Bank, z którego korzystam, postanowił “uprościć” sposób parowania/aktywacji aplikacji mobilnej. Wcześniej proces wyglądał standardowo:
Skanowanie kodu QR w bankowości internetowej;
Podanie kodu SMS potwierdzającego parowanie;
Podanie kodu wygenerowanego przez aplikację (pod spodem był OTP).
Teraz jest lepiej:
W aplikacji mobilnej podaje się login i numer dowodu;
Generuje się kod parujący (przekazany telefonicznie, automat);
....
No właśnie, nie wiem co dalej, bo utknąłem na tym etapie. Rzeczywiście, dzwoni do mnie automat, radośnie informuje mnie, że zaraz usłyszę mój kod parowania (hura!), ale by go usłyszeć muszę nacisnąć “1”. Naciskam “1” i... połączenie zostaje przerwane. Do tego należy dodać jedną, jakże mało istotną informację – jest limit jednej próby aktywacji na 24 godziny.
Efekt – nadal nie jestem w stanie aktywować aplikacji mobilnej na drugim urządzeniu. Ale przecież jest łatwiej, prawda?
Kilka tygodni temu rozmawialiśmy z kolegą (pentester, expat) na temat polskich konferencji, na których warto być. W takiej dyskusji nie można było pominąć CONFidence. Wtedy na temat tegorocznej edycji było dziwnie cicho. Okazuje się jednak, że i w tym roku CONFidence nie zabraknie. Tym razem konferencja odbędzie się w dniach 19 i 20 maja, ponownie w Hotelu Forum. Więcej szczegółów tutaj.
Ostatnio w swojej skrzynce znalazłem kilka zaproszeń na kilka wydarzeń, między innymi na KrakYourNet7, KrakWhiteHat czy Warszawskie Dni Informatyki. Za wszystkie te zaproszenia bardzo dziękuję, ale niestety nie jestem w tej chwili znaleźć czasu by z nich skorzystać. Skorzystać, czyli przygotować interesującą prezentację, która da coś uczestnikom.
Nie, nie mam w zwyczaju jeździć z tą samą prezentacją na różne konferencje, prawie zawsze przygotowuję coś nowego. Jedynym większym wyjątkiem od tej reguły była prezentacja z Confidence 2014, która później trafiła również na WHEEL Evening #006. Nie mam również w zwyczaju przygotowywać prezentacji w ostatniej chwili (np. w pociągu jadąc już na konferencję); uważam, że jeśli ktoś mnie zaprasza, a ja decyduję się wystąpić, to należy dostarczyć dobry “produkt”. Podziwiam osoby, które w takim trybie potrafią przygotować coś ciekawego/wartościowego (jest takich osób kilka), ale ja (sam) się do nich nie zaliczam. Potrzebuję więcej czasu, którego teraz po prostu nie mam...
Oryginał tego wpisu dostępny jest pod adresem Nie mam czasu
Tak, od poprzedniego wpisu na ten temat minęło już trochę czasu, a ja ciągle nie zdecydowałem. Na razie wygrywa opcja z Nexus 5x, ale trochę jest to wybór na zasadzie mniejszego zła. Rozważałem też LG G4 (wersję w normalnej obudowie), ale pomysł porzuciłem zaraz po tym jak zobaczyłem jak wygląda ta lekka nakładka na Androida.
W tak zwanym międzyczasie kupiłem Nokia Lumia 735 w celach głównie edukacyjnych i jako “natychmiastowy” backup na wypadek, gdyby mój obecny telefon wyzionął ducha. Choć system (Windows 10 Mobile) mi się spodobał, to jednak nie nadaje się na główny telefon – brak aplikacji Google. Decyzja o przeniesieniu się na tę platformę wiązałaby się z porzuceniem kilku rozwiązań, dla których nie znalazłem lepszych zamienników. Innymi słowy – potwierdziły się moje oczekiwania.
To porównanie natomiast niech będzie komentarzem do opcji z Nexus 6p: Nexus 5x, Nexus 6p, Nexus 6 (rozmiar 6 i 6p są prawie identyczne mimo tego, że 6p ma mniejszy wyświetlacz).
Piękne to czasy były, gdy takich dylematów człowiek nie miał...
Od czasu do czasu w trakcie testów aplikacji można spotkać się z sytuacją, gdy aplikacja nie działa prawidłowo po skonfigurowaniu proxy (np. Burp). Dotyczy to często “grubych klientów”, które wykorzystywane są do tradingu. Dlaczego tak się dzieje?
Co jakiś czas pojawia się ten sam dylemat – czy przedłużyć subskrypcję AutoMapy (AutoMapa EU – to ważne)? Do tej pory decyzja zawsze była na “tak”, ale teraz mam pewne wątpliwości.
Tak tylko informacyjnie jeśli ktoś tego nie zauważył:
XTS-AES encryption algorithm. BitLocker now supports the XTS-AES encryption algorithm. XTS-AES provides additional protection from a class of attacks on encryption that rely on manipulating cipher text to cause predictable changes in plain text. BitLocker supports both 128-bit and 256-bit XTS-AES keys.
P.S: A piszę o tym dlatego, że w końcu zebrałem się w sobie by zmienić AES-CBC na XTS-AES i jestem pod wielkim wrażeniem tego, jak mój szybko laptop poradził sobie z ponad 100GB danych.
Doprecyzujmy – w grubych klientach lub aplikacjach mobilnych. Normalnie, w przypadku aplikacji webowych, testowanie transport layer security polega na sprawdzeniu jakie protokoły/szyfry są oferowane przez serwer. W takim scenariuszu ma to trochę sensu, bo to ostatecznie serwer decyduje co zostanie wynegocjowane a przeglądarki, jeśli nie są za stare, nie używają archaicznych protokołów i szyfrów.
Inaczej sytuacja wygląda w przypadku aplikacji (mobilnych, desktopowych). Może okazać się, że klient jest skłonny zaakceptować wszystko co popadnie łącznie z czymś, co nie daje właściwie żadnego bezpieczeństwa (głównie aNULL). Coś takiego aż prosi się o MitM.
