@Curus_Bachleda: u mnie combo: zarówno niedosłuch, jak i szum w uszach (od ponad 10 lat). Lekarze niestety nie pomogli, jedynie aparat słuchowy coś daje. Ale, jak mawia klasyk, można się przyzwyczaić ;]
#webdev #programowanie #javascript #bezpieczenstwo
Zastanawiam się nad możliwościami zabezpieczenia na linii front-backend.
Generalnie backend jest dostosowany do bycia samodzielnym API a frontend to byłby taki wizualny ficzer, którego ktoś może używać ale w sumie to nie musi.
No
Zastanawiam się nad możliwościami zabezpieczenia na linii front-backend.
Generalnie backend jest dostosowany do bycia samodzielnym API a frontend to byłby taki wizualny ficzer, którego ktoś może używać ale w sumie to nie musi.
No
@Khaine: Najważniejszym pytaniem, na jakie musisz sobie odpowiedzieć, to: "przed jakimi atakami chcesz się bronić", czyli jaki masz model zagrożeń. Ktoś kiedyś ładnie powiedział, że "bezpieczeństwo bez modelu zagrożeń to nie bezpieczeństwo - tylko paranoja" ;)
Czas ważności tokena jest kwestią, która bardzo mocno zależy od typu aplikacji - trudno dać tutaj ogólne zalecenie, że wszystkie aplikacje powinny mieć sesje o ważności maksymalnie x minut.
Jeśli rzeczywiście boisz się, że ktoś
Czas ważności tokena jest kwestią, która bardzo mocno zależy od typu aplikacji - trudno dać tutaj ogólne zalecenie, że wszystkie aplikacje powinny mieć sesje o ważności maksymalnie x minut.
Jeśli rzeczywiście boisz się, że ktoś
"Wszystko jest fałszywe": Ex-dyrektor Reddita potwierdza że pomiary ruchu ...
internetowego są g***o warte. Tak samo,ilości mobilnych użytkowników są zafałszowane.
z- 99
- #
- #
- #
- #
@radapasa: O jaką zmienną chodzi?
CORS – czyli cross-origin resource sharing to mechanizm umożliwiający współdzielenie zasobów pomiędzy serwerami znajdującymi się w różnych domenach.
Zazwyczaj w nagłówku
Gwiazdka w tym polu oznacza, że zezwalamy na dostęp z każdej domeny.
Czy zatem ustawienie w tym polu wartości
#od0dopentestera #security #programista15k #programowanie #informatyka
Zazwyczaj w nagłówku
Access-Control-Allow-Origin podajemy adres domeny, która może się łączyć z naszymi zasobami.Gwiazdka w tym polu oznacza, że zezwalamy na dostęp z każdej domeny.
Czy zatem ustawienie w tym polu wartości
null jest prawidłowe i bezpieczne?#od0dopentestera #security #programista15k #programowanie #informatyka
źródło: comment_XDSOQPXteAWWBMumsE6pGeLy7NfUpW3N.jpg
PobierzXSS - czemu warto mu się przyjrzeć? Prezentacja Michała Bentkowskiego (reupload)
XSS: Sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu, który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika
z- 4
- #
- #
- #
- #
- #
- #
@airflame: Niebawem powinno pojawić się nagranie z innej konferencji, gdzie prowadziłem tę samą prezentację. Tam przynajmniej widać ekran ;]
Jak przekonać użytkownika do usunięcia swojego konta w serwisie internetowym bez jego zgody?
W dzisiejszym odcinku #od0dopentestera o ataku Clickjacking.
Podczas potwierdzania usunięcia konta zazwyczaj do serwera wysyłany jest specjalny token.
Dzięki niemu wiadomo, że to użytkownik użył odpowiedniego przycisku.
Osoba z zewnętrz nie jest w stanie przygotować wcześniej formularza usunięcia konta z prawidłowym tokenem a następnie podłożyć go nam do kliknięcia.
W dzisiejszym odcinku #od0dopentestera o ataku Clickjacking.
Podczas potwierdzania usunięcia konta zazwyczaj do serwera wysyłany jest specjalny token.
Dzięki niemu wiadomo, że to użytkownik użył odpowiedniego przycisku.
Osoba z zewnętrz nie jest w stanie przygotować wcześniej formularza usunięcia konta z prawidłowym tokenem a następnie podłożyć go nam do kliknięcia.
