@Curus_Bachleda: u mnie combo: zarówno niedosłuch, jak i szum w uszach (od ponad 10 lat). Lekarze niestety nie pomogli, jedynie aparat słuchowy coś daje. Ale, jak mawia klasyk, można się przyzwyczaić ;]
#webdev #programowanie #javascript #bezpieczenstwo
Zastanawiam się nad możliwościami zabezpieczenia na linii front-backend.
Generalnie backend jest dostosowany do bycia samodzielnym API a frontend to byłby taki wizualny ficzer, którego ktoś może używać ale w sumie to nie musi.
No
Zastanawiam się nad możliwościami zabezpieczenia na linii front-backend.
Generalnie backend jest dostosowany do bycia samodzielnym API a frontend to byłby taki wizualny ficzer, którego ktoś może używać ale w sumie to nie musi.
No
@Khaine: Najważniejszym pytaniem, na jakie musisz sobie odpowiedzieć, to: "przed jakimi atakami chcesz się bronić", czyli jaki masz model zagrożeń. Ktoś kiedyś ładnie powiedział, że "bezpieczeństwo bez modelu zagrożeń to nie bezpieczeństwo - tylko paranoja" ;)
Czas ważności tokena jest kwestią, która bardzo mocno zależy od typu aplikacji - trudno dać tutaj ogólne zalecenie, że wszystkie aplikacje powinny mieć sesje o ważności maksymalnie x minut.
Jeśli rzeczywiście boisz się, że ktoś
Czas ważności tokena jest kwestią, która bardzo mocno zależy od typu aplikacji - trudno dać tutaj ogólne zalecenie, że wszystkie aplikacje powinny mieć sesje o ważności maksymalnie x minut.
Jeśli rzeczywiście boisz się, że ktoś
CORS – czyli cross-origin resource sharing to mechanizm umożliwiający współdzielenie zasobów pomiędzy serwerami znajdującymi się w różnych domenach.
Zazwyczaj w nagłówku
Gwiazdka w tym polu oznacza, że zezwalamy na dostęp z każdej domeny.
Czy zatem ustawienie w tym polu wartości
#od0dopentestera #security #programista15k #programowanie #informatyka
Zazwyczaj w nagłówku
Access-Control-Allow-Origin podajemy adres domeny, która może się łączyć z naszymi zasobami.Gwiazdka w tym polu oznacza, że zezwalamy na dostęp z każdej domeny.
Czy zatem ustawienie w tym polu wartości
null jest prawidłowe i bezpieczne?#od0dopentestera #security #programista15k #programowanie #informatyka
źródło: comment_XDSOQPXteAWWBMumsE6pGeLy7NfUpW3N.jpg
PobierzJak przekonać użytkownika do usunięcia swojego konta w serwisie internetowym bez jego zgody?
W dzisiejszym odcinku #od0dopentestera o ataku Clickjacking.
Podczas potwierdzania usunięcia konta zazwyczaj do serwera wysyłany jest specjalny token.
Dzięki niemu wiadomo, że to użytkownik użył odpowiedniego przycisku.
Osoba z zewnętrz nie jest w stanie przygotować wcześniej formularza usunięcia konta z prawidłowym tokenem a następnie podłożyć go nam do kliknięcia.
W dzisiejszym odcinku #od0dopentestera o ataku Clickjacking.
Podczas potwierdzania usunięcia konta zazwyczaj do serwera wysyłany jest specjalny token.
Dzięki niemu wiadomo, że to użytkownik użył odpowiedniego przycisku.
Osoba z zewnętrz nie jest w stanie przygotować wcześniej formularza usunięcia konta z prawidłowym tokenem a następnie podłożyć go nam do kliknięcia.
@KacperSzurek: Co ciekawe, nie trzeba mieć zainstalowanego Burpa, by skorzystać z ClickBandita, bo twórca wrzuca też jego źródła na GitHuba:
https://github.com/hackvertor/clickbandit/blob/master/clickbandit.js
https://github.com/hackvertor/clickbandit/blob/master/clickbandit.js
Czemu "open redirect" prawie wszyscy uważają za lukę bezpieczeństwa? Wszyscy jako przykład ataku podają phishing bo można wygenerować link z domeny X na domenę Y i wstawić to np. w e-maila. No ale litości, w e-mailu mogę równie dobrze wpisać:
Zna ktoś jakikolwiek sensowy sposób wykorzystania tej luki?
Co ciekawe, Google w swoim programie Bug Bounty wprost stwierdza, że według nich nie jest to luka bezpieczeństwa
[http://google.com](http://google.com) i na to samo wyjdzie.Zna ktoś jakikolwiek sensowy sposób wykorzystania tej luki?
Co ciekawe, Google w swoim programie Bug Bounty wprost stwierdza, że według nich nie jest to luka bezpieczeństwa
@InnyKtosek: W odniesieniu do OAutha, to jeśli używany jest flow "implicit grant", to wówczas client secret nie jest potrzebny, więc open redirect może być przydatny.
