Příspěvky

1036

Windows a jiné systémy / Re:Soubory TEMP nejsou ve Windows 10 odstraněny!

« kdy: 10. 08. 2021, 09:15:05 »

Asi myslíte, že jste se snažil smazat soubory po ukončení všech viditelných aplikací. Jenže v systému běží spousta aplikací na pozadí, ty aplikace nevidíte. Např. i plocha je aplikace, která musí běžet, abyste vůbec mohl počítač ovládat. Když aplikace běží a má nějaký soubor otevřený, ten soubor je uzamčený a není možné ho smazat. Ale hlavně není žádný důvod takový soubor mazat. Aplikace ho smaže sama, až se ukončí.

1037

Vývoj / Re:Jak najit soubory se stejnym jmenem ale jinym obsahem a promazat

« kdy: 09. 08. 2021, 19:09:10 »

Kontrolní součet se počítá z obsahu souboru, tj. datum modifikace na něj nemá vliv.

Použijte sha1sum, sha256sum, b2sum nebo b3sum, tím vypočítáte kontrolní součty souborů.

Pak buď pomocí sort -u seřaďte dle hashe – parametr -u zajistí, že se duplicitní položky vypíšou pouze jednou. Výsledek bude seznam souborů, které se mají zachovat, zbytek jsou duplicity a ty můžete smazat.

Nebo výpis kontrolních součtů seřaďte pomocí sort a následně si pomocí uniq -d nechte vypsat jenom duplicitní hashe, pak si vyberte, který soubor k danému hashi chcete zachovat a ostatní smažte.

1038

Windows a jiné systémy / Re:Soubory TEMP nejsou ve Windows 10 odstraněny!

« kdy: 09. 08. 2021, 14:28:03 »

Pokud tím myslíte, že soubory uložené do dočasných adresářů nejsou po restartu smazány, pak to je normální chování, Windows to tak nedělaly nikdy.

Pokud myslíte něco jiného, napište co – kdy konkrétně by podle vás ty soubory měly být smazány, nebo co přesně se vám děje a co by se podle vás dít mělo.

1039

Vývoj / Re:Vue3 + Spring boot auth

« kdy: 09. 08. 2021, 14:03:53 »

A muj dotaz v kostce zni, zda v JS SPA svete existuje obdobny standard, anebo se ocekava, ze si kazdy znovu vynalezne kolo a seznami se s CSFR a SQL injecty.

Skoro jste si odpověděl sám. Chtěl jste něco řešit se Springem, tak jste se podíval, jaké na to v jeho ekosystému existují nástroje (vy to dost nepřesně nazýváte „standard“. Tak tu udělejte stejně a hledejte materiály pro Vue, které s etýkají vaší problematiky. např. Vue Mastery: Token-Based Authentication, v Awesome Vue hledej te „auth“ atd.

SQL injection se frontendu netýká. Když autentizaci uděláte správně a nebudete ukládat autentizační data do cookies, netýká se vás ani CSRF.

Že je pro Javistu stav frontendového vývoje tristní, s tím souhlasím. Ale rozhodně to není ve stavu, abyste nad tím rozhodil rukama a prohlásil, že se s tím nic dělat nedá. Ano, musíte si znovu procházet věcmi, které má svět Javy vyřešené už deset nebo dvacet let. Ale zároveň už toho dnešní frontend umí strašně moc. Ale samozřejmě se to musíte naučit.

1040

Vývoj / Re:PHP - deserializace objektu - ošetření vstupu

« kdy: 09. 08. 2021, 11:59:34 »

Proste pouzit redis backend pre session.

Prostě zavést do systému další komponentu, o kterou se musíte starat a kterou musíte platit.

Len sa ta stavovost neprenesie do browseru uzivatela, ale tam kam patri.

HTTP protokol vznikl jako bezstavový. Stav do toho přináší až uživatel. Takže podle mne stav patří na klienta.

To o co sa znazite vy, na tom si vylamalo zuby uz mnoho vyvojarov.

Zároveň to mnoho vývojářů úspěšně provozuje.

1041

Vývoj / Re:PHP - deserializace objektu - ošetření vstupu

« kdy: 09. 08. 2021, 11:36:27 »

Podivejte se na ten serializovany format - a napiste si REGEX ktery to velice striktne matchne od ^ po $. Snad vite kde v objektech mate cisla a pismenka.. ponekud horsi to bude jestli tam chcete prenaset binarky nebo UTF.

Takového řešení bych se dost bál. Jednak že stejně nepodchytíte nějakou možnost, jak tam útočník propašuje něco škodlivého. Jednak že se formát serializace změní. Je vůbec v PHP při serializaci zaručeno, že bude pořadí prvků stále stejné? Já pro takovou záruku nevidím žádný důvod.

1042

Vývoj / Re:PHP - deserializace objektu - ošetření vstupu

« kdy: 09. 08. 2021, 11:33:54 »

Na co presne tady nestaci PHP session (a pripadne jeji ukladani do memcache pokud je vice PHP serveru na backendu)? Stejne by tam melo byt jen user id a cely objekt inicializovat jako entitu (a je jedno jestli z DB nebo nejake cache layer)

Proč tam zavádět memcache, pokud se jinak nepoužívá? Proč zavádět centrální bod, na kterém bude záviset vše a který bude úzkým hrdlem při škálování aplikace?

1043

Vývoj / Re:Vue3 + Spring boot auth

« kdy: 09. 08. 2021, 11:31:46 »

Ten návod je validní.

Zda si do systému nevnesete nějakou děsivou díru se nedá říct bez znalosti toho, jak budete autentizaci implementovat. Pokud nepoznáte, zda není nějaká díra v tom článku, nepoznal byste ani kdybyste se v nějaké zdánlivě nepodstatné maličkosti odchýlil od toho článku a tím byste bezpečnostní díru vytvořil.

