-security-best-practices

http://stackoverflow.com/questions/325085/when-to-prefer-json-over-xml

http://www.json.org

http://www.fortifysoftware.com/servlet/downloads/public/JavaScript_Hijacking.pdf

Posted in java, sicurezza