AVD - Android Virtual Device - Scumbag Google

Преди време когато за пръв път тествах възможностите на емулатора включен в Android SDK-то, Google Store (по настоящем Google Play) присъстваше по подразбиране във всеки имидж който се предоставя за изтегляне от AVD-то. Сега? Сега мнението е, че правото да се използва магазина (особено за безплатните приложения) идва със закупуването на андроид устройство. Имиджите не включват "бялата торба". Отварянето на play.google.com и опита да се инсталира приложение от там води до неприятно съобщение че не сме използвали приложението (пак бялата торба) и съответно нямаме устройства добавени към акаунта въпреки че сме логнати със съответния акаунт в сайта.

Всичко това ме навежда на мисълта, че когато един производител създава устройство той си плаща на гугъл за правото да ползва андроид. Заедно с факта, че андроид е до голяма степен линук а това не се споменава официално никъде - започвам да си мисля дали парите "изкарани с пот на челата" ни, тези които даваме за да притежаваме и използваме умно устройство не са горивото за изграждане на една зла империя?
Струва си да споменем и постоянно присъстващия спам (реклами) в огромна част от приложенията.

Лично на мен започва да ми писва от тази политика която провеждат!

А сега към малко по-техническа част на тази тема.

Как да добавим бялата торба в имиджа на емулатора

Android 2.3 (защото това ми трябваше)

На налично устройство с андроид (телефона Ви например) инсталирайте стара версия на Astro File Explorer (новите които имат Cloud в името не вършат работа). От менюто изберете Tools-> Backup Application и изберете Google Store. За дестинация изберете SD картата. Това ще създаде apk файл vending.нещо.apk. Вземете този файл.

От /system/app/ вземете GoogleLoginServices.apk

Използвайте инструмент за едитване на Yaffs2 файлова система 

- Няколко варианта: yaffs-tools, kernel support или лесния вариант, свалете Yaffey и го инсталирайте на някоя Windows машина. Според доста постове Yaffey чийто сорс е наличен и използва QT може да се компилира и под Линукс, но за мен беше по-лесно да ползвам Windows за да спестя малко време с това.

 http://code.google.com/p/yaffey/

Отваряте system.img с Yaffey за системата която емулирате и под /system/app импортвате 2та apk файла. Запазвате имиджа и на следващия boot имате 'бяла торба' . Логвате се и щастливо си инсталирате приложения от стора.

General hints:

- Под Linux , AVD няма подръжка за Hardware Execution Manager (HAXM).

Свалете си имидж за Intel Atom в AVD и инсталирайте libvirt с KVM. Добавете потребителя с който работите в съответните групи на libvirt и без допълнителни настройки емулатора в се ползва с хардуерна емулация. Работи супер бързо и мазно.

- Искате да снимате видео на Android 2.3 скрийна в емулатор. Няма приложение което да работи от самия Android.

Инсталирайте Аshot http://sourceforge.net/projects/ashot/

от него можете да снимате поредица от картинки и да ги свържете във видео. Решението е грозно, но за момента друго не съм намерил (под 2.3).

Същото нещо за Android 4.4 се прави с приложение което се намира на самия имидж но за това по-късно когато мога да го пробвам.

TranSocks - Transparent SOCKSifying Proxy

За онези моменти когато имате sock прокси но нямате как да накарате flash плугина да работи с него има TranSocks

От сайта на приложението научих че линукс мрежовия филтър (iptables)
може да филтрува трафика в зависимост от потребителя и/или групата която го инициира - това вероятно е по-голямото откритие тъй като приложения като tranSocks има много.

This page is anonymous

This page is anonymous or how to create an anonymous page (nice tor ssh trick too)

This page is anonymous

Today, to host a piece of content on the Internet, you must link your identity to the content on some level. This is most prominent with social networks such as Facebook and Google+, but even to host an anonymous blog on a free service such as WordPress.com or Tumblr is not trivial. Other options, such as Tor hidden services are less than ideal, since they do not provide access to most people.
Amidst all the content hosting providers that want to know at least your email address, and often your credit card number, there is one place where you can still host your content anonymously. That place is the Super Dimension Fortress or SDF. SDF lets you register an anonymous user over ssh (which is accessible via the Tor network) and takes cash over mail in order to validate the user. This page was registered in exactly this way: I created a user called "voidnull" over ssh over Tor, then mailed SDF a single dollar bill with no return address. Whenever I access this account I use Tor, so there is very little chance that my identity will be linked to this account. Below are the exact details of how I did this.

Getting your own account

The first thing you need to do is install a Tor relay on your machine. Look at the Tor documentation for details.
After the installation is complete, you can use ssh over tor, like so: $ ssh -o ProxyCommand="nc -X 4 -x localhost:9050 %h %p" sdf.org. You could create an alias for this command in your .bashrc with alias torssh='ssh -o ProxyCommand="nc -X 4 -x localhost:9050 %h %p"'.
You will need to register an account with SDF. The details can be found here and here. To get started, torssh to new@sdf.org. You will have to answer a few questions. After you are done, you will have an account that is not linked to you in any way. The catch is that SDF will not let you host content on the web until your account is validated. This means, sending them a $1 bill in the mail. Look at the bottom of the donation page for the address. Once you send your donation, wait 1-2 weeks. Your account will eventually be approved and you can start hosting your web content. In the mean time, read the web hosting FAQ.

