Příspěvky

106

Vývoj / Re:Přihlašování pomocí URL

« kdy: 21. 01. 2021, 13:19:41 »

Rozhodně nespoléhat na náhodný řetězec, minimálně by to chtělo zapojit J(son)W(eb)T(okens)

Mám náladu na komickou vložku. Takže se zeptám – proč?
[/quote]
Bude z toho poznat, že jde o neoprávněný pokus, jestliže pujde o random string.

107

Vývoj / Re:Přihlašování pomocí URL

« kdy: 21. 01. 2021, 10:26:03 »

To co chce tazatel, je běžné a úspěsně se to používá. Je nutné myslet na bezpečné předání a uchování URL.
Samozřejmě to chce nějakou logiku kontroly přístupu, aby nebylo možné hádat 32000 přístupů za vteřinu.
Rozhodně nespoléhat na náhodný řetězec, minimálně by to chtělo zapojit J(son)W(eb)T(okens) a challenge-response (což na první pohled zní podivně, když je to jen přes URL, ale muselo by se to dělat právě na straně klienta, přes hash).

Taky záleží jestli to je pro nějaké domácí zápisky stavu špajzu pro úzký okruh nebo je to veřejná služba pro stovky miliony uživatelů.

108

/dev/null / Re:Rozjebané fórum ... datace 2019

« kdy: 21. 01. 2021, 10:22:35 »

Já mám jinou zkušenost, ale naopak je nutné udělat před odesláním odpovědi request. . Nebo možná místo před kliknutí na Poslat nejprve Náhled.

Ale roky letí....
Re:Lépe zemřít vestoje než žít v okovech registrace  03. 02. 2019,

Tak jsem napsal sáhodlouhou odpověď, kliknul na Poslat, a asi jsem psal moc dlouho, protože jsem se dozvěděl "Lituji, přístup byl odepřen". Znovu už to psát nebudu. Když je přístup odepřen, tak nebudu přistupovat.

Prostě opakování je matka moudrosti: Před odesláním příspvěku si ho zkopíruje do schránky a pro jistotu v browseru v Network si zaškrtněte preserve log

109

/dev/null / Re:conntrack - zobrazuje vše bez ohledu na NATování?

« kdy: 18. 01. 2021, 18:11:14 »

Co ale je fakt divné, že když pravidlo nahradím

Kód: [Vybrat]

-A POSTROUTING  -o wlan0 -j MASQUERADE #před změnou
-A POSTROUTING -s 10.0.0/8 -o wlan0 -j MASQUERADE # po změně

tak se nic nezmění, stále se v výpisu ukazuje


Takže dotazy na publikum: jak to tedy je s conntrack (jako takový i jeho výpisem conntrack -L)?


-Proč conntrack -L ukazuje i řádky kde pravidlo MASQ nematchuje IP ? Znamená to tedy, že tento výpis nic s NATem nemá společného a vypisuje jakákoli spojení bez ohledu na to, zda dochází k překladu?

- provádí conntrack NAT i v případě, že pravidlo ve firewallu matchuje i pakety z routeru (tedy před úpravou, bez specifikace src adresy , v prvním postu, kdy v řádku conntrack adresy jsou shodné)

110

/dev/null / Re:conntrack ukazuje i spojeni z routeru - -j MASQ je bez rozsahu

« kdy: 18. 01. 2021, 13:34:24 »

EDIT:
Tak možnost číslo 1 (-i Rozhraní_odkud) odpadá, jelikož to u POSTROUTING Není dovoleno.

111

/dev/null / conntrack ukazuje i spojeni z routeru - -j MASQ je bez rozsahu

« kdy: 17. 01. 2021, 22:33:06 »

Tak jsem se díval na  conntrack -L a překvapilo mě tam hodně DNS přímo ze stroje routeru ("tento počítač  "). Není důvod,aby šly přes nat, když přeci vychází z routeru (protože na něm běží forwardovací DNS a přímé DNS jsem zařízl, ostatně je to vidět i z jednoho řádku
src=71.47.3.11 dst=1.1.1.1 sport=3536 dport=53 src=1.1.1.1 dst=71.47.3.11 sport=53 dport=3536
)

Je to jasný, že nf_conntrack na sebe "strhává" i provoz, který nepotřebuje být natován: když pravidlo je -A POSTROUTING -o wlan0 -j MASQUERADE

Myslím, že technicky to ničemu nevadí, maximálně to může zatěžovat prostředky v nereálně hypotetickém zatížení, ale rád bych věděl, jak to pravidlo napsat korektně. (Ne jenom aby to fungo valo - což jde i teď - ale aby to bylo takzvaně richtig. A pokud možno abych tam nemusel vkládat IP adresu, což by byla nechtěná "duplicita" (tím myslím využití proměnné). Nebo jiná možnost není?

