Příspěvky

511

Software / Re:Obrovský txt soubor

« kdy: 27. 11. 2021, 19:25:14 »

response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)

A tohle je prostě přesně o čem se snažím psát. Najednou tu používáte naprosto jinou doménu než haveibeenpwned.com.
Jak má normální člověk odlišit haveibeenpwned.com  pwnedpasswords.com [vymyšleno] iwannabepawned.cc gimmepswd.ru  ipawnu.org [/vymyšleno]. Prostě pokud jste odborník na úrovni pana Jirsáka, zadávejte si hesla telefony  haše mejly kam libo. Obyčejný BFU, nebo třeba dítě by to prostě dělat neměli. Nikam, prostě nikam kde to nepatří.  A už rozhodně ne na pokyn naprosto anonymních diskutérů někde na foru. 

512

Software / Re:Obrovský txt soubor

« kdy: 27. 11. 2021, 19:14:43 »

Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".

To, ze je pro tebe sluzba "haveibeenpwned" neduveryhodna, nic neznamena, pravdepodobne ji pouzivas a ani o tom nevis.

Integraci pouziva napriklad Mozilla Firefox (https://monitor.firefox.com), Chrome ma take vlastni integraci. Spousta webu je jiz dnes za Cloudflare, tam se take pouziva haveibeenpwned API na prihlasovaci formulare (https://blog.cloudflare.com/privacy-preserving-compromised-credential-checking/).

Temer kazda velka webova sluzba pouziva jejich API na kontrolu uniklych hesel pri registraci uzivatelu (https://haveibeenpwned.com/API/v2), bere se to dnes jako celkem standard. Samozrejme i nase vlada ma plny pristup do databaze (https://www.troyhunt.com/welcoming-the-czech-republic-government-to-have-i-been-pwned/).

tldr; velmi jiste sluzbu haveibeenpwned neprimo pouzivas, pouze netusis, o cem mluvis ...

Mě je úplně šumák, že vy, pan Koudelka nebo Jirsák považujete tento web za důvěryhodný. Znovu zopakuji,  zadávat svoje přihlašovací údaje, email nebo telefon kamkoliv jen tak pro kontrolu není podle mého názoru bezpečné. Zrovna tak jako ukládání důležitých hesel do prohlížečů.

513

Software / Re:Obrovský txt soubor

« kdy: 27. 11. 2021, 10:04:37 »

haveibeenpwned.com

To je ta stránka, kam zadáte přihlašovací údaje objektu zájmu a ona vám promptně vypíše jestli už někde, heslo nebo aspoň jeho hash, neunikl a pokud ano, tak nasměruje kde ten potřebný údaj hledat?
To je přece super služba pro začínající hackery....

Nee.
Je to kompilát z již zveřejněných úniků.
Nikam to nikoho nenasměruje, najde vám to buď uniklé heslo nebo mail nebo telefon, nikdy ne kombinaci a nic takto využitelného. Zadáte jen jedno z toho, ne kompletní přihlašovací údaje.
Nepitval  jsem to, ale zhruba řečeno, Java Script na webu nebo váš skript heslo lokálně zašifruje sha1, prvních pět znaků odešle na HIBP, ten vrátí množinu hesel, průměr je cca 480 ks , ty se lokálně dešifrují a porovnají se zadaným heslem.
Filipe, kdyžtak mne opravte.

Je to přesně jak píšete. Resp. přijaté hashe hesel se nedešifrují, to ani nejde – vezme se hash vypočítaný v prohlížeči a zjistí se, jestli je mezi těmi zaslanými hashy.

Ten požadavek na hashe začínající na těch prvních pět znaků je GET požadavek, ve kterém je jen adresa obsahující těch pět znaků a běžné HTTP hlavičky. Žádná jiná komunikace se serverem pak není. Pokud zdejší experti dokážou do pěti hexadecimálních znaků zakódovat svá hesla, měli by si to patentovat – nebo mají hodně slabá hesla.

Jen bych rád upozornil, že změnit skript na serveru je záležitostí pár vteřin, proto nesdílím názory pánů Koudelky a Jirsáka.  Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".
Úmysly a motivace poskytovatelů takových služeb mohou být různé a mohou se v čase vyvíjet. Zároveň pochybuji, že běžný BFU dokáže provádět takovou hloubkovou analýzu skriptů a odhadnout reputaci poskytovatele služby jako odborníci výše zmínění.

514

Software / Re:Obrovský txt soubor

« kdy: 26. 11. 2021, 15:08:29 »

Nebavíme se o „nějakém webu“, ale o haveibeenpwned.com, za kterým stojí Troy Hunt, který je v bezpečnostní komunitě poměrně známý a má dobrou reputaci. Navíc tam obvykle nezadáváte heslo, ale e-mail nebo telefon. Pokud použijete stránku s vyhledáváním hesel, s heslem se pracuje pouze v prohlížeči, dál na server jde jenom hash, ze kterého se heslo nedá získat. Navíc tam zadávám heslo, které je unikátní a nezadávám tam žádný další údaj – takže k čemu by někomu bylo samotné heslo?

