Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - sudoguy

Stran: [1]
1
Vývoj / Re:Zlepšení čitelnosti vlastního kódu
« kdy: 31. 05. 2021, 11:40:02 »
Naštěstí pro mě, když se ke svému kódu vracím, tak se velmi rychle zorientuji v tom co dělá. Kolegové si mi nikdy nestěžovali, naopak mám i zpětnou vazbu, že můj kód se čte příjemně. Uvedu za sebe pár tipů co mě teď napadají z hlavy a není to na slohovou práci.

1. Proměnné vždy nějak výstižně pojmenovat i když to může být dlouhé. Včetně dočasných proměnných ve foreach loopech apod.

To už tu sice padlo, ale chtěl jsem zdůraznit že je třeba je používat opravdu všude. Vždycky miluju, když prolítávám něčí vesměs čitelný kód a vidím tam pak něco takového (viz. příklad). Místo toho abys to prolítl, tak pak vyšetřuješ co tam asi tak může být.

Špatně:
Kód: [Vybrat]
foreach($values as $k => $v){
Lépe:
Kód: [Vybrat]
foreach($persons as $name => $age){
2. Komentáře
Shrnující - Aby člověk pochopil co kód dělá bez toho aniž by ho vůbec četl. U větších projektů k nezaplacení - jdeš prostě po komentářích a neluštíš nic. Čteš to jako knihu :) .
Technické - komentáře k fungování samotného kódu.

Příklad (všimni si, že vůbec nepotřebuješ vidět kód a vidíš co se děje):
Kód: [Vybrat]
# assign variables
...
.
$data = json_decode($_POST['data'],true); # true - get json string into array not object (technicky komentar k prepinaci, aby si nemusel listovat dokumentaci a zjistovat co to dela)
.
...

# verify input
...
.
.
...

# errors detected - return 400 bad request
...
.
.
...

# no errors - put values into DB, return 200 ok
...
.
.
...

2
Google apps se do Androidu flashují. APK podle mě neseženete. Binárky zde https://opengapps.org/

To je nesmysl. Normálně se aktualizují, existují i jako APK.
presne tak, certifikovane za urcitejch okolnosti i nerootle zarizeni dostava akatualizace normale jako "jakekoliv" jine aplikace, nikoliv jen pri OTA do system oddilu...
ke stazeni napr. zde: https://www.apkmirror.com/apk/google-inc/google-play-store/

Dobře beru zpět, koukal jsem a apk sehnat jdou. Flashuje se to kvůli tomu, že google services framework (bez kterého to nepojede) musí být nainstalované jako systémová appka. Ten skript pro instalaci do Anboxu by mohl být řešením.

Btw to že se to do systému dostane flashnutím neznamená že to nejde aktualizovat.

3
Google apps se do Androidu flashují. APK podle mě neseženete. Binárky zde https://opengapps.org/

4
Sítě / Re:Bezpečný přístup na veřejnou IP přes SSH
« kdy: 12. 04. 2019, 08:13:05 »
Myslím, že už se bavíte hodně v teoretické rovině. Podle mě SSH, kde se dá přihlásit jen s klíčem, není v reálu problém. Jasně, může tam být chyba, ale to by jste pak nesměli otevřít do netu nic... Takhle SSH už x let provozuju doma, y let to takhle provozujou v práci a nikdy se nestalo, že by byl někomu zneužit privátní klíč (i když v teoreticky tady ta možnost je). Řádově větší pravděpodobnost je, že vás vykrade insider nebo že ten server někdo fyzicky odnese. A pokud jste hodně paranoidní, tak použijte více vrstev ochrany, jak už se tady někdo zmiňoval.

5
Studium a uplatnění / Re:doporučení IT střední
« kdy: 10. 01. 2019, 07:09:16 »
No já měl to bouřlivé období právě na střední(gympl)  :D. Na výšce to bylo samý párek a dávali nám takový záhul, že na nějaké blbosti ani nebyl čas  :-\.

Jestli se dobre ucis a budes pokracovat na vs tak vem gympl. Ziskas obecne znalosti a dobre si zasuk.s se studentkama. Kdyz budes k technice tak na vs to dozenes.

Jestli se ucis hur tak vem prumyslovku idealne zamerenou na nejakou automatizaci. Stejne te nauci jen zaklady a ma to budoucnost.

A hlavne vyber skolu daleko abys tam zustaval prez tyden ... opet kvuli holkam.

Na stredni jeste zustan u rodicu, takze jdi kde to mas blizko. Kdyz se budes dobre venovat technickym predmetum, tak po maturite uz muzes od rodicu dale do brna, prahy, vetsiho mesta na vysku a tam se vyblbnes. Na stredni si uzivej kamarady, prvni lasky, hrani s kompama. Chlastacky a sukacky si nech az na vysku do ciziho mesta :-)

6
Studium a uplatnění / Re:Obsah CV studenta bez praxe
« kdy: 04. 12. 2018, 07:32:32 »
Ono k těm brigádám apod. - je to člověk od člověka. Hodně lidí bere nesouvisející brigády jako plus (těch dlouhodobějších). Oborově to nemá nic společného, ale vypovídá to o tom, že už má člověk zažité pracovní návyky. Já to tam jako student vždy psal a nikomu to divné nepřišlo.

7
Server / Re:Jak se postarat o hesla
« kdy: 04. 12. 2018, 07:15:00 »
Několik let používám Keepass a naprostá spokojenost. Jen je třeba poctivě zálohovat.

8
Vývoj / Re:Free online správa překladů programu
« kdy: 30. 11. 2018, 07:06:06 »
Pontoon od Mozilly. Nějakou dobu jsem v něm překládal a paráda. Weby jdou dokonce překládat ve stylu WYSIWYG.

https://github.com/mozilla/pontoon

9
Odkladiště / Re:Jak na problémy se spaním u programátorů?
« kdy: 26. 10. 2018, 08:12:07 »
Já mám/měl taky problém s usínáním. Pomohla mi úprava režimu.

Po práci trochu intenzivněji cvičit (posilovna, běh). Po tom x hodinovém sezení u kompu to tělu bodne.
Hodinu před spánkem koukám na seriály/pařím hry - tzn. úplně vypnu.
Hoňka/sex - asi je to individuální, ale mě to utlumí a při usínání na nic nemyslím.

Po tom cvičení už na těle krásně cítím, že je unavené a je třeba jít spát. Jak lehnu do postele tak usnu hned, max. do pár minut.
Pozor, těsně před spaním necvičit. To organismus napumpuje a neusneš ani za nic.

Jinak chodím spát mezi 19-21 a vstávám ve 4. Taky to pro mě bylo ještě pár let zpět nepředstavitelné, dělalo mi problém vstát i v 7h :).  Pár týdnů mi trvalo, než jsem si na to zvykl. Teď už bych to ale neměnil. Cítím se o dost lépe.

Když si režim naruším, tak se problémy vrací.

10
Co se mi prave hodne libi je social engineering a myslim, ze z predeslych praci a zkusennosti k tomu mam predpoklady. Zaroven by me bavilo si sam upravovat nebo delat mensi programky na miru. V cem se temer nevyznam jsou site, webovy aplikace, databaze... S tim ze zaklady si myslim bych se doucil rychle (jsem zvyklej se hodne ucit).
 Prosel jsem si hodne webu, projizdim ted jeden z doporucovanych tutorialu pro zacatecniky ( https://www.udemy.com/learn-ethical-hacking-from-scratch/ ), naistaloval jsem si Parrot Linux, kterej pouzivam i k beznymu uzivani.

U phishingu se dá hodně vyhrát no  :) . Tam je ale třeba vědět trochu více o webu. Často totiž neskončíš jen zkopírováním stránky SEToolkitem, ale chce to i dost upravit - např. budeš chtít po ověření validity hesla uživatele přihlásit na korektní stránky apod. dá se tam toho vymyslet hodně. Je taky dobrý nápad sbírat data do DB - o dost lépe se pak dělá vyhodnocení. Patří k tomu ale i adminování - musíš si rozchodit mail server, web server, DB, umět to nějak zabezpečit (někteří válečníci, co útok poznají a neví že se jedná o test se snaží vést protiútok  :D ), monitoring služeb (je fajn se rychle dozvědět pokud ti během testu něco spadne).

Jinak pozor jak tady ostatní píšou o vulnerability scannerech. Nikdy to nekončí jen nějakým obkecáním reportu. Scannery nejsou neomylné a když se s vámi správce scanovaného stroje začne hádat, že tam ta díra není, tak to často končí ručním pentestem (ke kterému jak na potvoru zrovna není veřejně dostupný exploit). Navíc často nelze použít doporučení, které vyplivl scanner a musíte vědět jak jinak díru zalepit/minimalizovat důsledky nebo jestli je vůbec relevantní problém v daném prostředí řešit. Vzhledem k množství scannovaných věcí je třeba toho vědět opravdu hodně.
Jinak pro začátek bych jako v. scanner zvolil OpenVAS. Není nutné hned kupovat Nessus, když ani nevíš co od toho čekat.

No co vidim je, ze na jobs portalech je milion nabidek na javascript, ale na praci v it bezpecnosti clovek moc nenarazi. Tak me vlastne zajima, jestli se k tomu dostane jen hrstka nejlepsich a zbytek pak musi jit delat treba spravce site nebo webovy aplikace..?

Já se k tomu dostal tak, že to ve firmě nikdo pořádně neřešil. Bylo nás pár kolegů kteří to řešit chtěli a vedení bylo rádo, že na bezpečnost někdo bude dohlížet a nemusí platit drahé pentesty. Po nějaké době co jsme aktivně potírali "zlo" ve firmě a vypracovali se na nějakou úroveň jsme začali nabízet pentesty jiným firmám.

11
Ono hlavně pentesting je dost komplexní záležitost a vyžaduje znalost skoro všeho  :) . Sám na vlastní pěst bych do toho asi nešel, vždy je lepší mít na to tým s různorodými znalostmi. Na něco se specializuj a o ostaním znej alespoň základy. Programování bych řekl, že je všude dost. Někde trochu více, někde trochu méně ale programovat budeš.

Pentesting není pouze o technické stránce věci. Je to i o tom, jak to poté zákazníkovi prodáš. Tzn. vypracovat nějaký report - často dáváš zvlášť report pro IT oddělení(technická stránka věci, doporučení pro vyřešení problému apod.) a pro managery (tam to musíš odříkat řečí BFU, zároveň nejduležitější report). Vypracovat report mi vždy trvalo nejdéle  ;D .

Zase pokud se chytneš někde ve větší firmě jako člen bezp. týmu, tak chvilkovou technickou část věci střídá hádání se s provinilými zaměstnanci proč je něco špatně apod.

Pokud chceš zůstat čistě u technických záležitostí, tak zůstaň u programování  :) .

12
Sítě / Re:Výběr SIEM - jak sledujete, co se děje v síti?
« kdy: 04. 06. 2018, 07:35:54 »
Používáme ELK stack s tím, že alerty a přehledy generují skripty, které jsme si napsali.

13
Odkladiště / Re:Jak zálohujete privátní klíče?
« kdy: 19. 03. 2018, 07:38:48 »
Keepass + VeraCrypt. Přes Syncthing pak synchronizuji na další počítače.

Stran: [1]