Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - oss

Stran: [1] 2 3 ... 16
1
Vývoj / Re:API a šetření přenosu odkazem na objekt
« kdy: 27. 02. 2024, 12:43:05 »
Ten identifikator moze byt akekolvek unikatny string vramci jsonu. Len OpenAPI si zvolilo velmi ukecany format.

2
Vývoj / Re:API a šetření přenosu odkazem na objekt
« kdy: 27. 02. 2024, 08:24:21 »
Myslim, ze sa tostandardne robi cez $ref a $id, ale otazne je kolko parserov to zvladne.

3
Jednou jsem měl přidělen služební ntb od externí organizace, která si strašně zakládala na bezpečnosti a ochraně dat. Přihlašování skrze HW token, dálkový přístup pro jejich admina. No, disk nebyl šifrován. Upozornil jsem na to a dostal jsem následující odpověď:

"Bitlocker je k ničemu, průměrný puberťák to dokáže prolomit dle návodu na Youtubu za 15 min. Klíčová je možnost ntb na dálku vymazat při nějakém incidentu"

Podototýkám, že jsem v tomto laik, nicméně tam, kde se můžu rozhodnout, používám bitlocker s PINem. Mám z toho tak nějak lepší pocit...
Napis jmeno firmy at vime kde jsou tihle “odbornici”. Takove firme je dobre se vyhnout kdyz zamestnava kdejakeho blbce.

Asi tak, takej firme by som sa vyhol oblukom. Hlavne, ze zenpriemnuju zametnancom zivot, umoznia ich spehovanie cez vzdialeny pristup, ale tu zakladnu vec nespravia.

https://www.theregister.com/2024/02/07/breaking_bitlocker_pi_pico/

A Lenovo laptop was used in the video, posted by user stacksmashing, although other hardware will also be vulnerable. The technique also relies on having a Trusted Platform Module (TPM) separate from the CPU. In many cases, the two will be combined, in which case the technique shown cannot be used.

However, if get your hands on a similarly vulnerable device secured with BitLocker, gaining access to the encrypted storage appears embarrassingly simple. The crux of it is sniffing out the key to the device as it is passed from TPM to CPU. The key is helpfully not encrypted.

This particular laptop had connections that could be put to use alongside a custom connector to access the signals between chips. Stir in an analyzer running on the Raspberry Pi Pico and for less than $10 in components, you can get hold of the master key for the laptop hardware.

Pro BitLocker jen s "ClearKey" je reseni tady:
https://forum.root.cz/index.php?topic=27501.msg398966#msg398966

Hej, len to funguje pre jednu konkrtenu zakladnu dosku a nie je to nic nove.


...
Aby to fungovalo i na trosilinku starsim HW, proc jinak :)
Kdepak, to je dlouhodoba politika M$. Oni vzdy a vsude pouzivaji nejhorsi dostupne sifrovani, a nejhorsi dostupny hash. A to nejen jako defaultni hodnotu, bez zasahu do konfigurace se nicim lepsim ani nepripojis.

Normalni aplikace a systemy to pouzivaji samozrejme opacne - pouziji to nejlepsi na cem se s protistranou dohodnou.

Priklady... schannel, muzes to nastavit v registrech, muzes tam vypnout tls 1.0/1 ... ale kdyz to udelas, tak si dokomunikoval se vsim co ma v rodnym liste .NET. To totiz bydefault odmita pouzivat cokoli nad tls 1.1.

M$ jsou navic lhari. Verejne na webu tvrdej, ze 2k22 oficielne podporuji 1.3, coz je lez. RDP na 1.3 nebezi. Legranda je to o to vetsi, ze na w10 ano (na w11 uz zase ne). Ovsem ani w10 ve skutenosti na rdp 1.3 nepouzivaji, klient vzdy pouzije 1.2.

Pokracovat lze kuprikladu moznostmi vpn. Win aktualne obsahuji ... a ted me nekamenujte, 3 nebo 4 ruzne moznosti, jak to nastavit, ktere spolu vlastne nijak nesouviseji, zato se vzajemne mohu pekne pozrat. Kazdopadne jedna z tech moznosti je tzv "advanced firewall" tak si tam kliknete a podivejte se, co tam je k nalezeni .. 3des.

Pro pobaveni, platebni terminal dodany Komercni bankou ... take zabezpecuje vase platby pomoci naprosto aktualni a zcela bezpecne ... 3des.

