16
Odkladiště / Re:Je možné získání dat skrze XXE?
« kdy: 09. 03. 2023, 11:07:52 »
Nebo třeba tady je write-up (česky) z The Catch 2022 pro úkol s XXE zranitelností.
Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
17
Server / Re:Bezpečná distribuce hesel a privátních klíčů
« kdy: 03. 03. 2023, 16:42:10 »Napriklad pri poziadavku user@host1 -> http@host2 -> postgres@host3, mi staci prihlasenie na host1, host2 ziadne ulozene heslo pre host3 nepotrebuje, pouzije tiket z host1. Staci ak KDC vie kto z kade sa moze pripojit kam.
Ospravedlňujem sa za offtopic vzhľadom k pôvodnej otázke vlákna, ale ako by host 2 na host 3 mal použiť ticket z host1?
Pokiaľ ma pamäť neklame, tak klient si Kerberos ticket od TGS žiada pre konkrétnu službu a ticket ktorý dostane, je zašifrovaný kľúčom danej služby. To, že ho služba rozšifruje sa považuje za časť overenia (t.j. služba vie, že token pripravil TGS ktorý pozná jej kľúč, takže potom verí obsahu tokenu). Ak by sa ale host2 snažil impersonovať klienta voči host3 prepoužitím tokenu, tak daný token host3 nerozbalí a neoverí, pretože je zašifrovaný kľúčom pre host2. Jedine, že by host2 a host3 mali identický kľúč, čo ale neviem, či je správne a žiadúce, pretože tento pattern by sa rozliezol a nakoniec by všetky služby (ktoré sa navzájom volajú) museli mať identické kľúče.
18
Studium a uplatnění / Re:Jak se pripravit na pohovor z pozice hiring managerova asistenta
« kdy: 23. 02. 2023, 12:14:03 »
Závisí od struktury pohovoru.
V první řadě si musíš uvědomit, že cílem pohovoru je zjistit, kolik toho uchazeč umí, ne kolik toho neumí (t.j. vymáchat uchazeče v nějaké neznalosti není problém, ale typicky to není cílem pohovoru a ze strany potenciálního zaměstnavatele ti to moc nedá, jen tím ztratíš čas).
Také není úplně ideální, když uchazeč naopak má o požadované technologii více znalostí, než člověk, co vede pohovor. Takže rozhodně se podívej na to, co se s technologií kterou používáte/požadujete stalo v poslední době (i když na projektu ještě poslední verzi nepoužíváte).
Když je součástí pohovoru rozbor nějakého konkrétního kusu kódu, měl by sis nejdříve udělat rozbor sám a z mnoha pohledů (t.j. nejen třeba opravy/zjednodušení, ale třeba vhodnost návrhu z hlediska testovatelnosti, ...)
V první řadě si musíš uvědomit, že cílem pohovoru je zjistit, kolik toho uchazeč umí, ne kolik toho neumí (t.j. vymáchat uchazeče v nějaké neznalosti není problém, ale typicky to není cílem pohovoru a ze strany potenciálního zaměstnavatele ti to moc nedá, jen tím ztratíš čas).
Také není úplně ideální, když uchazeč naopak má o požadované technologii více znalostí, než člověk, co vede pohovor. Takže rozhodně se podívej na to, co se s technologií kterou používáte/požadujete stalo v poslední době (i když na projektu ještě poslední verzi nepoužíváte).
Když je součástí pohovoru rozbor nějakého konkrétního kusu kódu, měl by sis nejdříve udělat rozbor sám a z mnoha pohledů (t.j. nejen třeba opravy/zjednodušení, ale třeba vhodnost návrhu z hlediska testovatelnosti, ...)
19
Studium a uplatnění / Re:Vzdálená práce v Česku ze Slovenska
« kdy: 16. 02. 2023, 17:20:00 »...Inak práca pre Česko je podla mňa lepšia, a najmä máš tam vyššiu čistú mzdu (~88%) keď podpíšeš ružoví papier (Prohlášení poplatníka daně), než na Slovensku (~75%).
Tak by to ale správne fungovať nemalo. Ak si daňovým rezidentom SR (máš tu trvalý pobyt) alebo tu máš podľa dohody o zamedzení dvojitého zdanenia domicil (t.j. máš v SR "centrum životných záujmov", pretože sa tu prevažne zdržuješ aj keď formálne si zamestnaný v ČR), tak by si mal v SR podat daňové priznanie z celosvetových príjmov. Tam síce priznáš, že si v ČR mal prijem a niečo si tam zaplatil na daniach, ale ak daň zaplatená v zahraničí bola nižšia ako by mala byť SR, tak by si mal ten rozdiel doplatiť.
