Czemu "open redirect" prawie wszyscy uważają za lukę bezpieczeństwa? Wszyscy jako przykład ataku podają phishing bo można wygenerować link z domeny X na domenę Y i wstawić to np. w e-maila. No ale litości, w e-mailu mogę równie dobrze wpisać: [http://google.com](http://google.com) i na to samo wyjdzie.
Zna ktoś jakikolwiek sensowy sposób wykorzystania tej luki?
Co ciekawe, Google w swoim programie Bug Bounty wprost stwierdza, że według nich nie jest to luka bezpieczeństwa
@InnyKtosek: W odniesieniu do OAutha, to jeśli używany jest flow "implicit grant", to wówczas client secret nie jest potrzebny, więc open redirect może być przydatny.
Ponadto open redirect jest ciekawy w aplikacjach, które opierają się o jakiekolwiek mechanizmy typu webview (jak zalinkowany wyżej mój tekst o Hangouts Chat).
Moim zdaniem open redirect jako możliwość wykonania phishingu to faktycznie dość naciągany atak. Natomiast, jak wspomniał @ZaufanaTrzeciaStrona, przydaje się przy innych atakach.
gdzieś pojawiło się nazwisko jack posobiec jako lansera tego hasła w tvp on był wtedy w pl i im sprzedał hasło
odnalazłem go na cwirku, dodałem do obserwowanych a następnego dnia jakieś anglojęzyczne prawaki z usa (z cyklu trump to super gość) zaczeły i mnie obserwować ( ͡°͜ʖ͡°) @twmistrz:
Otóż Zachar jakiś czas temu wrzucił na swój kanał reklamę firmy od wynajmu długoterminowego. I to jest spoko - niech sobie zarabia na sponsorach. Jednak to co mnie #!$%@?ło to przedstawienie tego jako rzetelnej, obiektywnej analizy tymczasem jest to zwykła reklama a z filmu dowiadujemy się, że wynajem długoterminowy jest bardziej opłacalny od leasingu czy tego, że opłaca się
Kupiłem sobie słuchawki #sony WH-1000XM2 i nie mogę wyjść z podziwu jak można tak spieprzyć dobre słuchawki. Słuchawki grają świetnie, ANC działa genialnie ale nauszniki są tak cholernie niewygode, że wszystkie inne zalety tracą na znaczeniu. Wystarczyłoby aby zrobili nauszniki troszkę głębsze i byłyby to idealne słuchawki a tak zastanawiam się czy nie wymienić ich na #bose QC35 bo choć grają gorzej, mają gorsze ANC to są tak cholernie wygodne, że można
@Dorken: Nie. Fabryczne nauszniki są na plastikowych zatrzaskach które łatwo zdjąć. Jedynie w nausznikach od MDR musisz wyciąć kilka dziurek w odpowiednim miejscu aby zrobić miejsce na te zatrzaski.
Szukam jakiegoś szybkiego routera na którym chce zestawić szyfrowanego VPNa. W tym momencie mam łącze 600mbps i na moim leciwym juz routerze po włączeniu VPN'a z szyfrowaniem prędkość spada do 20mpbs i szukam czegoś co dałoby radę wyciągnąć przynajmniej 300mpbs.
Fajnie by było, gdyby udało się zejść w cenie do maks 1000zł. Zastanawiałem się tez nad tym, aby zbudować sobie coś w oparciu o mini-pc Gigabyte GB-EAPD-4200.
Szukałem czegoś w necie i trafiłem przypadkiem na takie orzeczenie sądu:
tl;dr wyroku:
Z poczynionych przez Sąd Rejonowy ustaleń wynika, że wykonujący czynności służbowe policjanci poruszając się równolegle do kierowanego przez obwinionego pojazdu zauważyli, że używa on telefonu komórkowego. Wprawdzie w tym zakresie funkcjonariusze zeznali odmiennie, mianowicie P. G. powiedział, że widział jak obwiniony trzyma telefon w ręku, natomiast R. K. zeznał, że widział jak obwiniony używał klawiatury telefonu wpisując jakąś
Muszę zrobić intergracje z pewnym serwisem i ich dział IT napisał mi coś takiego: Serwer oAuth jest pod adresem jakasfirma.com/soap/oauth i tam też jest SOAP na którym musicie wywołać metodę getCostam. Do tego podrzucili mi klient id i secret. I to wszystko. Serio. Oczywiście zamiast jakasfirma i getCostam mam poprawne nazwy. Napisałem do tych typków, aby podesłali mi jakąś dokumentacje, przykład czy choćby WSDL a oni mi odpisują, że przecież wszystko
no czyli cos ten request wychodzi na /, a nie /soap/auth...nie chodzi przypadkiem o firmę na literę O?
