Wytłumaczy mi ktoś o co jest takie wielkie hurr durr glapiński zabije gospodarkę, skoro przez ostatnie miesiące inflacja stoi w miejscu a w lipcu mieliśmy deflację? Te 10% to pozostałości z poprzedniego roku, teraz w zasadzie nie ma inflacji według oficjalnych danych
@Virage Nawet jeśli wzrost cen miesiąc do miesiąca (a o takim mówisz w swoim wpisie) wynosi choćby 1% to jest to już dużo. Zakładając, że każdego miesiąca ceny wzrastają "tylko" o 1%, to oznacza, że po dwunastu miesiącach wzrost cen wyniesie (1,01)^12 = 1,1268, czyli innymi słowy - rok do roku to wzrost o prawie 13%.
Z kolei jak wymnożysz dane od początku tego roku (dzieląc je najpierw przez 100) to wychodzi:
@Curus_Bachleda: u mnie combo: zarówno niedosłuch, jak i szum w uszach (od ponad 10 lat). Lekarze niestety nie pomogli, jedynie aparat słuchowy coś daje. Ale, jak mawia klasyk, można się przyzwyczaić ;]
Zastanawiam się nad możliwościami zabezpieczenia na linii front-backend.
Generalnie backend jest dostosowany do bycia samodzielnym API a frontend to byłby taki wizualny ficzer, którego ktoś może używać ale w sumie to nie musi.
No i z tej okazji metodą zabezpieczenia jest JWT - ktoś przesyła prośbę o token dając kredencjały, backend patrzy do bazy czy taki user istnieje i czy zgadza się hash hasła - jeśli tak, to
@Khaine: Najważniejszym pytaniem, na jakie musisz sobie odpowiedzieć, to: "przed jakimi atakami chcesz się bronić", czyli jaki masz model zagrożeń. Ktoś kiedyś ładnie powiedział, że "bezpieczeństwo bez modelu zagrożeń to nie bezpieczeństwo - tylko paranoja" ;)
Czas ważności tokena jest kwestią, która bardzo mocno zależy od typu aplikacji - trudno dać tutaj ogólne zalecenie, że wszystkie aplikacje powinny mieć sesje o ważności maksymalnie x minut.
CORS – czyli cross-origin resource sharing to mechanizm umożliwiający współdzielenie zasobów pomiędzy serwerami znajdującymi się w różnych domenach. Zazwyczaj w nagłówku Access-Control-Allow-Origin podajemy adres domeny, która może się łączyć z naszymi zasobami. Gwiazdka w tym polu oznacza, że zezwalamy na dostęp z każdej domeny. Czy zatem ustawienie w tym polu wartości null jest prawidłowe i bezpieczne?
XSS: Sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu, który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika
Jak przekonać użytkownika do usunięcia swojego konta w serwisie internetowym bez jego zgody? W dzisiejszym odcinku #od0dopentestera o ataku Clickjacking.
Podczas potwierdzania usunięcia konta zazwyczaj do serwera wysyłany jest specjalny token. Dzięki niemu wiadomo, że to użytkownik użył odpowiedniego przycisku. Osoba z zewnętrz nie jest w stanie przygotować wcześniej formularza usunięcia konta z prawidłowym tokenem a następnie podłożyć go nam do kliknięcia. Nie zna bowiem prawidłowej wartości oczekiwanej przez serwer - tak
Czemu "open redirect" prawie wszyscy uważają za lukę bezpieczeństwa? Wszyscy jako przykład ataku podają phishing bo można wygenerować link z domeny X na domenę Y i wstawić to np. w e-maila. No ale litości, w e-mailu mogę równie dobrze wpisać: [http://google.com](http://google.com) i na to samo wyjdzie.
Zna ktoś jakikolwiek sensowy sposób wykorzystania tej luki?
Co ciekawe, Google w swoim programie Bug Bounty wprost stwierdza, że według nich nie jest to luka bezpieczeństwa
@InnyKtosek: W odniesieniu do OAutha, to jeśli używany jest flow "implicit grant", to wówczas client secret nie jest potrzebny, więc open redirect może być przydatny.
Ponadto open redirect jest ciekawy w aplikacjach, które opierają się o jakiekolwiek mechanizmy typu webview (jak zalinkowany wyżej mój tekst o Hangouts Chat).
Moim zdaniem open redirect jako możliwość wykonania phishingu to faktycznie dość naciągany atak. Natomiast, jak wspomniał @ZaufanaTrzeciaStrona, przydaje się przy innych atakach.
Zatrudniamy ludzi na czarno. Oszukujemy ZUS i skarbówkę. Inaczej tego biznesu prowadzić się nie da - twierdzi ajentka sklepów spożywczych znanej sieci. Sieć tymczasem zachęca do franczyzy i gwarantuje 6500 zł przychodu.