Tým pádom prídeš o tú výhodu nižších daní v zahraničí (samozrejme keby tam boli dane vyššie ako v SR, tak sa ti to v rámci daňového priznania nevráti)
20
Software / Re:Doporučte multiplatformního správce hesel
« kdy: 26. 01. 2023, 13:36:05 »Jak je to s integraci v systemu (iOS)? Prijdu treba v safari na root.cz a prihlasi me to automaticky nebo musim kopirovat mezi aplikaci a prohlizecem manualne?
Po kliknutí na input typu heslo se na klávesnici (v sekci pro autocomplete) objeví položka "Passwords". Ta otevře KeePassium kde si vyberete, které heslo z DB chcete použít (v případě, že záznamy v DB mají URL, která se shoduje s navštívenou adresou, nabídnou se primárně vyhovující záznamy, t.j. není potřeba aktivně hledat). Po potvrzení se v prohlížeči automaticky vyplní heslo (i username, když tam je příslušné pole)
21
Software / Re:Doporučte multiplatformního správce hesel
« kdy: 26. 01. 2023, 08:17:19 »KeepAssXC na desktopu a KeepAssDX na mobiluDekuji, nevidim nikde ale aplikaci pro iOS.
Třeba KeePassium (aktivně používám), nebo něco jiného z https://keepassium.com/articles/keepass-apps-for-ios/ podle konkrétních požadavků.
22
Odkladiště / Re:Odporucte platobnu branu
« kdy: 23. 01. 2023, 11:08:45 »Nie je problem pridat tlacidlo s presmerovanim na branu. Ale zase ja nehovorim o PCI-DSS SAQ-D, len SAQ-A, cize na server nejdu ziadne uzivatelove data. Vsekto je len v prehliadaci a webka len renderuje UI.
Já bych souhlasil s p. Gajduskem.
Jako uživatel nemám čas ani chuť zkoumat, jestli jsou data odesílána na váš server, nebo "webka len renderuje UI". Když vidím, že číslo karty mám zadat přímo na webu obchodníka, tj. nezadávám jej do známé platební brány, web opouštím a nakoupím jinde.
23
Sítě / Re:Konec poskytovatele 365internet.cz
« kdy: 06. 10. 2022, 18:33:02 »
Uměl by někdo vysvětlit co může znamenat "V současné době probíhají jednání s dalšími partnery o zajištění provozu"? Já měl za to, že dráty jsou CETINu a v případě že CETIN spolupráci vypověděl neexistuje alternativa (nepředpokládám že mi někdo dotáhne do domu extra dráty)
24
Sítě / Re:Konec poskytovatele 365internet.cz
« kdy: 06. 10. 2022, 14:34:55 »
Vypadá to, že web jim opět funguje... Uvidíme, jestli dorazí i nějaké to oficiální vyjádření k situaci.
25
Sítě / Re:Konec poskytovatele 365internet.cz
« kdy: 05. 10. 2022, 23:23:25 »
Já jsem také zákazníkem 365internet, ale žádný mail od CETIN jsem nedostal (jen od 365 abych ho ignoroval) a Internet funguje bez přesměrování na informace/varování.
Je možné, že detekce zákazníků nefunguje úplně spolehlivě, nebo bylo mezitím přesměrování zrušeno?
Je možné, že detekce zákazníků nefunguje úplně spolehlivě, nebo bylo mezitím přesměrování zrušeno?
26
Vývoj / Re:Python a Paramiko bez roota
« kdy: 16. 09. 2022, 09:42:09 »
Nepíšeš jak jsi to zkoušel řešit (a proč to vůbec zkoušíš pod rootem) ale hned první google odkaz na chybovou hlášku vede na https://github.com/paramiko/paramiko/issues/1574
Tj když se přihlašuješ pomocí jména a hesla, zavolej
Tj když se přihlašuješ pomocí jména a hesla, zavolej
Kód: [Vybrat]
ssh.connect() s parametry Kód: [Vybrat]
look_for_keys=False, allow_agent=False aby knihovna nezkoušela SSH klíče.27
Vývoj / Re:Jaký jazyk na malé portabilní programy
« kdy: 16. 09. 2022, 09:15:16 »Dost často je nejjednodušší to prostě udělat jako webovku (bohužel)
Souhlasím.