Takhle to s bitlockerem opravdu nefunguje. TPM je docela pomale, takze cracknout 10ti znakove heslo bude trvat vecnost. Krome toho by default si TPM loguje pokusy a pokud je jich 32 nespravnych tak se s klicema muzes rozloucit.
Ehm ... TPM je ve vetsine pripadu placebo.

To nie je pravda, ono naozaj ide o dostupny HW,  totiz to sifrovanie casto nerobi procesor ale disk. navyse na AES treba mat specificku HW podporu (aj na CPU), lebo softverove implementacie AES su citlive na time utoky.

4
Je to v FE horší než v BE?

Podla obsahu sucialnych sieti, youtube a rad akoze skusenych programatorov. Tak by som povedal, ze v BE bude neskutocny pretlak Python programatorov, co nevedia ani aky je rozdiel medzi 32 a 64 bitovym intigerom.

5
Do fintechu doratula tato vlna do nasich koncin uz pred vyse rokom a pol. Ono je to logicke, cez covid velke technologicke firmy naberali a dost posilnili, teraz ked prislo uvolnenie, tak postupne idu do starych kolaji.

6
Neviem ci sa to tu uz spominalo. Ale jestvuju systemy, ktore zmeraju richlost, zobrazia ju s textom Spomal. Videl som to uz v niekolkych obciach.

Kedze to nerozdava pokuty ani to nema pravnu zaveznost, tak to nemusi splnat najlepsie standardy a tym je to o dost lacnejsie.

Ale ma to psyhcologickych efekt na vodicov. Neuvazoval ste aj o takejto moznosti?

7
Citace
A typescript je velice vyspely jazyk, plne srovnatelny s Javou nebo Kotlinem.

Ano javascript je tak vyspely jazyk, ze vsetci radsej pisu v typsecripte alebo niecom podobnom.

Ono zas na jednoduche aplikacie je to zas prilis owehead. A co sa tyka bezpenosti javascriptove kniznice nou nie su prave zname.

8
Preferovanejsi je pre ludi, ktori nic ine nevedia.

9
Windows a jiné systémy / Re:Antivirový program - Windows
« kdy: 25. 01. 2024, 15:32:38 »
https://cs.safetydetectives.com/blog/windows-defender-vs-plnohodnotny-antivirus/

Je dost vtipne, ze podla toho clanku je jedina skutocna hodnota antivirusoveho programu to, ci ma alebo nema VPN.

10
Tak technicky ma Sqlite string, blob a integer (ktory je ale interne reprezentovany ako string), protom aj tie operacie tomu zodpovedaju. Ja som neskutocne bojoval pri ADO.NET s datumami a casmi. A prave tieto veci ma EF vyriesnne.

Citace
U EF-C pokud máš jednoduché struktury a malé množství dat, tak se to moc neprojeví, ale při složitějších strukturách je pak hodně znát úbytek výkonu na RPi2Z i "běžném" mobilu.
Od  .Net 6 s tym zat kay rozdiel nie je, a uz vobec nie po "dotnet ef optimise". Navyse v mobilnej aplikacii sai nebude ukladat zlozitu datovu strukturu, ktora +100 tabuliek.

Citace
Dnes mi přijde velký trend nejen u pokusů o programátory, že na jednoduché banální věci tahají spoustu různých nepotřebných knihoven a frameworků, které zbytečně žerou paměť i výkon. Vím, výkonu je dost, ale proč s ním proboha mrhat?

V tomto uplne suhlasim, dokonca mam rad SQL-ko a rad ho pisem, rad pisem vykone aplikacie.
No myslim, ze v pripade ukazkovej aplikacie na pohovor je to asi fuk (pokial nechve preukazat pokrocilu znalost SQL).

11
ak chces offline apku, tak js urcite nie, bud .net, ale ta apka bude mat 20-30MB, alebo nastrojom priamo na to urcenym

Ja by som len podotkol, ze tych 20-30MB je este OK. Dnesne realne mobilene aplikacie maju tak 10-110MB a to ide o aplikaciu, co ma jedno tlacidlo a dva riadky textu (napr. mobilny token k internetovemu bankovnictvu).

- DB se používá SQLite - SQL/případně nějaká lehká abstrakce nad, Entity Framework Core je v tomto případě výkonnostní vražda.

Ja som pri EF core nikdy nemal problemy ani na razzberry pi Zero, co je ovela menej vykonne ako bezny mobil. Naozapak EF core pridava Sqlite vela featura vlastnosti, v cistom SQL som pri Sqlite vzdy bojoval s tym, ze vsteko je string.