Možnosti:
-i wlan1 (vnitřní interface)
--src 10.0.0.0/16 (vnitřní síť)
--not --src 71.47.3.11 (vnější IP)

112

Vývoj / Re:Python factorial

« kdy: 15. 01. 2021, 11:41:29 »

FUN FACT:
Slovo factorial se objevuje pouze v titulku dotazu.

113

Sítě / Symetrický NAT: vyhledávání i podle IP+port při paketu dovnitř?

« kdy: 14. 01. 2021, 13:53:26 »

No zajímá mě to obecně.  Taky jestli se třeba uplatňuje jiné chování NATu pro různé rozsahy portů a protokoly {UDP/TCP}. Například jestli jsou nějaký čísla portů, u kterých je žádoucí a nějak dáno, že jejich čísla by se neměly přepisovat (před a  po překladu). (O známém rozdělení na well known, registered , private/dynamic vím), ale myslím, to neodpovídá na tuhle věc.


A hlavní věc, která by mě zajímala, jak probíhá algoritmus Symetrického NATu.
Stručně: Při příchodu paketu z internetu na vnější rozhraní, vyhledává se jen podle čísla přeloženého portu a nebo i podle remote IP+portu?  Což by mělo zásadní důsledky

Při odesílání paketu z počítače za NATem do netu logicky z definice Symetrického NATu se číslo portu odvodí navíc i podle cílové IP+portu.

Vznikne tedy v tabulce záznam (s-ource,n-at,r-emote, A-dresa,P-port)

Kód: [Vybrat]

sA,sP,nA,nP,rA,rP

přičemž unikátní  je sA,sP,rA,rP a z něj se určí unikátní nA,nP. (Na rozdíl od port restricted, kde unikátní je jen sA,sP)


A otázka zní: Přijde li paket zpět, porovnává se celá čtveřice nA,nP,rA,rP a nebo jen nA,nP? Což by díky unikátnosti stačilo. Ale změnilo by to charakter NATu na "pseudo-full-cone-nat ", jelikož neověřuje rA,rP a může se paket zpět poslat kdokoli. Takže by se dalo říct, že ten NAT je symetrický jen při odchozím spojení (a je port restricted, ale při příchozím není symetrický a je dokonce full-cone. Nebo spíš než symetrický je lepší použít termín Endpoint In/dependent, ale i tak tato věta kurzívou je přinejmenším kostrbatá.
Používá se tohle? Existuje to nebo to nedává smysl a symetrický NAT vždy verifikuje remote Addr a IP?

114

Software / Re:Jak zablokovat anti-adblocker ochrany

« kdy: 14. 01. 2021, 11:50:52 »

Mne len tak napadlo ci neexistuje adblocker postaveny na inom principe nez je blokovanie natiahnutia reklamy, ktore sa lahko detekuje. Princip by bol v tom, ze nechat reklamu stiahnut prip. virtualne aj zobrazit ale blokovat jej zobrazenie cloveku.

To mě taky zajímá, protože by to právě pomohlo s těmi hodně záškodnickými skripty, co prostě běží na pozadí, hlídají, co se děje, jestli se právě uživatel nebrání.... To by právě bylo ještě složitější, muselo by to třeba zkoušet reloadnout stránku s různým stupňěm chováním, testovat, co dělá stránka podle toho , co se jí povolí, zatrhne, zda nedojde ke nějakému podezřelé změně v počtu requestů nebo jejich struktuře ˇkódování... Na tohle by musel být umělá inteligence / strojové zpracování / deep learning / neuronová síť / heurestika

Jasne, uBo, vypnes filtry a pres picker mode vyberes style a upravis aby nebyl obecny tj. aby nebyl display: none, proste aby mu zustali proporce a das mu svoje maskovaci pozadi.

nechat reklamu stiahnut prip. virtualne aj zobrazit ale blokovat jej zobrazenie cloveku.

Virtuálně zobrazit jak by sis to představoval?

Tohle by přesně měly dělat CSS filtry při běžném použití jako ##tads -  skryjí element. (Možná to bude chtít vyzkoušet, já zrovna tohle u CSS filtrů nezkoumám.)
Existuje modifikator subject:remove(), které element odstraní místo skrytí.

Jenže skrytí reklamy teda aspoň je nepřijatelné pro mě, protože řeší jen 1 nebo 2 projevy  (že je vidím a pak že je prohlížeč renderuje-spotřebuje ramku na zobrazení - diskutabilní),, neřeší vytěžování připojení a šmírovací /reportovací skripty okolo.