About SDF

SDF has been around since 1987. It had a long history, starting as a BBS and progressing to become a free UNIX shell provider and a community of hackers. Read more about SDF's history here.

Is this even legal?

Yes, it is legal. This page provides only a basic summary of public knowledge and hosts no malicious content. Disseminating information on the Internet without revealing your identity is your right and SDF provide tools for doing so. As far as I interpret the rules, there is nothing illicit about using Tor to access SDF, or setting up an anonymous account, so long as no other illicit activity takes place.




Original source:  http://voidnull.sdf.org/
Found at:  https://news.ycombinator.com/news

Credit to: who knows :)

CSRF - Cross Site Request Forgery

Днес мотайките се по разни страници и слушайки мейдън ми хрумна една идея а именно:

Отваря някой нашата страница която наглед е напълно безобидна (съдържа снимки на котенца и кученца), но в съседния таб има отворен gmail. Какво ще стане ако в един div чрез javascript заредим gmail?

Няма ли това да ни даде достъп до страница (отново чрез javascript) със заредена цялата негова кореспонденция, която можем да парснем и да си изпратим (примерно като POST заявка)?

Запретвам ръкави и пиша html/javascriptски код. Тъй като аз на този език не пиша всичко е идеално:

<html>
<table>
<tr>
<td>
    <a href="http://mail.google.com" onmouseover="previewUrl(this.href,'div1')">google</a>
</td>
<td>
    <div id="div1" style="width:400px;height:300px;border:1px solid #ddd;"></div>
</td>
</tr>
</table>

<script>
    function previewUrl(url,target){
        //use timeout coz mousehover fires several times
        clearTimeout(window.ht);
        window.ht = setTimeout(function(){
            var div = document.getElementById(target);
            div.innerHTML = '<iframe style="width:100%;height:100%;" frameborder="0" src="' + url + '" />';
        },20);
    }
</script>
</html>





Палим и какво да видя .... НИЩО. Създава се iframe но в него няма никой.
Помислих че скрипта (който сам написах вервайте ми) нещо е объркан.

Смених href-а с "reddit" и о чудо там всичко си излиза и моя потребител се вижда, и като го сменя да показва входящите съобщения и те се виждат.

Започнах да се запитвам защо така и как така гугъл са толкова ъкълести и чудейки се с подкрепата на ... ами пак на тях (този път търсачката която между другото също не се отваря в ифрейм) намерих отговор. Или по-точно въпрос:

Why does Google prepend while(1); to their JSON responses?

А на него отговор:

It prevents cross-site request forgery.

Contrived example: say Google has a URL like gmail.com/json?action=inbox which returns the first 50 messages of your inbox in JSON format. Evil websites on other domains can't make AJAX requests to get this data due to the same-origin policy, but they can include the URL via a <script> tag. The URL is visited with your cookies, and by overriding the global array constructor or accessor methods they can have a method called whenever an object (array or hash) attribute is set, allowing them to read the JSON content.
The while(1); or &&&BLAH&&& prevents this: an AJAX request at gmail.com will have full access to the text content, and can strip it away. But a <script> tag insertion blindly executes the JavaScript without any processing, resulting in either an infinite loop or a syntax error.

И тъй като всяка добра история трябва да има поука или извод, ето моя:

Ебаси колко съм прост и ограничен то си имало такава атака (не съм аз измислил леда на кубчета) че и са измислили как да се защитават от нея а аз чак сега разбирам че я има.

ПолсеПрост

Тъй като не всички са толкова умнички като чичковците от гугъл,
трябва някой дето му се лежи на топло макар че зимата мина да провери как са ни банковите сайтове в това отношение. Аз няма да се намесвам тук.

Поздрави

Депресията - някои основни насоки за справянето с нея

Openfest 2012:
                  "Депресията, проблемите в главата ни и какво може да направим" - Васил Колев и Яна Петрова:
                   http://www.youtube.com/watch?v=RTcxydBxFjA&feature=plcp
                   http://www.youtube.com/watch?v=ZHrz7CJ-nUA&feature=plcp



28th Chaos Communication Congress:
                   "Geeks and depression panel" -  daravinne, Jimmie P. Rodgers, Meredith L. Patterson, Michael Zeltner, Mitch Altman

                   https://www.youtube.com/watch?v=QnfOOoTOrDE
                   http://saizai.com/suicide.shtml

Show numerical values of all bash colors

for code in {0..255}; do echo -e "\e[38;05;${code}m $code: Test"; done

Show linux kernel modules graph

lsmod | perl -e 'print "digraph \"lsmod\" {";<>;while(<>){@_=split/\s+/; print "\"$_[0]\" -> \"$_\"\n" for split/,/,$_[3]}print "}"' | dot -Tpng | display -