12
Windows a jiné systémy / Re:Antivirový program pro Windows
« kdy: 24. 01. 2024, 08:44:03 »
Tie maily explicitne asi nie (ak to nepodporuje Thunderbird), ale ono tento sken by ti mal robit normalny mailovy server a nie az koncove stanice.

Ja o blokacii stranok nepochybujem, lebo som to zazil. Aktualizacie su kedykolvek a kontinualne.

VPN nie je uloha antivusoveho programu, navyse v dnesnej dobe je to skor markeinogova zbytocnost.

13
Mam pocit, ze to mas dost dopletene MAUI na bakcned?
MAUI je frondend technologia, v ktorej sa da robit mobilna aplikacia.

Dalsia vec, co mas zle je ADO.NET a MS SQL Server, ADO.NET vie pracovat s akukolvek databazou, nie len s nim.

naj skor si pozri na nejake uz existujuce projekty.

A ked chces spravit nejaku mobilnu Apku co sheruje data medzi pouzivatelmi tak asi takto:

Mobilna aplikacia (MAUI - ziaden JS) -(REST)-> ASP.NET Core + swagger + Entity framework Core (alebo ADO.NET ak sa chces naucit SQL) -> Lubovolna databaza

Mozes REST vymenit za gRPC, graphQL, alebo OData.

Webova aplikacia (Blazor Wasm - ziaden JS) -(Rest)-> ASP.NET Core ...

Webova apka (Blazor Server), EF core-> Databaza

alebo

Webova aplikacia s JS -(REST)->  ASP.NET Core ...

14
Windows a jiné systémy / Re:Antivirový program pro Windows
« kdy: 23. 01. 2024, 14:02:32 »
Inak väčšinu antivirov dnes sa správa skôr ako vírus než antivírus. Či už neustále pop-up, ale aj škodlivé správanie, najmä u Avast a spol. (Avast špehuje, AVG (patrí Avastu) zadné vrátka, CCleaner (síc nie antivirus, ale patrí Avastu) mal taktiež malware v sebe, Norton (vlastní Avast) ťaží kryptomenu, snáď ešte len u Aviry sa neodhalil žiadny poprask). Proste Avast a spol smrdí už z diaľky.

Čo to táraš, mločík. Mám ten bit defender na dost počítačích už víc než 10 let a ještě se mi nestalo aby se choval jak virus. Úspěšně blokuje odchozí/příchozí spojení na/z pochybné weby, filtruje mejly s pochybným obsahem, oskenuje přiložené soubory i flešky co kdekdo strká do systému. Máš možnost používat VPN. Pravidelné aktualizace. Ten defender jsem nezaznamenal, že by tohle dělal. Podle mě o dost lepší volba než tvrdit nic si neinstaluj.  Ale každýho věc.

Praveze Defnder blokuje pochybne stranky, skenuje prilozene subory aj flasky, aktualizuje sa pravidelne sam, ale narozdiel od inych tym neotravuje pouzivatela.

15
Software / Re:IM protokol maskující, kdo s kým píše
« kdy: 23. 01. 2024, 08:47:40 »
Pokud věříte serveru, tak nepřítel uvidí jen, že komunikujete se serverem, stejně jako mnoho dalších lidí. Ale zašifrovaný obsah zpráv neuvidí. Tj ani hlavičky. Takže nepozná kdo se baví s kým. Případně ten důvěryhodný server může být jen endpoint pro privátní VPN. Tam už pozná jen, že posíláte nějaký traffic. Ale nepozná komu.

To nie je pravda, uvidi aj casovu korelaciu posielanych sprav, a to tu cely cas riesim, utocnik nemusi poznat obsah sprav aby vedel kto s kym kedy a ako casto, z coho sa da vytazil vela informacii.

Ani jak dobre to funguje... ani jestli to tak porad je...
Už před desítkami let se to řešilo celkem triviálně, strany se dohodly na shared secretu, a potom někam veřejně (tehdy alt.binaries.pictures.*) posílali fotky se zasteganovanou zprávou.
Dneska by asi šlo použít něco jako 4chan, možná i klasickou socku, pokud mají oba dostatek sledujících, a socka neořezává/nekonvertuje.

Len dnes kvoli komprimovanym formatom je steganografia velmi napadna, plus socialne siete obrazkom znizuju kvalitu, takze to tie data zosrotuje.

Stran: [1] 2 3 ... 16