Bohužel požadavky "malé" a "portabilní s GUI" jdou proti sobě.
Protože jsou platformy odlišné, musíš si vybrat, jestli program chceš malý (a napíšeš ho pro konkrétní platformu za použití minima funkcí), nebo bude program portabilní, a pak někdo bude muset ty rozdíly platforem řešit.
Typicky to tedy bude runtime, který bude tím pádem "větší než malý". Tím se vlastně dostáváš do situace, že musíš vybrat runtime, který je ideálně všude kde potřebuješ a nemusíš ho distribuovat. A takový runtime je typicky právě browser, takže skončíš s HTML+JS.
28
Software / Re:(du)Jak v linuxu zjistit přesnou velikost sady souborů a složek
« kdy: 17. 08. 2022, 09:14:26 »Kód: [Vybrat]
du -bc-b, --bytes
equivalent to '--apparent-size --block-size=1'
Sice píšeš, že jsi "-aparent-size --block-size v různých kombinacích" zkoušel, ale u mne to s přepínačem -b dělá přesně to, co chceš.
29
Vývoj / Re:Jak se naučit přemýšlet jako programátor?
« kdy: 19. 07. 2022, 12:31:45 »
Knihy aj škola sú v podstate dobré odporúčania, ale veľká časť schopnosti "myslieť ako programátor" znamená vedieť "myslieť ako nepriateľ".
T.j. po tom, čo človek vymyslí algoritmus na riešenie úlohy je potrebné prepnúť do módu "a teraz potrebujem vymyslieť vstup, na ktorom môj algoritmus nefunguje". Časom sa človek naučí tieto bežné chyby vidieť dopredu, čo sa odrazí na návrhoch budúcich algoritmov (atď).
Aspoň teda čo si pamätám, tak veľká časť cvičení z programovania v 1. ročníku VŠ sa niesla v duchu
A ako správne píšeš, syntax konkrétneho jazyka je na tomto nezávislá (aj keď je pravdou, že rôzne druhy jazykov budú viac alebo menej náchylné na iné typy chýb). V prvom rade je ale potrebné naučiť sa minimalizovať/predvídať chyby v dizajne, v druhom samozrejme aj naučiť sa napísať v danom jazyku presne to, čo chcem, aby sa dialo.
T.j. po tom, čo človek vymyslí algoritmus na riešenie úlohy je potrebné prepnúť do módu "a teraz potrebujem vymyslieť vstup, na ktorom môj algoritmus nefunguje". Časom sa človek naučí tieto bežné chyby vidieť dopredu, čo sa odrazí na návrhoch budúcich algoritmov (atď).
Aspoň teda čo si pamätám, tak veľká časť cvičení z programovania v 1. ročníku VŠ sa niesla v duchu
- vymyslite algoritmus na ...
- niekto napíše svoje riešenie na tabuľu
- Cvičiaci: "A teraz príde nepriateľ a zadá vášmu algoritmu na vstupe XYZ"
A ako správne píšeš, syntax konkrétneho jazyka je na tomto nezávislá (aj keď je pravdou, že rôzne druhy jazykov budú viac alebo menej náchylné na iné typy chýb). V prvom rade je ale potrebné naučiť sa minimalizovať/predvídať chyby v dizajne, v druhom samozrejme aj naučiť sa napísať v danom jazyku presne to, čo chcem, aby sa dialo.
30
Sítě / Re:Realizace domácí sítě
« kdy: 30. 05. 2022, 10:58:35 »... Nedavno jsem resil ze elektrikar v 1 novostavbe natahal jako spravny aktivni blbec klientovi Cat6a STP, pritom tam nebyl zadny specialni pozadavek, net tam bude max 1Gbit., klientovi staci s prehledem polovina na vsecko i kdyby mel doma 10TV. Takze Cat5e a pohoda....
Dávat 5e do novostavby je podle mě nesmysl. Souhlasím, že dnes to stačí, a možná pár let ještě bude, ale dům se staví na desítky let.
Srovnej si, jaké byly rychlosti internetu před 20 lety a kolik dat běžná domácnost potřebovala. Za 15-20 let to může být úplně jinak a kabely ve zdech nikdo chtít měnit nebude.
Kromě toho, i kdyby byly v domě kilometry kabelu, rozdíl v ceně 5e a 6a (nebo i 7) je při ceně domu zanedbatelný.