Nie, nie na "O" ale chyba wiem o której piszesz i jeśli to ta, to jest podobna liga ;) Typowe duże korpo które ma za dużo hajsów do wydawania na pierdoły i systemy IT sprzed 30 lat pisane przez 60 latków.
Nie dość, że od ubezpieczyciela sprawcy dostałem z wielką łąską #!$%@? samochód zastępczy o wartości 1/4 mojego to jeszcze pytają się mnie, czy go im go umyje przed oddaniem. No #!$%@?ło ich (╯°□°)╯︵┻━┻
Czy tylko ja uważam, że te konsolowe narzędzia do git-flow tylko komplikują i dużo szybciej oraz łatwiej jest pracować zgodnie z ideą git-flow ale na klasycznych komendach?
Jakoś łatwiej mi zrobić po prostu git checkout feature/costam niż klepać te git flow checkout costam czy zastanawiać się czym różni się publish od finish gdy mogę zrobić po prostu git push.
Po dwóch latach jeżdzenia automatem dostałem samochód zastępczy z manualem i właśnie sobie zdałem sprawę jak bezsensowne i głupie jest machanie tą wajchą (╯°□°)╯︵┻━┻
Aż dziwne, że przy obecnej komputeryzacji i ogólnie technologii dalej są manualne skrzynie biegów w samochodach.
Są tańsze no i zapewniają "lepszą" kontrolę nad samochodem a jak powszechnje wiadomo każdy kierowca w weekendy jeździ w rajdach, a przynajmniej takke mam wrażenie jak mówię komuś, że mam automat.
@InnyKtosek: Wiem, że mnie zaraz zminusujecie ale jakoś nie mogę się przekonać do automatu. 2 razy jeździłem i w mieście spoko-wygodnie, ale w trasie mi jakoś nie pasuje. Raz audi a6 z silnikiem prawie 300Km a raz pastuchem 2.0tdi
Zna ktoś przeglądarkę www która pozwala na uruchamianie kart w różnych profilach jak Multi-Account Containers od Firefoxa ale która dodatkowo działałaby też na Androidzie i obsługiwała synchronizację?
W odpowiedzi na u........ą moderację Wykopu informuję, że z dniem dzisiejszym 30.03.2018 wszystkie moje dane personalne i fotografie, filmy itd. są obiektami moich praw autorskich (zgodnie z Konwencją Berneńską). W celu komercyjnego wykorzystania, modyfikacji, publikacji lub cenzury wszystkich, wyżej wymienionych obiektów praw autorskich, w każdym konkretnym przypadku wymagana jest pisemna zgoda! Wykop jest firmą publiczną. Dlatego też, wszystkim użytkownikom tego portalu ze śmiesznymi obrazkami, zaleca się umieszczenie na swoich stronach podobnych «powiadomień
Takie podsumowanie dyskusji na wykopie o zasadności karania za znieważenie symboli narodowych:
Znieważanie symboli narodowych Wkurza ludzi: ✓ Przejaw głupoty: ✓ Krzywdzi ludzi: ✗ Nielegalne, bo nie na tym polega wolność słowa, że można robić i mówić każdą głupotę.
Propagowanie pseudonauki(antyszczepionkowcy, homeopatia etc.) Wkurza ludzi: ✓ Przejaw głupoty: ✓ Krzywdzi ludzi: ✓ Legalne, bo mamy wolność słowa więc można robić i mówić każdą głupotę.
Jeszcze kilka lat temu bardzo popularnym nagraniem w rosyjskim internecie był film zarejestrowany na polskiej autostradzie. Widać na nim, jak kierowcy karnie zjeżdżają z lewego pasa do lewej, a ci z prawego - do prawej krawędzi autostrady. W ten sposób tworzyło się miejsce dla karetki. Korytarz życia. "Tak to powinno się robić na całym świecie, musimy się jeszcze wiele nauczyć" - pisał po rosyjsku internauta, który wrzucił nagranie. Zderzenie czterech aut na
[http://google.com](http://google.com)
i na to samo wyjdzie.Zna ktoś jakikolwiek sensowy sposób wykorzystania tej luki?
Co ciekawe, Google w swoim programie Bug Bounty wprost stwierdza, że według nich nie jest to luka bezpieczeństwa
Ponadto open redirect jest ciekawy w aplikacjach, które opierają się o jakiekolwiek mechanizmy typu webview (jak zalinkowany wyżej mój tekst o Hangouts Chat).
Moim zdaniem open redirect jako możliwość wykonania phishingu to faktycznie dość naciągany atak. Natomiast, jak wspomniał @ZaufanaTrzeciaStrona, przydaje się przy innych atakach.