Ciekawostka: uparty XSS
Prosta historia – w aplikacji wykryto XSS, według programistów błąd został usunięty poprzez wprowadzenie encodingu wartości parametrów na wejściu. Przy reteście okazuje się, że XSS nadal jest. Co poszło nie tak?
Prosta historia – w aplikacji wykryto XSS, według programistów błąd został usunięty poprzez wprowadzenie encodingu wartości parametrów na wejściu. Przy reteście okazuje się, że XSS nadal jest. Co poszło nie tak?
Właśnie skończyłem czytać Marsjanina po raz trzeci. Najwyraźniej mój młody to umysł ścisły, lubi książki, które już raz słyszał...
Oryginał tego wpisu dostępny jest pod adresem “Marsjanin” po raz trzeci
Autor: Paweł Goleń
W związku z wiadomo czym masowo pojawiają się artykuły z następującym stwierdzeniem:
(...) Troy Hunt, znany ekspert ds. bezpieczeństwa oraz były pracownik Microsoftu. (...)
Najwyraźniej fakt pracy dla Microsoftu jest tak bardzo wstydliwy, że Troy ukrywa go w swoim profilu w LinkedIn, pomija na swoim blogu w swoich wpisach i w sekcji About Me, płaci mi za rozpowszechnianie fake news... (ups, wydało się).
Zakładam, że chodzi o to – Microsoft Regional Director. Cóż, dłuższa lista tutaj – Microsoft Regional Directors, oraz opis programu, w szczególności:
No, Regional Directors are not employed by Microsoft. In some cases, Regional Directors or their companies may have contracts to deliver goods or services to Microsoft but they are not employees.
Oryginał tego wpisu dostępny jest pod adresem Facebook i “były pracownik Microsoftu”
Autor: Paweł Goleń
Miałem napisać o tym, jak to pandemia negatywnie wpłynęła na moją formę pod postacią dodatkowych kilogramów. Po sprawdzeniu okazało się, że akurat tutaj zmiany rok do roku nie ma. Oznacza to tyle, że już rok temu w pierwszy lockdown wszedłem z kilkoma kilogramami więcej, niżbym chciał, ale wciąż ze zdrowym BMI (i tak, zdaję sobie sprawę z ograniczeń tego wskaźnika). Mam nadzieję, że w tym roku uda mi się nadwyżkę zgubić.
A skoro już mowa o pandemii – pamiętacie jak wyglądała rzeczywistość rok temu? Kolejki do wejścia do sklepu, rękawiczki, dystans? A wszystko przy ilości przypadków liczonych w dziesiątkach. Obecnie mamy kolejny lockdown, przypadki (wykrywane) liczone są w dziesiątkach tysięcy, a zasady bezpieczeństwa są powszechnie ignorowane, z różnych powodów. Pominę tutaj wszelkie teorie spiskowe (typu – wirusa nie ma) oraz naszą narodową przekorę. Dwa kluczowe powody , z mojej perspektywy:
Rozumiem, że ten wirus jest nowy, nie boli mnie to, że zalecenia zmieniały się w zależności od stanu wiedzy w danym momencie. Uciążliwe było natomiast to, że informacje o “obostrzeniach” (już sam nazwa jest strzałem w stopę) były podawane w sposób niespójny (patrz: Jak wygląda komunikacja w sytuacji kryzysowej), a egzekwowanie zasad albo nie istniało (najczęściej tam, gdzie ryzyko rzeczywiście istniało), albo było absurdalne (dylemat typu “czy mogę zmienić opony na letnie”, “czy mogę umyć samochód”).
A pamiętacie prezentację, która mówiła o tym jakie akcje będą podejmowane w zależności od tego, jak będzie się kształtowała ilość wykrytych przypadków? Tak, było coś takiego. Nie, nie jest to realizowane, choć nie przypominam sobie, by ktokolwiek ten plan oficjalnie odwołał. Ale kto by się przejmował szczegółami, prawda?
Jednakże o wiele istotniejszą przyczyną manipulowania przeszłością jest ochrona nieomylności Partii. Należy zatem ustawicznie aktualizować przemówienia, statystykę i wszelkie zapisy, aby służyły za dowód, iż sprawdzają się wszystkie partyjne prognozy. Nie wolno się także przyznać do jakiejkolwiek zmiany dotyczącej politycznych sojuszy lub spraw doktrynalnych. Każda bowiem zmiana czy to poglądów, czy choćby polityki uchodzi za przejaw słabości. Jeśli na przykład obecnie wrogiem jest Eurazja, to była nim zawsze. Jeżeli z faktów wynika co innego, fakty należy zmienić. Tak więc ciągle tworzy się historię na nowo.
Tak mi się skojarzyło z 1984, zupełnie bez powodu.
Oryginał tego wpisu dostępny jest pod adresem (Przed)pandemiczne kilogramy
Autor: Paweł Goleń
Choć nie zajmuję się już aktywnym testowaniem (od ~2013), dalej to lubię. Lubię więc czasem coś sobie przypomnieć, albo nauczyć się czegoś nowego i Web Security Academy nadaje się do tego doskonale, o ile znajdzie się na to czas.
Przez długi czas „broniłem” się przed modą na smart home, ale czas płynie, technologia (i dostępne opcje) się zmieniają i w pewnej chwili nawet nie myśląc o urządzeniach „smart” w pewnej chwili okazuje się, że jest ich kilka w domu, więc czemu nie spróbować. Na stanie mam:
W ramach eksperymentów nabyłem do tego Raspberry Pi 3 B+ plus koordynator ZigBee. Na tym uruchomiłem OpenHab 3.0, Zigbee2mqtt i własny skrypt odpytujące termometry BLE (w zasięgu są 3 z 5). Do tego InfluxDB i Grafana.