Takový přístup se mi zdá velice naivní.  Internet, jakýkoliv web je prostě potenciálně nebezpečný. Je proto podle mě nutné vždy si prověřit a velmi rozmyslet co a kam zadávám.

Cpát reálné kontakty a nebo i svá hesla do "nějakého" webovského formuláře, notabene na naprosto nedůvěryhodně znějící doméně,  podle mě není bezpečné.

Internet je džungle, a tak se k němu musí přistupovat.

Pokud použijete stránku s vyhledáváním hesel, s heslem se pracuje pouze v prohlížeči, dál na server jde jenom hash, ze kterého se heslo nedá získat.

A todle vám pane poradil kdo? A vy tomu opravdu věříte? A budete tomu věřít i zítra a pozítří?

k čemu by někomu bylo samotné heslo?

Ke slovníkovému útoku. To se mi při Vaší kapacitě znalostí nezdá, že byste o tom jste nikdy neslyšel...
 

515

Software / Re:Obrovský txt soubor

« kdy: 26. 11. 2021, 09:25:03 »

Prosím o link na stažení nebo to zaheslovat a dát na ulož to.

Ahoj, běž na https://haveibeenpwned.com/Passwords , nech vyhledat nějaké profláklé heslo a sjeď dolů. Torrent nebo cloudflare, ale jsou to asi jen hashe.
Třeba toto https://downloads.pwnedpasswords.com/passwords/pwned-passwords-sha1-ordered-by-hash-v7.7z
Více info na https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/

Vy myslíte, že podle mě pochybné weby, jako haveibeenpwned.com, nejsou lapadla do něčí (vládní?) databáze hesel pro nějaké budoucí použití?  To jako fakt zadáváte svoje hesla na nějaký web pro "kontrolu"?

516

Software / Re:Obrovský txt soubor

« kdy: 26. 11. 2021, 09:15:37 »

Rozdělte si to pomocí příkazu split  na menší a ty pak prohlédněte/zpracujte.

jinak google je váš kamarád, poradí rychle a celkem dobře.

Linux:

Kód: [Vybrat]

Have a look at the split command:

$ split --help
Usage: split [OPTION] [INPUT [PREFIX]]
Output fixed-size pieces of INPUT to PREFIXaa, PREFIXab, ...; default
size is 1000 lines, and default PREFIX is `x'.  With no INPUT, or when INPUT
is -, read standard input.

Mandatory arguments to long options are mandatory for short options too.
  -a, --suffix-length=N   use suffixes of length N (default 2)
  -b, --bytes=SIZE        put SIZE bytes per output file
  -C, --line-bytes=SIZE   put at most SIZE bytes of lines per output file
  -d, --numeric-suffixes  use numeric suffixes instead of alphabetic
  -l, --lines=NUMBER      put NUMBER lines per output file
      --verbose           print a diagnostic to standard error just
                            before each output file is opened
      --help     display this help and exit
      --version  output version information and exit

You could do something like this:

split -l 200000 filename

which will create files each with 200000 lines named xaa xab xac ...

Another option, split by size of output file (still splits on line breaks):

 split -C 20m --numeric-suffixes input_filename output_prefix

creates files like output_prefix01 output_prefix02 output_prefix03 ... each of maximum size 20 megabytes.

Windows:

Kód: [Vybrat]

If you have installed Git for Windows, you should have Git Bash installed, since that comes with Git.

Use the split command in Git Bash to split a file:

    into files of size 500MB each: split myLargeFile.txt -b 500m

    into files with 10000 lines each: split myLargeFile.txt -l 10000

Tips:

    If you don't have Git/Git Bash, download at https://git-scm.com/download

    If you lost the shortcut to Git Bash, you can run it using C:\Program Files\Git\git-bash.exe

That's it!

517

Studium a uplatnění / Re:Pomoc se statistikou

« kdy: 25. 11. 2021, 14:00:03 »

Jako u jiných předmětů, pokud to člověk nechápe, tak nezbývá než nabiflovat a doufat že u u zkoušky budou chtít jen definice a info ze skript...
Pokud však člověk plánuje že společnosti něčím přispěje, tak je dobré, podle mého názoru, alespoň pochopit základy.
Protože jakmile se dostane k nějakému matematickému popisu reality, modelu, či po vás budou chtít (anebo i vy sami budete chtít znát) odpověď zda něco v reálu funguje v souladu s mat. predikcí nebo ne, anebo po vás někdo nedejbóže bude chtít takový model vyrobit, odpověď je schovaná právě za tímhle (pro vrozkrokkopkopalsony bezvýznamným) aparátem.

518

Server / Re:Více teček v mailové adrese za @

« kdy: 25. 11. 2021, 09:16:18 »

tu jsou nějaké informace včetně, snad relevantních, RFC:

https://en.wikipedia.org/wiki/Email_address

519

/dev/null / Re:COVID očkovací certifikát

« kdy: 22. 11. 2021, 22:28:43 »

No jó, když jsou lidi líný si stahnout certifikát do mobilu anebo vytisknout a musej na ukazování mít spešl apku, tak se nesměj divit...

Vypadá to, že vám není jasné, v čem je chyba, provedení certifikátu to není.

