Příspěvky

1

Sítě / Re:SIM karta pro příchozí SMS a hovory

« kdy: 11. 02. 2025, 23:52:53 »

Díky za tipy. Zkusím to s kaktusem. Pro začátek přenesu jedno číslo, uvidím, jak se to chová a ještě si při to nechám vrátit nasyslený kredit. A když se bude operátor cukat, tak pošlu DMS

S operátorem to neukecám, mám na sebe napsanou jenom jednu pevnou linku.

Jednu dobu měli bug, že převedení kreditu (>50Kč) mezi čísly, což nabízí v aplikaci (lze spustit v Android-x86), způsobilo obnovení roční platnosti. Takže by si šlo asi donekonečna převádět padesátikorunu. Ale možná to už opravili.

2

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« kdy: 04. 01. 2025, 02:33:49 »

a bylo by to podstatně dražší, než nejlevnější mobily

A "nejlevnější mobil" není nějaký backdoornutý Android který dostal poslední aktualizaci rok před tím než jste si ho koupil? Dříve jste tu na tento argument psal, že mobil je jenom druhý faktor, tak je i taková věc v pohodě, ale od té doby se situace změnila: naprostá většina bank již mobil nepoužívá jako druhý faktor, ale jako jediný faktor (i.e., nemají zvlášť "jen autentizační aplikaci pro internetbanking" a plnohodnotné mobilní bankovnictví, ze kterého jde dělat všechno).

A "Možnost načtení QR kódu ze souboru" mi pride tiez divne, kedze to je urcene pre mobily.

Já to chápu, nechce se mu copypastovat X políček. Používá nejspíš nějaké desktopové prostředí, kde je snadné, když má otevřenou třeba PDF fakturu, ten soubor "dropnout" do okna prohlížeče.

Tak klasika, Fio.

Už se taky kazí. Teď třeba poslední věc (na konci roku) zavedli, že už ti také mohou nutit předschválené půjčky online - AFAIK jediná banka která to ještě neměla. A od kamarádů slýchám, že ten jejich javový podepisovač už v podstatě přestali podporovat.

Pobavilo. Na vině jsou spíše samotné prohlížeče a to jak fungují. Banky by mohli provozovat desktopovou aplikaci a splnili by veškeré nároky, ale její instalace je značně nepohodlná, vývoj příliš drahý a ještě by to nemuselo fungovat na všech počítači kvůli potřebě mít HW uložiště klíčů.

Nerozumím, můžete dát příklad útoku, který umožní kompromitaci bankovnictví v prohlížeči, ale ne desktopové aplikace?

Prosím, prosím, méně spekulací. I FIDO2 umožňuje challenge&reponse. Yubikey k tomu má pak appku, která vstup zobrazí. Mícháš dvě věci dohromady, někde potřebuješ mít uložený tajemství (teď se používá zabezpečná enclava uvnitř telefonu), pak aplikaci, která ti zobrazí výzvu a po tvém potvrzení jí skombinuje s tajemstvím a doručí bankce. Ty přepisovací kalkulačky jsou už historie.

Já myslel, že se bavíme o vyhackovaném počítači, kde ti pak ta aplikace může zobrazovat cokoli.

3

Server / Re:Hosting pro Python à la PHP hosting

« kdy: 30. 12. 2024, 10:19:47 »

"Nebylo náááhodou to PHP celé o tom, že se na hosting server nahrál jednoduchý script, stálo to 30,- Kč měsíčně a bylo to hotovo, a já tu teď čaruju se Serverless?"

Podle mě tohle nemůže existovat, protože PHP má jakoby "sdílený runtime" a hostovat "tisíc stránek kde na každou přijdou tři lidi denně" je tak v pohodě.

Zatímco v Pythonu máš následující možnosti:
 - rezidentní aplikace, trvale běží (a tedy žere paměť) a dělá HTTP server (a před ni se strká nějaký nginx/haproxy jako reverzní proxy)
 - spouštět skript pokaždé znovu (CGI režim), což je ale pro takové nasazení nepoužitelné, protože inicializace interpretu a importy trvají desítky milisekund minimálně - a na rozdíl od PHP to buď nemá nebo se moc nepoužívají takové ty různé optimalizace jako opcache.

Proto také ten levný hosting co tu je napsaný (Roští za 90 Kč) stojí v podstatě stejně jako VPS stejných parametrů a má to nejspíš efektivně rezervovanou RAM atd.

Budu rád, když mi někdo ukáže, že to jde dělat i jinak (PHP způsobem, tj. že skripty leží na disku, webserver je spouští jen když jsou potřeba, a tohle spouštění má zanedbatelnou režii).

4

Vývoj / Re:Vizuálně skrytý údaj na webové stránce

« kdy: 24. 11. 2024, 04:11:17 »

Já bych místo přesných barev kódoval přesnou pozici (různé věci o pixel vedle / o pixel širší). To by mělo JPEG snadno přežít, a dokonce by to mohlo jít dekódovat i z fotky monitoru v dostatečném rozlišení.

Můžeš zkusit kódovat do mezer mezi slovy - Unicode nabízí spoustu různě širokých mezer, což navíc půjde stylovat přes CSS. A pak samozřejmě pozice prvků na stránce (tlačítka, tabulky, hlavičky…). Taky můžeš občas (pro jedno slovo třeba) vypínat slitky/kerning, na to jsou taky nějaká CSS nastavovátka.

5

Server / Re:Fork časti HTTP komunikace

« kdy: 05. 11. 2024, 20:05:37 »

Ahoj, ako by ste riešili fork http komunikácie, kde na jednej strane (klient) odošle http POST, a v prípade že na druhej strane server odpovie OK (200), tak tento load od klienta bude forknutý aj na tretiu stranu? Server nemám možnosť ovplyvniť, klient (rôzni klienti) bude posielať i rôzne GETy, ktoré by mali byť ignorované, resp. iné http statusy než 200 taktiež. Utilita môže byť "in the middle", so všetkým čo k tomu patrí (vlastné tls, ip:port, java, .net, čokoľvek). Dokáže toto nejaký opensource?

Ano, toto jsem dělal tak, že jsem si napsal program v Pythonu, který se tvářil jako HTTP server (socketserver.StreamRequestHandler - HTTP implementováno naivně jako "přečtu první řádek požadavku a rozhodnu se jestli je to POST/GET/..."), požadavek přeposlal (req = urllib.request.Request(url); req.add_header(hlavičky_původního_požadavku)) a pak zase odpověď poslal zpátky. Klient pak tento server používal jako HTTP proxy (šlo by i bez spolupráce klienta pomocí MITM).

Nerozumím tedy co znamená "forknutý aj na tretiu stranu" - jako že ho někomu vnutíš (jak? HTTP vyžaduje aby klient nejdřív poslal požadavek)? Nebo že ho uložíš do souboru?

6

Studium a uplatnění / Re:Byli jste někdy na podpoře?

« kdy: 03. 11. 2024, 02:40:31 »

Odpověď na tuto otázku je: Ano, nutí. Na to jsi ještě nepřišel, že v každé firmě a na každém projektu se provozují zákeřné metody projekt. managementu zacílené na vyždímání co nejvíce práce z vývojářů?

Můžeš nám tedy přiblížit, jak to nucení, vysávání a ždímání probíhá? Když řekneš že už ty přesčasy dělat nebudeš, atd., tak za tebou přijede domů firemní zásahovka, spoutá tě, převeze tě do práce a přiváže k počítači, dokud práci nedoděláš? Nebo co se ti nejhoršího může stát? Vyhodí tě? Cool.

7

Sítě / Re:Je možné rozšířit síť bezdrátově na vzdálenost 2 km?

« kdy: 29. 10. 2024, 01:18:53 »

A ten problém je, že nejde umístit retranslační stanici, nebo že v bodech umístění není elektřina? Pokud to druhé, tak existuje pasivní "ohyb" - v nejjednodušším případě dvě co největší antény spojené kabelem. Osobně jsem to nikdy nedělal, ale podle výpočtů vypadalo, že by to mělo chodit (trochu těsně, s velkými anténami a asi překročením legálního limitu na EIRP).

8

Hardware / Re:IP kamery bez nutnosti aplikace

« kdy: 28. 10. 2024, 01:06:56 »

Linuxový "box" se ZoneMinder nevyhovuje? S jakoukoli "appliance" budou jen problémy, už je vidíš a to jsi ještě ani nezačal.

9

Software / Re:VP9 do HEVC bez komprese pomocí FFMpeg

« kdy: 06. 10. 2024, 03:06:24 »

Chtěl bych poděkovat panu Šmucrovi, i když nejsem tazatel a jen jsem se snažil na začátku rychle odpovědět, jeho příspěvky pro mě byly poučné.

10

Software / Re:VP9 do HEVC bez komprese pomocí FFMpeg

« kdy: 29. 09. 2024, 01:11:47 »

Tzn. pro váš případ, když to zjednoduším.

ffmpeg -i vstup.mp4 -c:a copy -c:v libx265 -crf 25 vystup.mp4

Přesně tak. Ještě bych zvážil, pokud tolik nezáleží na času a CPU komprese:

• -preset slow - pomalejší běh ale menší výsledný soubor. Jedna z věcí kterou ovlivňuje je třeba ten tebou zmíněný rc-lookahead - viz https://x265.readthedocs.io/en/stable/presets.html
• -x265-params pools=none (nebo třeba 4) - vypnutí multithreadingu, x265 nějak paralelizuje přes snímky a má pak prý horší kompresi, protože nemůže využít všech rozdílů mezi snímky

11

Studium a uplatnění / Re:Práce na živnost při studiu, jak si ohlídat záda

« kdy: 22. 09. 2024, 03:54:34 »

Pro mě byl prvák bakaláře a pak první semestr magistra tak intenzivní z hlediska školních povinností, že jsem při tom pracovat nedokázal mimo drobné hotfixy věcí co už jely (informatika na MFF UK, nástup 2013). Ostatní ročníky to bylo v pohodě. YMMV.

12

Studium a uplatnění / Re:Niche trhy v IT

« kdy: 22. 09. 2024, 00:17:11 »

U práce na IČO se dá vyjednat rate kolem 10k/MD (Praha)

Kontext byl že půjde do oblasti kde je nováček. Tam asi nebude ičař za 10k.

13

Server / Re:Privátní adresy ve veřejném DNS, knot-resolver a apple.com

« kdy: 20. 09. 2024, 19:51:42 »

Navíc, v tomto případě nechápu, čeho tím chteli docílit.

Je to naznačené v prvním příspěvku: DNS rebinding attack.

Uživatel má ve vnitřní síti za NATem a firewallem děravou ledničku s IP adresou 192.168.0.10, nebo na localhostu spuštěnou službu, která přijímá obecné příkazy komukoli kdo se připojí. Uživatel si myslí, že to nevadí, protože do vnitřní sítě se mu nikdo nedostane, a na počítači je sám, takže se mu na localhost nemá kdo připojovat.

Uživatel vleze na evil.com. evil.com|91.213.160.188 s TTL=10 stáhne javascript. Tento javascript se nemůže přímo připojit na 192.168.0.10 ani 127.0.0.1 protože nějaká same origin policy nebo co. Může se ale připojit na evil.com. Ale evil.com má malé TTL a DNS server, který za 10 sekund vrátí jako IP 192.168.0.10 nebo 127.0.0.1. Prohlížeč si myslí že se tam tedy může připojit a javascript se připojí k děravé ledničce a komunikuje s ní.

Díky websockets a různým speciálním hlavičkám dokonce ten exploit nemusí ani běžet po HTTP, ale může emulovat jiné protokoly. Tady je třeba RCE v OpenOCD, které objevil kamarád.

14

Hardware / Re:Ako ochranit baterku v notebooku?

« kdy: 18. 09. 2024, 23:40:42 »

Ako uz bolo uvedene vyssie, kup si ThinkPad ;-)

HP ProBook 430 G6 tohle umí nastavit v BIOSu (což je opruz - musí se rebootovat - a tak jsem zanedbával po cestě kde jsem potřeboval mít nabito to přehodit zpět na 80%), ASUS Zenbook 14 UX3405MA v OS (tj. lze měnit za běhu). Fakt to není něco co umí jen ThinkPad.

15

Hardware / Re:Ako ochranit baterku v notebooku?

« kdy: 17. 09. 2024, 21:46:52 »

Jak víte, že se to dokrmování zdroje z baterky děje na 45W, ale na 65W ne? Hádám, že na 45W je tak výrazné, že se někdy baterka neudrží na 100 %. U 65W se ale může dít totéž, jen se bude stav baterie nacházet mezi 99.5 % a 100 % (podle zátěže). A popravdě nevím, jak to zjistit. Snad leda odhadnout podle toho, že v zátěži se baterie nabíjí pomalu, ale nemám jasnou hranici, co je moc pomalu, a co je OK.

Většina notebooků neukazuje jenom nějaké procenta, ale normálně i napětí (u mě /sys/class/power_supply/BAT0/voltage_now) - podle jeho kolísání by to šlo vidět - a případně i proud co teče dovnitř/ven.