1044

Vývoj / Re:PHP - deserializace objektu - ošetření vstupu

« kdy: 08. 08. 2021, 15:17:25 »

Uživatel měl předložit podepsanou instanci objektu, která obsahuje info o autorizaci a autentizaci.

To zní přesně jako JSON Web Token.

1045

Vývoj / Re:PHP - deserializace objektu - ošetření vstupu

« kdy: 08. 08. 2021, 13:09:31 »

Pokud znáte hash serializovaných dat

Tím bylo samozřejmě myšleno, že zároveň uživatel nemůže správný hash podvrhnout. Tj. buď je hash uložený jenom na serveru, nebo se sice bere hash od uživatele, ale je to hash vytvořený z dat a z tajemství, které uživatel nezná.

1046

Vývoj / Re:PHP - deserializace objektu - ošetření vstupu

« kdy: 08. 08. 2021, 12:47:48 »

Není mi jasné, jak tam pracujete s tím hashem. Pokud znáte hash serializovaných dat, můžete nejprve ověřit hash a pak až deserializovat – tím máte zaručeno, že nemohl nikdo serializovaná data podvrhnout.

Pro serializaci krátkých dat posílaných mezi prohlížečem a serverem se dnes obvykle používá JSON Web Token.

Každopádně ale to, o co se pokoušíte, je celé divné. Lepší by bylo, kdybyste popsal, jaký problém řešíte. Nejspíš už to řešily tisíce lidí před vámi a existuje na to nějaké ověřené řešení, možná dokonce standard.

1047

Hardware / Re:Domovní alarm

« kdy: 06. 08. 2021, 13:30:35 »

Co od toho API očekáváte? Zjišťování stavu čidel? Nebo jen vyčítat kdo kdy zakódoval a odkódoval? Nebo tím API chcete i provádět zastřežení/odstřežení? To je dost velká bezpečnostní díra do systému a nedivil bych se, kdyby se tomu dodavatelé dost bránili.

1048

Vývoj / Re:PHP - mikroslužby - autentizace

« kdy: 03. 08. 2021, 08:54:10 »

Nepoužívejte JWT s local storage. Použijte cookie s Secure, HttpOnly, SameSite=Strict. Cookie musíte chránit před CSRF/XSRF, což je triviální. Přístup k local storage získáte přes XSS, před kterým je dobrá ochrana složitá, nadarmo není v OWASP Top Ten.

Ještě se vrátím k tomuhle. Zajímalo by mne, jak si to představujete prakticky. Bavíme se o mikroslužbách, takže mám hejno služeb poskytujících nějaké API, typicky RESTové. Vedle toho mám hejno aplikací konzumujících ty služby, mezi nimi obvykle nějkaé SPA běžící v prohlížeči.

Konzument může klidně zavolat jedinou API službu a tím veškerá komunikace s tím API končí. Takže nemůžu použít klasické předpotopní ochrany proti CSRF rozbíjející web, které spočívají v tom, že se nevolá API ale zobrzauje se formulář a z něj se odesílají data – takže uživatel musí nejprve zobrazit nějaký formulář, který získá klíč pro jedno volání API. Takže API musí být stavové a uživatel má smůlu při používání prohlížeče – nmůže používat tlačítko zpět, nemůže si formulář duplikovat na další záložce.

OK, budete se tedy snažit zabránit CSRF pomocí SameSite cookie (která závisí na podpoře prohlížeče a bohužel ještě zcela nezmizely prohlížeče, které ji nepodporují). Jenže jde to reálně udělat? Ukažme si to na nějakém příkladu použití mikroslužeb. Představme si vydavatelství, které vydává několik internetových magazínů, a má pro ně společné účty. (Příklad je to čistě hypotetický, s uvedeným vydavatelstvím ani jeho softwarem nemám nic poslečného, jsem jen čtenář.) Takže to vydavatelství má mikroslužbu obhospodařující uživatelské účty dejme tomu na adrese user.api.iinfo.cz. Bude tam nějaký endpoint volaný metodou GET na adrese user.api.iinfo.cz/basicInfo, který vrátí základní informace o uživateli, které s ezobrzaují na každé stránce – jeho uživatelské jméno, odkaz na profilovou fotku, typ podporovatele. Tohle API pak budou volat jednotlivé magazíny třeba z adres root.cz, lupa.cz apod.

To asi se SameSite cookie fungovat nebude, že?

1049

Vývoj / Re:PHP - mikroslužby - autentizace

« kdy: 03. 08. 2021, 08:31:41 »

Ale aj tak sa mi nechce verit ze niekto pouziva JWT ako user session.

JWT se vždy používá k udržení stavu. K čemu jinému byste ho chtěl použít?

Stav 0: uzivatel xy neprihlaseny, Stav 1: uzivatel xy prihlaseny.

Myslím, že nechápete, co se myslí „stavem“ a „stavovostí“, když se mluví stavových nebo bez stavových službách.

1050

Vývoj / Re:PHP - mikroslužby - autentizace

« kdy: 02. 08. 2021, 21:28:05 »

Vzhladom k tomu ze nieco podobne sa vesterna12 snazi implementovat v PHP(usudzujem podla toho kodu co posielal), je diskutabilna uzivatelska neprivetivost irelevantna.

vesterna12 chce implementovat autentizaci uživatele (z webového prohlížeče) vůči mikroslužbám napsaným v PHP. Ten kód v PHP je autentizační server (vydává po přihlášení uživatele token, který se uloží v prohlížeči) a PHP mikroslužba (která dostane token od uživatelova prohlížeče). Takže klient, který se musí mikroslužbě nějak prokázat, je webový prohlížeč.