Ponadto open redirect jest ciekawy w aplikacjach, które opierają się o jakiekolwiek mechanizmy typu webview (jak zalinkowany wyżej mój tekst o Hangouts Chat).
Moim zdaniem open redirect jako możliwość wykonania phishingu to faktycznie dość naciągany atak. Natomiast, jak wspomniał @ZaufanaTrzeciaStrona, przydaje się przy
Ponadto open redirect jest ciekawy w aplikacjach, które opierają się o jakiekolwiek mechanizmy typu webview (jak zalinkowany wyżej mój tekst o Hangouts Chat).
Moim zdaniem open redirect jako możliwość wykonania phishingu to faktycznie dość naciągany atak. Natomiast, jak wspomniał @ZaufanaTrzeciaStrona, przydaje się przy
Stworzyłem sobie własny, prywatny dyndns :D #chwalesie
O co chodzi?
Mam sobie domenę, którą trzymam na MyDevil i chciałbym kilka subdomen przekierować na swoje Raspberry Pi, które stoi u mnie w domu. Problem: moje IP jest zmienne (zmienia się rzadko, ale jednak). Mógłbym je aktualizować ręcznie przy zmianach... no ale jestem programistą, więc automatyzujemy ;)
Na hostingu postawiłem appkę w #python #flask. Appka ma za zadanie zaktualizować IP
O co chodzi?
Mam sobie domenę, którą trzymam na MyDevil i chciałbym kilka subdomen przekierować na swoje Raspberry Pi, które stoi u mnie w domu. Problem: moje IP jest zmienne (zmienia się rzadko, ale jednak). Mógłbym je aktualizować ręcznie przy zmianach... no ale jestem programistą, więc automatyzujemy ;)
Na hostingu postawiłem appkę w #python #flask. Appka ma za zadanie zaktualizować IP
@fizyk20: Jak dla mnie - kryptograficznie (ideowo) rozwiązanie wydaje się okej.. Mam jedną uwagę do implementacji. W funkcji constructmessage masz:
Jak budujesz wiadomość do podpisu, to koniecznie muszą być separatory pomiędzy konkatenowanymi elementami. Inaczej jest ryzyko, że dwie różne wiadomości mogą dać ten sam podpis. Wynika to z faktu, że np. "123"+"456" daje ten sam wynik co "12"+"3456".
Inne małe ryzyko jakie może tutaj być, to
return main_domain.encode("utf-8") + domains.encode("utf-8") + challengeJak budujesz wiadomość do podpisu, to koniecznie muszą być separatory pomiędzy konkatenowanymi elementami. Inaczej jest ryzyko, że dwie różne wiadomości mogą dać ten sam podpis. Wynika to z faktu, że np. "123"+"456" daje ten sam wynik co "12"+"3456".
Inne małe ryzyko jakie może tutaj być, to
konto usunięte via Android
Dlaczego zaszyfrowany dysk można złamać tylko metodą brute force? W jaki sposób udaje się ukryć to hasło, że nikt do niego nie może mieć dostepu? Czy da się to jakoś prosto wytłumaczyć dla kogoś nie w temacie? Zawsze mnie to ciekawiło.
#kiciochpyta #bezpieczenstwo #it #szyfrowanie
#kiciochpyta #bezpieczenstwo #it #szyfrowanie
@Antwito: Jak już wyżej napisano, hasło nie jest nigdzie przechowywane - jest tylko używane do zbudowania klucza do deszyfracji. Z kolei jeśli dane próbujesz deszyfrować kluczem, który jest niepoprawny, to w wyniku takiej deszyfracji dostaniesz tylko śmieci. Wiesz więc, że klucz jest niepoprawny, ale nie wiesz jaki jest poprawny.
Możesz sobie zobaczyć demo np. dla algorytmów używanych przez bibliotekę TweetNaCl: https://tweetnacl.js.org/#/secretbox .
Kliknij sobie najpierw "Random" przy "Key" oraz "Nonce", a następnie
Możesz sobie zobaczyć demo np. dla algorytmów używanych przez bibliotekę TweetNaCl: https://tweetnacl.js.org/#/secretbox .
Kliknij sobie najpierw "Random" przy "Key" oraz "Nonce", a następnie
Co takiego jest wyjątkowego w elemencie ![](), że można dostać się do jego właściwości za pomocą atrybutu "name"?
Googluję i nie trafiłem na odpowiedź.
Jest jakieś zestawienie jakie inne elementy można "uchwycić" za pomocą atrybutu name?
#javascript #html5
Googluję i nie trafiłem na odpowiedź.
Jest jakieś zestawienie jakie inne elementy można "uchwycić" za pomocą atrybutu name?
