19
Mało znany trick z 8.3
Był sobie konkurs (który nieskromnie mówiąc wygrałem). Przypomniał mi on o pewnym „tricku”, który dotyczy krótkich nazw plików (8.3).
31
OvertheWire Natas Wargame – write-ups
Kilka dni temu, OvertheWire dorzucił do swojej kolekcji nowe wargame. Tym razem webowe. Po kilku godzinnej zabawie, zamieszczam rozwiązania wszystkich 16 poziomów, z którymi się uporałem.
Uwaga. Poniższy wpis zawiera rozwiązania wszystkich zadań. Jeśli nie chcesz psuć sobie zabawy, nie klikaj w link „Czytaj dalej”.
4
JavaScript, a URLencoding
W porównaniu do kilku poprzednich wpisów, dziś nazwa tematu zdecydowanie mniej finezyjna, ale sam temat za to zdecydowanie bardziej techniczny. Spotkałem się już kilka razy ze stwierdzeniem, że urlencode jest całkiem niezłym pomysłem nad zabezpieczeniem przed Cross-Site Scripting. Poniżej – kilka słów o tym, że nie jest jednak tak kolorowo.
27
header() to nie zabezpieczenie
Dzisiaj pod lupę postanowiłem zaciągnąć bardzo często używaną funkcję header(). Właściwie nie tyle samą funkcję, co jej złe wykorzystanie. Oto jak wygląda kod, z którym zetknąłem się już kilka razy:
<? if( !isset( $_SESSION['session']["authCode"] ) ) header("Location: login.php"); echo "WTF is wrong with my awesome code?!"; ?> |
A poniżej słów kilka dlaczego jest on zły.
19
HTML5, a zabezpieczenia obrazków przed kopiowaniem
Wszystko co wyświetlane jest po stronie klienta jest w praktyce niemożliwe do zabezpieczenia przed kopiowaniem. Jedynym sposobem jest utrudnienie kopiowania, tak, aby dla przeciętnego Kowalskiego było ono zbyt trudne do osiągnięcia, a dla robotów przeczesujących Sieć – nieopłacalne (ze względu na czasochłonność wydobycia odpowiednich danych).
Poniżej prezentuję garstkę lekkich przemyśleń jak można taki efekt osiągnąć (działa tylko dla małych obrazków, wymiary 256×256 zajmują jeszcze znośny czas generowania).
W skrócie, co chcemy osiągnąć: zablokowania możliwości skopiowania metodą zapisz jako/PrintScreen/podania bezpośredniego linka do obrazka.
27
ZeuS – kilka słów o nim
Banki zaczynają ostrzegać o niebezpieczeństwie. Do polskiej sieci zawitała wersja ZeuSa, która potrafi omijać dwuskładnikowe uwierzytelnienie. Pojawia się coraz więcej informacji o tym malware. Rzućmy okiem na pare szczegółów opisujących jego działanie.