@KacperSzurek: Co ciekawe, nie trzeba mieć zainstalowanego Burpa, by skorzystać z ClickBandita, bo twórca wrzuca też jego źródła na GitHuba:
https://github.com/hackvertor/clickbandit/blob/master/clickbandit.js
https://github.com/hackvertor/clickbandit/blob/master/clickbandit.js
Czemu "open redirect" prawie wszyscy uważają za lukę bezpieczeństwa? Wszyscy jako przykład ataku podają phishing bo można wygenerować link z domeny X na domenę Y i wstawić to np. w e-maila. No ale litości, w e-mailu mogę równie dobrze wpisać:
Zna ktoś jakikolwiek sensowy sposób wykorzystania tej luki?
Co ciekawe, Google w swoim programie Bug Bounty wprost stwierdza, że według nich nie jest to luka bezpieczeństwa
[http://google.com](http://google.com) i na to samo wyjdzie.Zna ktoś jakikolwiek sensowy sposób wykorzystania tej luki?
Co ciekawe, Google w swoim programie Bug Bounty wprost stwierdza, że według nich nie jest to luka bezpieczeństwa
@InnyKtosek: W odniesieniu do OAutha, to jeśli używany jest flow "implicit grant", to wówczas client secret nie jest potrzebny, więc open redirect może być przydatny.
Ponadto open redirect jest ciekawy w aplikacjach, które opierają się o jakiekolwiek mechanizmy typu webview (jak zalinkowany wyżej mój tekst o Hangouts Chat).
Moim zdaniem open redirect jako możliwość wykonania phishingu to faktycznie dość naciągany atak. Natomiast, jak wspomniał @ZaufanaTrzeciaStrona, przydaje się przy
Ponadto open redirect jest ciekawy w aplikacjach, które opierają się o jakiekolwiek mechanizmy typu webview (jak zalinkowany wyżej mój tekst o Hangouts Chat).
Moim zdaniem open redirect jako możliwość wykonania phishingu to faktycznie dość naciągany atak. Natomiast, jak wspomniał @ZaufanaTrzeciaStrona, przydaje się przy
Ajent: W tym biznesie trzeba oszukiwać.
Zatrudniamy ludzi na czarno. Oszukujemy ZUS i skarbówkę. Inaczej tego biznesu prowadzić się nie da - twierdzi ajentka sklepów spożywczych znanej sieci. Sieć tymczasem zachęca do franczyzy i gwarantuje 6500 zł przychodu.
z- 139
- #
- #
@wojtekmat: Też mnie to zdziwiło, ale Żabka na swojej oficjalnej stronie faktycznie pisze o przychodzie.
http://zabkapolska.pl/pl/home/franczyza
http://zabkapolska.pl/pl/home/franczyza
Zyskujesz 6500 zł* gwarantowanego przychodu
Stworzyłem sobie własny, prywatny dyndns :D #chwalesie
O co chodzi?
Mam sobie domenę, którą trzymam na MyDevil i chciałbym kilka subdomen przekierować na swoje Raspberry Pi, które stoi u mnie w domu. Problem: moje IP jest zmienne (zmienia się rzadko, ale jednak). Mógłbym je aktualizować ręcznie przy zmianach... no ale jestem programistą, więc automatyzujemy ;)
Na hostingu postawiłem appkę w #python #flask. Appka ma za zadanie zaktualizować IP
O co chodzi?
Mam sobie domenę, którą trzymam na MyDevil i chciałbym kilka subdomen przekierować na swoje Raspberry Pi, które stoi u mnie w domu. Problem: moje IP jest zmienne (zmienia się rzadko, ale jednak). Mógłbym je aktualizować ręcznie przy zmianach... no ale jestem programistą, więc automatyzujemy ;)
Na hostingu postawiłem appkę w #python #flask. Appka ma za zadanie zaktualizować IP
@fizyk20: Jak dla mnie - kryptograficznie (ideowo) rozwiązanie wydaje się okej.. Mam jedną uwagę do implementacji. W funkcji constructmessage masz:
Jak budujesz wiadomość do podpisu, to koniecznie muszą być separatory pomiędzy konkatenowanymi elementami. Inaczej jest ryzyko, że dwie różne wiadomości mogą dać ten sam podpis. Wynika to z faktu, że np. "123"+"456" daje ten sam wynik co "12"+"3456".