#javascript #html5
![ultraoptymista - Co takiego jest wyjątkowego w elemencie ![](), że można dostać się d...](https://wykop.pl/cdn/c3201142/comment_89j6LoLnfDh8gvM7zEGKbm7ZseLcrkXI,w400.jpg)
źródło: comment_89j6LoLnfDh8gvM7zEGKbm7ZseLcrkXI.jpg
Pobierz@ultraoptymista: Co ciekawe, tą właściwością
https://jsbin.com/hedolavoni/1/edit?html,output
name możesz nadpisywać standardowe metody w document ( ͡° ͜ʖ ͡°)https://jsbin.com/hedolavoni/1/edit?html,output
@Pipe({ name: "numeralForm" })
export class NumeralForm {
transform(value: number, forms: Array){
var lastDigit;
var form;
// get last digit
◢ #unknownews ◣
1)
Nie było poniedziałkowego zestawienia i nie będzie też czwartkowego. W zamian wrzucam coś w środę.
Sporo zmienia się w moim życiu, więc i czasu mam znacznie mniej, ale za jakiś czas wszystko wróci do normy.
Przez pewien czas, będę publikował zestawienia raz na tydzień.
1)
źródło: comment_nK9HTRBZPQmt7PEZlpnmpM1LOacwTYJE.jpg
PobierzSuper gierka, ale dość szybko sobie poradziłem ze wszystkimi etapami.
@ZasilaczKomputerowy: To spróbuj tego:
https://xssgolf.appspot.com/ (inna XSS-owa gierka Google ;))
I jeszcze (łatwiejsze niż
#webdev #frontend #javascript
Jak się przejmuje przycisk refresh w web?
Kilka miesięcy wprowadzono do tego API, gdzie kliknięcie przycisku odświeżania nie odświeża strony, tylko wykonuje jakiś wewnętrzny skrypt strony, który sam się zajmuje odświeżeniem niektórych tylko elementów strony.
Jak się przejmuje przycisk refresh w web?
Kilka miesięcy wprowadzono do tego API, gdzie kliknięcie przycisku odświeżania nie odświeża strony, tylko wykonuje jakiś wewnętrzny skrypt strony, który sam się zajmuje odświeżeniem niektórych tylko elementów strony.
@look997: Jedyne, co mi przychodzi do głowy, co pasuje do opisu, to Service Workers, gdzie można z poziomu API w JS kontrolować wszystkie zasoby pobierane przez aplikację. Dzięki SW można faktycznie sterować, które elementy mają pobierane z cache'u, a które muszą być odświeżone.
Wygląda jednak na to, że akurat Facebook nie korzysta z SW, a przynajmniej u siebie go nie widzę w chrome://serviceworker-internals/ .
Jeszcze link do małego opisu
Wygląda jednak na to, że akurat Facebook nie korzysta z SW, a przynajmniej u siebie go nie widzę w chrome://serviceworker-internals/ .
Jeszcze link do małego opisu
Mam w Pythonie taki bytestring:
Jak najprościej przekonwertować to na zwykłą listę/tablicę intów? Typ powyższego w debuggerze to bytes, ale ja nie chcę tego dekodować, chcę mieć dokładnie taką samą tablicę tylko intów, a nie bajtów... a tylko takie odpowiedzi znajduję w Googlach.
#programowanie #naukaprogramowania #python
b[1,2,3,4,5,...,n]Jak najprościej przekonwertować to na zwykłą listę/tablicę intów? Typ powyższego w debuggerze to bytes, ale ja nie chcę tego dekodować, chcę mieć dokładnie taką samą tablicę tylko intów, a nie bajtów... a tylko takie odpowiedzi znajduję w Googlach.
#programowanie #naukaprogramowania #python
@asunez: Mógłbyś wkleić pierwszych dziesięć liczb jakie widzisz w C# (czyli w takiej formie jak chcesz je widzieć), a potem też pierwszych dziesięć elementów tego bytearraya, którego dostajesz w Pythonie?
@asunez: Hm, okej, chyba na początku źle zrozumiałem w czym tak właściwie jest problem ;)
W takim razie literal_eval faktycznie powinien dać radę. Innym rozwiązaniem mogłoby być zrobienie
Coś w
W takim razie literal_eval faktycznie powinien dać radę. Innym rozwiązaniem mogłoby być zrobienie
split po przecinku i zrobienie casta wszystkich wartości na inta.Coś w
https://stat.gov.pl/obszary-tematyczne/ceny-handel/wskazniki-cen/wskazniki-cen-towarow-i-uslug-konsumpcyjnych-pot-inflacja-/miesieczne-wskazniki-cen-towarow-i-uslug-konsumpcyjnych-od-1982-roku/
#rpp #inflacja
źródło: Capture
PobierzZ kolei jak wymnożysz dane od początku tego roku (dzieląc je najpierw przez 100) to