Stworzyłem sobie własny, prywatny dyndns :D #chwalesie
O co chodzi? Mam sobie domenę, którą trzymam na MyDevil i chciałbym kilka subdomen przekierować na swoje Raspberry Pi, które stoi u mnie w domu. Problem: moje IP jest zmienne (zmienia się rzadko, ale jednak). Mógłbym je aktualizować ręcznie przy zmianach... no ale jestem programistą, więc automatyzujemy ;)
Na hostingu postawiłem appkę w #python #flask. Appka ma za zadanie zaktualizować IP przypisane do domeny,
@fizyk20: Jak dla mnie - kryptograficznie (ideowo) rozwiązanie wydaje się okej.. Mam jedną uwagę do implementacji. W funkcji constructmessage masz:
return main_domain.encode("utf-8") + domains.encode("utf-8") + challenge Jak budujesz wiadomość do podpisu, to koniecznie muszą być separatory pomiędzy konkatenowanymi elementami. Inaczej jest ryzyko, że dwie różne wiadomości mogą dać ten sam podpis. Wynika to z faktu, że np. "123"+"456" daje ten sam wynik co "12"+"3456".
Nie jest tajemnicą, że użytkownicy Netfliksa nierzadko dzielą się swoim kontem ze znajomymi. Firma zastrzega na ilu ekranach jednocześnie wyświetlać można treści – plan Premium pozwala na oglądanie na czterech urządzeniach w tym samym czasie. Niektórzy zrzucają się w takim wypadku na...
@KrzaQ2: W regulaminie nie ma słowa o żadnych relacjach rodzinnych. Nie ma również słowa o tym, że można (lub nie można) się dzielić swoim kontem z innymi osobami.
Skoro więc nie jest to w żaden sposób wyraźnie zabronione, należy zakładać, że jest dopuszczalne.
Dla odmiany, przykładowo Spotify ma plan rodzinny, choć ten regulamin mówi tylko tyle, że osoby muszą zamieszkiwać pod tym samym adresem; żadne relacja rodzinne nie są określone.
Dlaczego zaszyfrowany dysk można złamać tylko metodą brute force? W jaki sposób udaje się ukryć to hasło, że nikt do niego nie może mieć dostepu? Czy da się to jakoś prosto wytłumaczyć dla kogoś nie w temacie? Zawsze mnie to ciekawiło.
@Antwito: Jak już wyżej napisano, hasło nie jest nigdzie przechowywane - jest tylko używane do zbudowania klucza do deszyfracji. Z kolei jeśli dane próbujesz deszyfrować kluczem, który jest niepoprawny, to w wyniku takiej deszyfracji dostaniesz tylko śmieci. Wiesz więc, że klucz jest niepoprawny, ale nie wiesz jaki jest poprawny.
"Monitory CRT i LCD potrafią wyświetlić znacznie jaśniejszą biel, więc po przeliczeniu barw flagi z xyY na sRGB objawiło się to szarawym odcieniem bieli. Ponieważ nie wiadomo, czy ustawodawca podając parametry barw narodowych podawał je wyłącznie dla tkanin, czy też dla wszystkich możliwych materiałów, w tym monitorów, nie można stwierdzić, czy barwy wyliczone z ustawy są poprawnym odwzorowaniem barw Rzeczypospolitej Polskiej na ekranie, czy też nie."
Co takiego jest wyjątkowego w elemencie ![](), że można dostać się do jego właściwości za pomocą atrybutu "name"? Googluję i nie trafiłem na odpowiedź. Jest jakieś zestawienie jakie inne elementy można "uchwycić" za pomocą atrybutu name?
O problemie informuje mBank, ale sprawa dotyczy także innych banków. Pojawił się wirus, który instaluje „nakładkę” na ekranie do logowania do aplikacji mobilnej. Wczoraj ostrzeżenie pojawiło się też na stronie internetowej PKO BP. Jak czytamy na stronie mBanku, wirus atakuje smartfony z...
@sid127: Niestety problemem nie jest aplikacja mBanku (lub jakiegokolwiek innego banku), tylko problem Androida, że pozwala dowolnej aplikacji rysować swoją treść nad inną aplikacją, jeśli tylko ma ustawione uprawnienie SYSTEMALERTWINDOW - które z kolei może dostać bez dodatkowej akcji użytkownika, jeśli ten zainstaluje ją ze sklepu Google Play.
Po drugie: możesz skorzystać z magii, z której korzysta gettext i użyć gotowego wyrażenia, które zwraca 0, 1 lub 2 w zależności od tego jaka forma ma być użyta:
https://stat.gov.pl/obszary-tematyczne/ceny-handel/wskazniki-cen/wskazniki-cen-towarow-i-uslug-konsumpcyjnych-pot-inflacja-/miesieczne-wskazniki-cen-towarow-i-uslug-konsumpcyjnych-od-1982-roku/
#rpp #inflacja
źródło: Capture
PobierzZ kolei jak wymnożysz dane od początku tego roku (dzieląc je najpierw przez 100) to wychodzi: