- 0
Zastanawiam się nad możliwościami zabezpieczenia na linii front-backend.
Generalnie backend jest dostosowany do bycia samodzielnym API a frontend to byłby taki wizualny ficzer, którego ktoś może używać ale w sumie to nie musi.
No i z tej okazji metodą zabezpieczenia jest JWT - ktoś przesyła prośbę o token dając kredencjały, backend patrzy do bazy czy taki user istnieje i czy zgadza się hash hasła - jeśli tak, to
Czas ważności tokena jest kwestią, która bardzo mocno zależy od typu aplikacji - trudno dać tutaj ogólne zalecenie, że wszystkie aplikacje powinny mieć sesje o ważności maksymalnie x minut.
Jeśli rzeczywiście boisz się, że ktoś
"Wszystko jest fałszywe": Ex-dyrektor Reddita potwierdza że pomiary ruchu ...
internetowego są g***o warte. Tak samo,ilości mobilnych użytkowników są zafałszowane.
z- 99
- #
- #
- #
- #
- 11
Zazwyczaj w nagłówku
Access-Control-Allow-Origin
podajemy adres domeny, która może się łączyć z naszymi zasobami.Gwiazdka w tym polu oznacza, że zezwalamy na dostęp z każdej domeny.
Czy zatem ustawienie w tym polu wartości
null
jest prawidłowe i bezpieczne?#od0dopentestera #security #programista15k #programowanie #informatyka #it #nauka #ciekawostki
XSS - czemu warto mu się przyjrzeć? Prezentacja Michała Bentkowskiego (reupload)
XSS: Sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu, który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika
z- 4
- #
- #
- #
- #
- #
- #
- 66
W dzisiejszym odcinku #od0dopentestera o ataku Clickjacking.
Podczas potwierdzania usunięcia konta zazwyczaj do serwera wysyłany jest specjalny token.
Dzięki niemu wiadomo, że to użytkownik użył odpowiedniego przycisku.
Osoba z zewnętrz nie jest w stanie przygotować wcześniej formularza usunięcia konta z prawidłowym tokenem a następnie podłożyć go nam do kliknięcia.
Nie zna bowiem prawidłowej wartości oczekiwanej przez serwer - tak
https://github.com/hackvertor/clickbandit/blob/master/clickbandit.js
[http://google.com](http://google.com)
i na to samo wyjdzie.Zna ktoś jakikolwiek sensowy sposób wykorzystania tej luki?
Co ciekawe, Google w swoim programie Bug Bounty wprost stwierdza, że według nich nie jest to luka bezpieczeństwa
Ponadto open redirect jest ciekawy w aplikacjach, które opierają się o jakiekolwiek mechanizmy typu webview (jak zalinkowany wyżej mój tekst o Hangouts Chat).
Moim zdaniem open redirect jako możliwość wykonania phishingu to faktycznie dość naciągany atak. Natomiast, jak wspomniał @ZaufanaTrzeciaStrona, przydaje się przy innych atakach.
Ajent: W tym biznesie trzeba oszukiwać.
Zatrudniamy ludzi na czarno. Oszukujemy ZUS i skarbówkę. Inaczej tego biznesu prowadzić się nie da - twierdzi ajentka sklepów spożywczych znanej sieci. Sieć tymczasem zachęca do franczyzy i gwarantuje 6500 zł przychodu.
z- 139
- #
- #
- 35
http://zabkapolska.pl/pl/home/franczyza
Zyskujesz 6500 zł* gwarantowanego przychodu
- 14
O co chodzi?
Mam sobie domenę, którą trzymam na MyDevil i chciałbym kilka subdomen przekierować na swoje Raspberry Pi, które stoi u mnie w domu. Problem: moje IP jest zmienne (zmienia się rzadko, ale jednak). Mógłbym je aktualizować ręcznie przy zmianach... no ale jestem programistą, więc automatyzujemy ;)
Na hostingu postawiłem appkę w #python #flask. Appka ma za zadanie zaktualizować IP przypisane do domeny,
return main_domain.encode("utf-8") + domains.encode("utf-8") + challenge
Jak budujesz wiadomość do podpisu, to koniecznie muszą być separatory pomiędzy konkatenowanymi elementami. Inaczej jest ryzyko, że dwie różne wiadomości mogą dać ten sam podpis. Wynika to z faktu, że np. "123"+"456" daje ten sam wynik co "12"+"3456".