Tak to samozřejmě - prostě očkovaným lidem co jsou líný si stáhnout pdfko do mobilu nefungovala nějaká zobrazovací apka, kvůli úpravám tý apky kvůli neočkovanejm. Asi tak to chápu. Člověk nemá bejt línej,  když jsem očkovanej, tak si to snad stáhnu jen jednou, to snad nemůže být jednodušší.
Pokud nejsem, mám to s každoxdenním oserem, to snad jako součást antisystémového životního stylu taky zvládnu. 
asi tak to vidím...

520

Odkladiště / Re:Občanský průkaz a záznam biometrických údajů

« kdy: 22. 11. 2021, 13:34:25 »

jaký tam maj prstový čtečky na těch uřadech?? by mohlo stačit si vopatlat prsty lepidlem napapír jestli to sou nějaký laciný křápy

btw ty biometrický data se uploadujou na nějakej vládní server kde prej vůůbec nezůstávaj(ale věř jim ) a 90 dní visej uložený přímo na tom uřadě kde si vobčanku necháš vyrobit. pak se údajně mažou

No já nevim, jako co můžou udělat s tvejma otiskama, v podstatě nic, maximálně porovnat s databází nevyřešenejch případů - což teda asi chápu, že to může někomu vadit... Ale že by někomu přišili něco co nespáchal, nějakou manipulací s důkazy, na to si myslím u nás moc vůle nebude.

Jinak kdo cestoval v posledních letech do usa, teda předpokládám že skoro každej pořádnej ajťák, tak stejně už je v databázi různejch inteligentních servisů. Tak to mít vypálené i na český občance je asi menší problém. Se domnívám.

521

/dev/null / Re:COVID očkovací certifikát

« kdy: 22. 11. 2021, 13:24:14 »

No jó, když jsou lidi líný si stahnout certifikát do mobilu anebo vytisknout a musej na ukazování mít spešl apku, tak se nesměj divit...

522

Hardware / Re:Jak vybrat TV?

« kdy: 16. 11. 2021, 10:40:20 »

Podle mého názoru očekávat od proprietálního bastlu nějakou bezpečnost a funkčnost po dobu životnosti mi připadá utopické. A ta životnost je 10+ let.
Televize je podle mě pasivní zobrazovadlo a jako takové má své vymezené místo. Příjem pozemní TV a nebo satelitu či kabelu je akceptovatelné, pouštět to na internet rizikové. Má to zobrazovat jen to, co do toho pustím.
A stejně jako běžné BFU se nehodlám zabývat povolováním televize na FW. Pokud problém neexistuje, nemusím ho řešit.
Je podle mě velice smutné, že počínající demence "chytrých" TV je důvodem k nákupu nových.
Je to plýtvání zdroji, časem, penězi na velice pofidérní užitek.
Jako čumět na TV mi přijde jako obzvlášť hloupé trávení času.
A jinak za mě doporučuju nějakýho obyčejnýho philipsa, ale doporučuju se na něj někde nejdřív podívat a zkusit obraz a přepínání v obchodě...

523

Hardware / Re:Jak vybrat TV?

« kdy: 15. 11. 2021, 08:10:55 »

Velice doporučuju navštívit a zeptat se na fóru na AVmania.cz. Tam je podle mě víc "odborníků".
Osobně bych se softwarem televize vůbec nezabýval - stejně za 2-3 roky výrobce odpíská podporu a TV se začne pomalu stávat (softwarově) nepoužitelnou. Bezpečnost a záplatování veškeré žádné, po připojení do netu podle mě vysoké riziko že se stane součástí nějakého botnetu anebo, že bude čuchat po domácí síti.
Já TV kupuju na 10+ let, a veškerý online obsah "přehrávám" z vedle stojícího aktualizovaného PC.
Tím teda neříkám kupovat dumb TV, pokud je notabene dražší, ale že je to jedno, stejně ji na net nepustim.

524

Server / Re:Mail u sebe doma

« kdy: 11. 11. 2021, 11:40:29 »

Nejak nevidim duvod proc provozovat server doma, kdyz si sluzbu muzu zaplatit a zit tak nejak bez starosti.
Pokud srovnam cenu za energi, hw, pripadne sw atd. tak jsem na cene nad licenci na zaklad u O365/M365.

To, ze nekdo ma potrebu provozovat si neco doma tak uplne nechapu, to mate asi pravdu.


Tvuj Kapitan Varlatko.

mail u sebe doma pro 2 a vice uzivatelu se jmenuje Microsoft/Office365.

Vy jste moc nepochopil, co tu řešíme, že?

Co třeba proto, aby se to naučil a pak to mohl takovým varlátkům, co to pro ně je pár drobných, prodávat?

525

Hardware / Re:Rozdíl v cenách HDD

« kdy: 09. 11. 2021, 08:19:08 »

Anebo tahle toshiba je o pár tisíc levnější?
https://www.mironet.cz/toshiba-enterprise-capacity-mg08-16tb-512e-hdd-35quot-sata-6gbits-512mb-cache-7-200-rpm-interni-5y+dp442098/