Inne małe ryzyko jakie może tutaj być, to
return main_domain.encode("utf-8") + domains.encode("utf-8") + challengeJak budujesz wiadomość do podpisu, to koniecznie muszą być separatory pomiędzy konkatenowanymi elementami. Inaczej jest ryzyko, że dwie różne wiadomości mogą dać ten sam podpis. Wynika to z faktu, że np. "123"+"456" daje ten sam wynik co "12"+"3456".
Inne małe ryzyko jakie może tutaj być, to
Netflix będzie nadal przymykał oko na osoby dzielące się subskrypcją
Nie jest tajemnicą, że użytkownicy Netfliksa nierzadko dzielą się swoim kontem ze znajomymi. Firma zastrzega na ilu ekranach jednocześnie wyświetlać można treści – plan Premium pozwala na oglądanie na czterech urządzeniach w tym samym czasie. Niektórzy zrzucają się w takim wypadku na...
z- 225
- #
- #
- #
- #
- #
- #
@KrzaQ2: W regulaminie nie ma słowa o żadnych relacjach rodzinnych. Nie ma również słowa o tym, że można (lub nie można) się dzielić swoim kontem z innymi osobami.
Skoro więc nie jest to w żaden sposób wyraźnie zabronione, należy zakładać, że jest dopuszczalne.
Dla odmiany, przykładowo Spotify ma plan rodzinny, choć ten regulamin mówi tylko tyle, że osoby muszą zamieszkiwać pod tym samym adresem; żadne relacja rodzinne nie są określone.
Skoro więc nie jest to w żaden sposób wyraźnie zabronione, należy zakładać, że jest dopuszczalne.
Dla odmiany, przykładowo Spotify ma plan rodzinny, choć ten regulamin mówi tylko tyle, że osoby muszą zamieszkiwać pod tym samym adresem; żadne relacja rodzinne nie są określone.
konto usunięte via Android
Dlaczego zaszyfrowany dysk można złamać tylko metodą brute force? W jaki sposób udaje się ukryć to hasło, że nikt do niego nie może mieć dostepu? Czy da się to jakoś prosto wytłumaczyć dla kogoś nie w temacie? Zawsze mnie to ciekawiło.
#kiciochpyta #bezpieczenstwo #it #szyfrowanie
#kiciochpyta #bezpieczenstwo #it #szyfrowanie
@Antwito: Jak już wyżej napisano, hasło nie jest nigdzie przechowywane - jest tylko używane do zbudowania klucza do deszyfracji. Z kolei jeśli dane próbujesz deszyfrować kluczem, który jest niepoprawny, to w wyniku takiej deszyfracji dostaniesz tylko śmieci. Wiesz więc, że klucz jest niepoprawny, ale nie wiesz jaki jest poprawny.
Możesz sobie zobaczyć demo np. dla algorytmów używanych przez bibliotekę TweetNaCl: https://tweetnacl.js.org/#/secretbox .
Kliknij sobie najpierw "Random" przy "Key" oraz "Nonce", a następnie
Możesz sobie zobaczyć demo np. dla algorytmów używanych przez bibliotekę TweetNaCl: https://tweetnacl.js.org/#/secretbox .