Inne małe ryzyko jakie może tutaj
Netflix będzie nadal przymykał oko na osoby dzielące się subskrypcją
Nie jest tajemnicą, że użytkownicy Netfliksa nierzadko dzielą się swoim kontem ze znajomymi. Firma zastrzega na ilu ekranach jednocześnie wyświetlać można treści – plan Premium pozwala na oglądanie na czterech urządzeniach w tym samym czasie. Niektórzy zrzucają się w takim wypadku na...
z- 225
- #
- #
- #
- #
- #
- #
- 31
Skoro więc nie jest to w żaden sposób wyraźnie zabronione, należy zakładać, że jest dopuszczalne.
Dla odmiany, przykładowo Spotify ma plan rodzinny, choć ten regulamin mówi tylko tyle, że osoby muszą zamieszkiwać pod tym samym adresem; żadne relacja rodzinne nie są określone.
- 1
#kiciochpyta #bezpieczenstwo #it #szyfrowanie
Możesz sobie zobaczyć demo np. dla algorytmów używanych przez bibliotekę TweetNaCl: https://tweetnacl.js.org/#/secretbox .
Kliknij sobie najpierw "Random" przy "Key" oraz "Nonce", a
Kradzież hasła przy pomocy CSS-a[eng]
Artykuł, zakończony filmikiem na temat opowiada jak w sprytny sposób można ukraść hasło z przeglądarki odpowiednim stylem w CSSie
z- 34
- #
- #
- #
- #
- #
- #
Wykop używa niepoprawnych braw we fladze Polski na belce
Panie grafik, roboty dużo nie było a pan zwalił! :D
z- 25
- #
- #
- #
- #
- #
"Monitory CRT i LCD potrafią wyświetlić znacznie jaśniejszą biel, więc po przeliczeniu barw flagi z xyY na sRGB objawiło się to szarawym odcieniem bieli. Ponieważ nie wiadomo, czy ustawodawca podając parametry barw narodowych podawał je wyłącznie dla tkanin, czy też dla wszystkich możliwych materiałów, w tym monitorów, nie można stwierdzić, czy barwy wyliczone z ustawy są poprawnym odwzorowaniem barw Rzeczypospolitej Polskiej na ekranie, czy też nie."
Googluję i nie trafiłem na odpowiedź.
Jest jakieś zestawienie jakie inne elementy można "uchwycić" za pomocą atrybutu name?
#javascript #html5
name
możesz nadpisywać standardowe metody w document
( ͡° ͜ʖ ͡°)https://jsbin.com/hedolavoni/1/edit?html,output
Pojawił się wirus, który instaluje „nakładkę” na aplikację bankowości...
O problemie informuje mBank, ale sprawa dotyczy także innych banków. Pojawił się wirus, który instaluje „nakładkę” na ekranie do logowania do aplikacji mobilnej. Wczoraj ostrzeżenie pojawiło się też na stronie internetowej PKO BP. Jak czytamy na stronie mBanku, wirus atakuje smartfony z...
z- 132
- #
- #
- #
- #
- #
- #
- 17
Tutaj ciekawy opis ataku: http://iisp.gatech.edu/sites/default/files/documents/ieee_sp17_cloak_and_dagger_final.pdf (jest tam też wspomniane, że aktualnie "[there's] no easy fix").
Co więcej, przed Androidem 8.0 taki
- 3
@Pipe({ name: "numeralForm" })
export class NumeralForm {
transform(value: number, forms: Array){
var lastDigit;
var form;
// get last digit
lastDigit = value.toString().split('').pop();
// compare
if(value == 1){
form = forms[0]; // dupa
} else {
if((lastDigit >= 2) && (lastDigit <= 4) && ((value < 10) || (value > 20))){
form = forms[1]; // dupy
} else {
form = forms[2]; // dup
}
}
return value +" "+ form;
}
https://stat.gov.pl/obszary-tematyczne/ceny-handel/wskazniki-cen/wskazniki-cen-towarow-i-uslug-konsumpcyjnych-pot-inflacja-/miesieczne-wskazniki-cen-towarow-i-uslug-konsumpcyjnych-od-1982-roku/
#rpp #inflacja
Z kolei jak wymnożysz dane od początku tego roku (dzieląc je najpierw przez 100) to wychodzi: