ugrás a tartalomhoz

Archívum

január 13

Cross-site Scripting/XSS védelem?

mind1 valami név · szerda, 10.53
Van egy olyan, nagyon régi támadási felület a neten, amit XSS néven emlegetnek.
Kell ez ellen valami extra védelem a mai böngészőkbe? Vagy ma már alapból védett minden normális/elterjedt browser?


A háttér:

Nem tudom, ezek mennyire működnek manapság, mindenesetre a Noscript nevű firefox addon tartalmaz egy XSS védelemnek nevezett eszközt is.
Egy híroldal a disqus nevű szolgáltatást használja kommenteléshez, de pár napja, ha firefox alól megyek oda, iszonyat lassú és néha feljön egy hibaüzenet ami XSS támadás lehetőségét emlegeti, mert az oldal a disqus.com-ról futtat javascriptet.
A hiba persze bárhol lehet, akár az adott oldalon, akár a disqus-nál, akár a Noscript-ben.
Csak úgy elgondolkodtam, hogy vajon miért szükséges a Noscript-be egy ilyen védelem, ha a mai browserek egyébként védettek?
Ha meg nem, annak mi az oka?
 

január 4

lejárt tanúsítványra nem figyelmeztet a böngésző, ha...

mind1 valami név · Jan. 4. (H), 10.11
Röviden: indamailre egy dolphin nevű böngészővel léptem be, pofázott, hogy az asset.pagefair.com/.net (*) lejárt tanúsítványt használ, nem biztonságos.

Kívülről ellenőrizve valóban rég lejárt.
(Kívülről = pl a digicert.com segítségével)

Amit nem értek és nagyon szeretném érteni: a többi böngészők (beleértve chrome, chromium, opera, Firefox, Samsung Internet, ill. ezek desktop változatai) miért nem jelzik, hogy gond van?
Ha egy https: kezdetű oldalon van egy http: ... jpeg, akkor mind jelzi, hogy nem teljes a biztonság.
Erre miért nem jelez senki a Dolphint leszámítva?

* = Nem tudom, ott a .com vagy a .net van, de egyiknek sem jó a tanúsítványa...

update 1: kicsit utánanéztem, a chrome biztosan detektálja a lejárt tanúsítványt, de csak lazán ignorálja a konzol üzenetei alapján (már úgy értem, az oldalt), viszont nem figyelmezteti a usert. Hogy miért... nem igazán értem.
 

december 26, 2020

PostgreSQL docker konténerben (mire kell a POSTGRES_PASSWORD?)

mind1 valami név · Dec. 26. (Szo), 14.37
Előre is bocs, ha ez elvileg kiderül valamelyik leírásból, kicsit szét vagyok csúszva :)

Ha a hivatalos postgres image-ből építek adatbázis szervert, akkor indításkor meg kell neki adni egy környezeti változóban vagy egy fájlban a postgres user jelszavát.
Ennek a jelszónak van bármi funkciója a későbbiekben, ha az üzemszerű használathoz másik usert hozok létre?
Használja ezt a szerver valamire azt követően, hogy létrejött az adatbázis és benne a postgres nevű felhasználó?


Nem kicsit zavar, hogy ott van plain textben egy admin jelszó és gondoltam, hogy amint elindult az adatbázis, rögtön átírom belül, de nem vagyok 100%-ig biztos abban, hogy nem használja másra is ezt az infót az official image-ből futó szerver, mint az adatbázis inicializálására...
Gyakorlati értelmét ugyanis nem látom, mivel adatbázis létrehozható jelszó megadása nélkül is -> szóval egy "docker exec -it konténer sh" parancs után gond nélkül használható lenne az adatbázis.
 

december 19

HTTP

inf · Dec. 19. (Szo), 12.42
Érdemes átnézni az oldal által tárolt adatokat, és megváltoztatni, ha már HTTP-vel megy az egész. Én pl kaptam ma egy ransomot az itt használt jelszóval, igaz más helyeken is használtam már azt a jelszót, szóval nem tudni honnan szivárgott ki, de a lényegen nem változtat, hogy itt titkosítatlanul megy minden... Lassan itt hagyom én is az oldalt.
 

december 5

Docker - nem csak én vagyok paranoiás (?)

mind1 valami név · Dec. 5. (Szo), 17.22
https://www.admin-magazine.com/News/Canonical-Launches-Curated-Container-Images

Gondolok itt erre: "You never know if you're going to pull down an image that contains vulnerabilities or malware."
Ez valahogy mindig bennem van, valahányszor nem tudok valamit alpine-ra magam bekonfigolni és egy az adott szoftverhez készült image-et töltök le és indítok el.
 

december 4

postgres - insert into ... select - megadott sorrendben

mind1 valami név · Dec. 3. (Cs), 23.22
Na ezzel mit kezdjek?
Van egy táblám, másodperc alapú timestamp mezővel, plusz egy olyan mező, ahol ugyan van egy sorszám, de ez a táblát író program újraindulásakor resetelődik.
Ha időrendben akarom látni a sorokat, akkor SELECT * FROM ... ORDER BY timestamp,sorszam; paranccsal tudom lekérdezni azokat. (A sima timestamp nem elég, mert másodpercenként több sor is keletkezhet)

Az a gondom, hogy felvennék a táblához egy BIGSERIAL típusú mezőt, de ugye ezt egy sima ALTER TABLE ... ADD COLUMN nem töltené fel. Jobb ötlet hiányában létrehoznék egy új táblát, a meglévő oszlopokkal+a bigserial mezővel és egy
INSERT INTO ujtabla SELECT * FROM regitabla ORDER BY timestamp,sorszam; paranccsal vinném át az új táblába. Gyönyörűen feltölti a bigserial oszlopot, csakhogy a sorrend nem stimmel, hiába az order by az insert selectjében. Olyan, mintha csak a timestamp alapján rendezne.
Hogy tudnám átmasolni a sorokat úgy, hogy jó sorszámokat kapjanak a másolatok?
Tényleg muszáj programot írni rá?
 

november 28

Érdemes volt docker-re váltani...

mind1 valami név · Nov. 28. (Szo), 14.52
https://www.docker.com/blog/what-you-need-to-know-about-upcoming-docker-hub-rate-limiting/
Rosszindulatú vagyok, ha feltételezem, higy rövidesen használhatatlanná válik a legtöbb szolgáltatás az anonim userek és a regisztrált, de nem fizető userek számára?

Most ugye beállítottak egy átlagos, fejlesztéssel nem nagyon foglalkozó felhasználó számára elfogadható limitet.
Valamiért úgy érzem, ezek a limitek lassan egyre szűkebbek lesznek.

Ráadásul, dilettantizmus csúcsa: ha jól értem, ők az anonim felhasználókat IP cím alapján azonosítják. Ergo, ha van mondjuk tíz-tizenöt natolt ügyfél egy szolgáltatónál, azok könnyen szopóágra kerülhetnek már most is, főleg, ha különböző image-eket próbálgat valaki.
 

november 21

Mobilra háttérben futó push notification

inf · Nov. 21. (Szo), 10.45
Az érdekelne, hogy FCM-en kívül van e valami alternatív megoldás mobilra? Nagyjából 10 percenként kéne lekérni egy IP címről, hogy volt e event. Az alkalmazást csak én használnám, úgyhogy nem látom értelmét, hogy emiatt domaint és SSL-t regisztráljak, meg még franc tudja, hogy mi minden kell neki...
 

november 18

console.log() függvény nem fut

TheQuest · Nov. 18. (Sze), 16.49
Javascript

A console.log() függvény működésére van szükségem.

Forrás Kód:

<!DOCTYPE html>
<html>
<head>
<meta charset= "utf-8">
<title> hello </title>
</head>

<body>

console.log("Hello World!");

</body>
</html>


Egyetlen böngészőben(Chrome) sem fut, csak kiírja a teljes sort

"
console.log("Hello World!");
"

Mi lehet az oka?
 

november 17

Android mobilt usb-vel csatlakoztatva idegen PC-hez biztonságos

Atomi · Nov. 17. (K), 17.53
Üdv!


Ma a telefonomon lévő pdf-et rá kellett tennem egy munkahelyi gépre, usb kábellel csatlakoztam, beállítottam a file átvitelt, bementem a letöltés mappába és onnan kinyomtattam valamit. Ilyenkor ugyebár írási-olvasási jog van egyes mappákhoz.

A kérdésem, hogy mihez fér hozzá ilyenkor a PC?

Azaz lehet, hogy titokban a fényképeket átmásolja a rendszer a telefonról?


Vagy ami még durvább lenne: az emaileket meg tudja nézni, a jelszavát le tudja szedni, vagy ezek zárt területen vannak egy usb-s csatlakozás során?

Egyrészt az érdekel, hogy egy Windows 10-es alaphelyzetben mihez fér így hozzá.

Másrészt, ha van valami program a PC-n, akkor az mihez (nyilván elvileg bármihez, ha olyan jó a program, de...)