Tak, od poprzedniego wpisu na ten temat minęło już trochę czasu, a ja ciągle nie zdecydowałem. Na razie wygrywa opcja z Nexus 5x, ale trochę jest to wybór na zasadzie mniejszego zła. Rozważałem też LG G4 (wersję w normalnej obudowie), ale pomysł porzuciłem zaraz po tym jak zobaczyłem jak wygląda ta lekka nakładka na Androida.
W tak zwanym międzyczasie kupiłem Nokia Lumia 735 w celach głównie edukacyjnych i jako “natychmiastowy” backup na wypadek, gdyby mój obecny telefon wyzionął ducha. Choć system (Windows 10 Mobile) mi się spodobał, to jednak nie nadaje się na główny telefon – brak aplikacji Google. Decyzja o przeniesieniu się na tę platformę wiązałaby się z porzuceniem kilku rozwiązań, dla których nie znalazłem lepszych zamienników. Innymi słowy – potwierdziły się moje oczekiwania.
To porównanie natomiast niech będzie komentarzem do opcji z Nexus 6p: Nexus 5x, Nexus 6p, Nexus 6 (rozmiar 6 i 6p są prawie identyczne mimo tego, że 6p ma mniejszy wyświetlacz).
Piękne to czasy były, gdy takich dylematów człowiek nie miał...
Od czasu do czasu w trakcie testów aplikacji można spotkać się z sytuacją, gdy aplikacja nie działa prawidłowo po skonfigurowaniu proxy (np. Burp). Dotyczy to często “grubych klientów”, które wykorzystywane są do tradingu. Dlaczego tak się dzieje?
Co jakiś czas pojawia się ten sam dylemat – czy przedłużyć subskrypcję AutoMapy (AutoMapa EU – to ważne)? Do tej pory decyzja zawsze była na “tak”, ale teraz mam pewne wątpliwości.
Tak tylko informacyjnie jeśli ktoś tego nie zauważył:
XTS-AES encryption algorithm. BitLocker now supports the XTS-AES encryption algorithm. XTS-AES provides additional protection from a class of attacks on encryption that rely on manipulating cipher text to cause predictable changes in plain text. BitLocker supports both 128-bit and 256-bit XTS-AES keys.
P.S: A piszę o tym dlatego, że w końcu zebrałem się w sobie by zmienić AES-CBC na XTS-AES i jestem pod wielkim wrażeniem tego, jak mój szybko laptop poradził sobie z ponad 100GB danych.
Doprecyzujmy – w grubych klientach lub aplikacjach mobilnych. Normalnie, w przypadku aplikacji webowych, testowanie transport layer security polega na sprawdzeniu jakie protokoły/szyfry są oferowane przez serwer. W takim scenariuszu ma to trochę sensu, bo to ostatecznie serwer decyduje co zostanie wynegocjowane a przeglądarki, jeśli nie są za stare, nie używają archaicznych protokołów i szyfrów.
Inaczej sytuacja wygląda w przypadku aplikacji (mobilnych, desktopowych). Może okazać się, że klient jest skłonny zaakceptować wszystko co popadnie łącznie z czymś, co nie daje właściwie żadnego bezpieczeństwa (głównie aNULL). Coś takiego aż prosi się o MitM.
Właśnie skończyłem czytać/słuchać (no dobrze, bardziej słuchać) REAMDE. Miałem ochotę przeczytać tę książkę wkrótce po tym, jak się ukazała, ale zniechęciła mnie ta recenzja Gwoździa: Dwie powieści o graniu serio:
Niestety lektura książki okazała się sporym zawodem, bo zamiast tego wszystkiego, dostałem tysiąc stron banalnej opowieści o terrorystach (zwykłych, islamskich, a także szlachetnych, dwuwymiarowych cyber-terrorystach), zaś przedstawiona w książce gra T’Rain wydała się być zupełnie niegrywalną.
Zauważyłem, że synchronizacja czasu coś nie do końca mi działa tak jak powinna. I nie chodziło o kilka sekund, ale o kilka dni różnicy między czasem na urządzeniu, a tym rzeczywistym. Trochę dziwne, bo urządzenie ma na sobie ntpd i powinno się synchronizować z pool.ntp.org. Po sprawdzeniu logów okazało się, że nie ma odpowiedzi od serwerów. Dziwne...
By skrócić potencjalnie długą historię – jeśli pakiet ma ustawiony port źródłowy na 123 to nie ma odpowiedzi od serwera. Jeśli natomiast port źródłowy jest inny (np. ntpdate -u), wówczas wszystko działa jak należy. Zapewne ISP blokuje takie pakiety...
Oczywiście opcja masquerade nie zmienia portu 123 na inny, więc trzeba było dorobić dodatkową regułę src-nat i wszystko zaczęło działać prawidłowo. Nie zmienia to faktu, że jestem nieco zirytowany zaistniałą sytuacją. Przy okazji – niestety, nie mam możliwości zainstalowania OpenNTPD, tam tego problemu nie ma bo usługa nie jest przywiązana do portu 123 (źródło).
Wpadłem na pomysł pobawienia się skryptami w OWASP ZAP i już tego żałuję. Tak, uwielbiam przeglądać kod OWASP ZAP tylko po to, by dowiedzieć się jak coś zrobić w skrypcie, bo na przykład to, co jest w template dołączonym do ZAP już jest nieaktualne....