Jak wspomniałem 3 z 5 termometrów jest w zasięgu BLE. Z drugiej strony w tych pomieszczeniach, gdzie zasięgu nie mam, mam klimatyzatory, które również podają bieżącą temperaturę, choć z mniejszą rozdzielczością. Aktualnie jestem na etapie ustawiania offsetu temperatury, bo raportowana temperatura jest mniej więcej o 1 do 2 stopni za wysoka. Tutaj na odmianę napisałem skrypt do pobierania historii temperatury z termometrów (temperatura minimalna i maksymalna z rozdzielczością godzinową) po to, by porównać wskazania termometrów z klimatyzatorami.
Największym problemem było znalezienie jakiegoś w miarę działającego modułu dla Pythona obsługującego Bluetooth pod Windows. Ostatecznie skończyłem na bleak, który mniej więcej działa. Tak, wiem, jest pybluez, ale kompilować modułu mi się po prostu nie chce.
Efekty? Po pierwsze mam nieco mądrzej ustawioną lampę (temperatura plus jasność) dzięki czemu lepiej pracuje mi się przy komputerze. Po drugie zbieram dane (temperatura), by nieco mądrzej ustawić ogrzewanie (piec dwufunkcyjny + kaloryfery). Przy okazji – zawziąłem się w końcu i zrozumiałem kilka rzeczy o ogrzewaniu:
Moim największym sukcesem do tej pory jest osiągnięcie sytuacji, w której temperatura wody pod prysznicem jest stała, bez wahań ciepła/zimna (mimo termostatu). Powód okazał się nieco inny niż ustawienie pieca – zbyt wysokie ciśnienie wody. Cóż, człowiek uczy się całe życie.
Oryginał tego wpisu dostępny jest pod adresem Smart(er) Home
Autor: Paweł Goleń
Duża. To jest tak piękne, że aż podejrzane: CyRC analysis: Authentication bypass vulnerability in Bouncy Castle.
Nieodmiennie coś takiego kojarzy mi się z tym:
if ((options == (WCLONE|WALL)) && (current->uid = 0)) retval = -EINVAL;
W jednym i drugim przypadku można długo dyskutować, czy wprowadzona podatność jest wynikiem niezamierzonego błędu (niekompetencji), czy wprost przeciwnie. Plausible deniability wiecznie żywe!
I tak, jeśli znajdujesz swój ulubiony kawałek kodu w artykule The Linux Backdoor Attempt of 2003 to znaczy, że:
Oryginał tego wpisu dostępny jest pod adresem indexOf, charAt, co za różnica?
Autor: Paweł Goleń
Kawały o teściowych nie wzięły się z niczego. To jest denerwujące, gdy ktoś po prostu “wie lepiej” (albo tylko mu się tak wydaje), ale... (...). No właśnie, nieco inna perspektywa – dostaję raport, czytam go i mam więcej pytań niż odpowiedzi. I nie tylko pytań, bardzo często również mam to wewnętrzne przeświadczenie, że zrobiłbym to lepiej. Dlaczego?
Okazuje się, że z KeePass korzystam już 12 lat. Przez ten czas zebrało się tam prawie 400 rekordów, różnych. Nie wszystkie do usług online, ale i tych zebrało się sporo. Ostatecznie zebrałem się w sobie i zrobiłem drobne czyszczenie efektywnie redukując ilość rekordów o połowę.
Przy okazji – z uwagi na dobrą promocję zdecydowałem się w końcu na zakup klucza U2F/FIDO2 (Security Key by Yubico). Dlaczego dopiero teraz (poza promocją)? Bo w końcu adopcja jest wystarczająco szeroka.
Na koniec dodam, że koncepcyjnie podoba mi się pomysł Sign in with Apple, choć wiem, że z wykonaniem były problemy – ‘Sign in with Apple’ vulnerability find earns $100k bug bounty. Niemniej jednak gdy widzę, że aplikacja oferuje tę opcję – zwykle z niej korzystam.
Oryginał tego wpisu dostępny jest pod adresem Korzystam z KeePass już 12 lat
Autor: Paweł Goleń
Tak, Endomondo kończy działalność. Trochę szkoda, choć dla mnie najbardziej irytujące jest to, że decyzja zostaje podjęta po tym, jak w końcu zebrałem się w sobie by przenieść stare aktywności ze Sports Tracker do Endomondo. W efekcie musiałem znowu zebrać się w sobie i przenieść:
Dlaczego tak? Bo Polar Flow nie pozwala (albo ja tego nie widzę) zaimportować treningu, można stworzyć informację o treningu z jego bazowymi parametrami, ale bez trasy. Strava, w porównaniu z Endomondo czy Polar Flow, ma ograniczony katalog aktywności, które można zarejestrować. Zresztą i tak korzystam ze sprzętu Polar, więc aktywności domyślnie idą do Flow, a następnie synchronizują się do Strava.
To, czego nie wiem w tej chwili to czy pozostanę przy darmowej wersji Strava, czy jednak zdecyduję się na subskrypcję. Śledzenie postępów, porównywanie rezultatów czy wreszcie segmenty są fajne, ale nie jestem przekonany, że to coś, co jest mi niezbędne. Podobało mi się to, co dawało Endomondo – najlepsze rezultaty (w historii) oraz najlepsze odcinki w danym treningu.
W ramach eksperymentów wrzuciłem eksport z Endomondo do MongoDB, dane wymagały drobnej transformacji. Przy okazji – fajnie działa MongoDB w Ubuntu zainstalowanym w WSLv2 z dostępem ze skryptu w Python z Windows przez localhost.
Oryginał tego wpisu dostępny jest pod adresem Koniec Endomondo
Autor: Paweł Goleń