Kliknij sobie najpierw "Random" przy "Key" oraz "Nonce", a następnie
Kradzież hasła przy pomocy CSS-a[eng]
![Kradzież hasła przy pomocy CSS-a[eng]](https://wykop.pl/cdn/c3397993/link_LS37fpEDYk6d9yTbGONSkopQZeTOhU1I,w220h142.jpg)
Artykuł, zakończony filmikiem na temat opowiada jak w sprytny sposób można ukraść hasło z przeglądarki odpowiednim stylem w CSSie
z- 34
- #
- #
- #
- #
- #
- #
@shpyo: I na samym Sekuraku też o tym było: https://sekurak.pl/wykradanie-danych-w-swietnym-stylu-czyli-jak-wykorzystac-css-y-do-atakow-na-webaplikacje/
Wykop używa niepoprawnych braw we fladze Polski na belce
Panie grafik, roboty dużo nie było a pan zwalił! :D
z- 25
- #
- #
- #
- #
- #
@Tomek_91: Nie mówiąc już o:
"Monitory CRT i LCD potrafią wyświetlić znacznie jaśniejszą biel, więc po przeliczeniu barw flagi z xyY na sRGB objawiło się to szarawym odcieniem bieli. Ponieważ nie wiadomo, czy ustawodawca podając parametry barw narodowych podawał je wyłącznie dla tkanin, czy też dla wszystkich możliwych materiałów, w tym monitorów, nie można stwierdzić, czy barwy wyliczone z ustawy są poprawnym odwzorowaniem barw Rzeczypospolitej Polskiej na ekranie, czy też
"Monitory CRT i LCD potrafią wyświetlić znacznie jaśniejszą biel, więc po przeliczeniu barw flagi z xyY na sRGB objawiło się to szarawym odcieniem bieli. Ponieważ nie wiadomo, czy ustawodawca podając parametry barw narodowych podawał je wyłącznie dla tkanin, czy też dla wszystkich możliwych materiałów, w tym monitorów, nie można stwierdzić, czy barwy wyliczone z ustawy są poprawnym odwzorowaniem barw Rzeczypospolitej Polskiej na ekranie, czy też
Co takiego jest wyjątkowego w elemencie ![](), że można dostać się do jego właściwości za pomocą atrybutu "name"?
Googluję i nie trafiłem na odpowiedź.
Jest jakieś zestawienie jakie inne elementy można "uchwycić" za pomocą atrybutu name?
#javascript #html5
Googluję i nie trafiłem na odpowiedź.
Jest jakieś zestawienie jakie inne elementy można "uchwycić" za pomocą atrybutu name?
#javascript #html5
![ultraoptymista - Co takiego jest wyjątkowego w elemencie ![](), że można dostać się d...](https://wykop.pl/cdn/c3201142/comment_89j6LoLnfDh8gvM7zEGKbm7ZseLcrkXI,w400.jpg)
źródło: comment_89j6LoLnfDh8gvM7zEGKbm7ZseLcrkXI.jpg
Pobierz@ultraoptymista: Co ciekawe, tą właściwością
https://jsbin.com/hedolavoni/1/edit?html,output
name możesz nadpisywać standardowe metody w document ( ͡° ͜ʖ ͡°)https://jsbin.com/hedolavoni/1/edit?html,output
Pojawił się wirus, który instaluje „nakładkę” na aplikację bankowości...
O problemie informuje mBank, ale sprawa dotyczy także innych banków. Pojawił się wirus, który instaluje „nakładkę” na ekranie do logowania do aplikacji mobilnej. Wczoraj ostrzeżenie pojawiło się też na stronie internetowej PKO BP. Jak czytamy na stronie mBanku, wirus atakuje smartfony z...
z- 132
- #
- #
- #
- #
- #
- #
@sid127: Niestety problemem nie jest aplikacja mBanku (lub jakiegokolwiek innego banku), tylko problem Androida, że pozwala dowolnej aplikacji rysować swoją treść nad inną aplikacją, jeśli tylko ma ustawione uprawnienie SYSTEMALERTWINDOW - które z kolei może dostać bez dodatkowej akcji użytkownika, jeśli ten zainstaluje ją ze sklepu Google Play.
Tutaj ciekawy opis ataku: http://iisp.gatech.edu/sites/default/files/documents/ieee_sp17_cloak_and_dagger_final.pdf (jest tam też wspomniane, że aktualnie "[there's] no easy fix").
Co więcej, przed Androidem 8.0
Tutaj ciekawy opis ataku: http://iisp.gatech.edu/sites/default/files/documents/ieee_sp17_cloak_and_dagger_final.pdf (jest tam też wspomniane, że aktualnie "[there's] no easy fix").
Co więcej, przed Androidem 8.0
Treść przeznaczona dla osób powyżej 18 roku życia...
https://stat.gov.pl/obszary-tematyczne/ceny-handel/wskazniki-cen/wskazniki-cen-towarow-i-uslug-konsumpcyjnych-pot-inflacja-/miesieczne-wskazniki-cen-towarow-i-uslug-konsumpcyjnych-od-1982-roku/
#rpp #inflacja
źródło: Capture
PobierzZ kolei jak wymnożysz dane od początku tego roku (dzieląc je najpierw przez 100) to