Mimochodem, teď se celkem rozšířily funkce, například akce

Kód: [Vybrat]

*$queryprune=utm_source
$script,header=via:/1\.1\s+google/ (filtrování podle header)
strict3p,

115

Hardware / Re:Používání Dell Micro PC bez wi-fi anténky

« kdy: 14. 01. 2021, 11:31:15 »

Já si myslím, že je to dezinformace.Odpojením antény zvýšíš impedanci (na nekonečno skoro) a  bude to vysílat titěrným výkonem (a inverzně, skoro nic nepřijmeš) . ale rušení.?.?. :<

(Ověřeno: když mi odešla anténa, tak přes BT to šlo horší rychlostí do metru od sebe a zastavilo to umístění mobilu za záda nebo do ruky. A na wifi jsem viděl jsen nejbližší síť a i tak to ukazovalo do 25% signál)

116

O serveru Root.cz / Re:forum.root.cz : 504 Gateway Time-out

« kdy: 14. 01. 2021, 11:27:30 »

Ano, čo bolo to bolo. Já to pozoruji tak 1x za 2 měsíce. Včera jsem to viděl. Nejdřív to hlásilo něco jako "SMF problem connecting to database" a po nějaké době(asi 5 minut) gateway timeout (a myslím že to bylo 502 Bad gateway)

117

Software / Re:Jak zablokovat anti-adblocker ochrany

« kdy: 13. 01. 2021, 22:51:20 »

127.0.0.1 1.gr.cz
127.0.0.1 scz.hit.gemius.pl

Když se nad tím zamyslíš,, tak zjistíš, že tohle je žabaření. nějaké furt nekončící taxativní seznamy, to jednoho omrzí. Jistě, má to svůj význam na routeru třeba, což zajistí baseline ochranu všem bez jejich přičinění. Klíčový věc je kontext - efektivnější je blokovat - blíže - na konkrétní stránce, kdy rozšíření ví, že na  stránce twitter.com se twitter.com blokovat nemá, za předpokladu, že nechci, aby se mi načítal twitter na jiných stránkách než twitter.com a nebo trumpovydobroty.cz. A můžeš si taky snadno bez složité práce jedním klikem nastavit "politiku blokování", jestli chceš defaultně třeba rámce třetí stránky blokovat a nebo neblokovat(i tak je ale dál může zablokovat statický filtr typu wp-content/plugins/shitracking/paypal$frame). A bonus: neovlivní to už existující pravidla na domény, protože ty mají vyšší prioritu než obecná pravidla.
(na ty 2 ukázkové domény jako asi dalších 150 000 z seznamu peter lowe list zrovna z kontextové blokování nemá smysl, ty se blokují vždy. Na rozdíl například od twitter.com,pardon parler.com, který třeba někdo nechce na cizích webech, ale nechce si s zaříznout i prohlížení webu twitter.com jako takového)

Zkousel jsi neco jako?

Kód: [Vybrat]

cz,com##+js()

Toto je svatý grál. Nezkoušel jsem konrétně to nahoře, ale dokonce samotné ##. Někde fungovalo i ##js() ale myslím, že šlo spíš o "bug", a nespoléhal bych na to, že v budoucnu to nebude "opraveno", s odůvodněním, že přece podle dokumentace ##+js vždy musím mít doménu...
Ale jako vždy, je to dvousečné, když to nebude omezené na doméně, bude se na každé pageview provádět mnoho js instrukcí defacto zbytečně

118

Sítě / rp_filter - hairpinning

« kdy: 13. 01. 2021, 17:40:41 »

a nevím jestli se tím nedotýkám i volby net.ipv4.conf.all.rp_filter, ale tuto volbu jsem nikdy neřešil

Bude fungovat hairpining v případě zapnutého rp_filteru? A rp_filter nevyhovující pakety odstraní ještě před vstupem do iptables (čili to není možné ovlivnit iptables)?

119

Software / Re:Jak zablokovat anti-adblocker ochrany

« kdy: 13. 01. 2021, 16:14:13 »

Tahle argumentace  Jirskákovo břitvou je fakt směšná. Vybrat si pár příkladů, na kterých se najde nějaký škraloup a říct, že je to všechno na nic a že tedy suma sumárum ty doplňky jsou pochybné, když si našel 5 příkladů. To by to pak šlo dovést do absurdna, že jediné konečné řešení je nepoužívat počítače

Na druhou stranu asi oba máte v nějakých detailech pravdu (příměr s firewallem a  že skripty z první stránky jsou jakože bezpečnější ) a nebo je tam nějaká hyperbola.
Ale zrovna to maskování třetích stran do jakoby hlavní domény je relativně nový  a neošetřený fenomén


Několikrát tu bylo zmíněno (přání)zachování funkčnosti stránky ale ODSranění škodlivého chování,popupů,paywallů,kontrol,diagnostik,beaconů,report-uriů, atd.

to už dávno je možné přes takovéhle filtry do ublock ORIGINu nebo Adguardu/nano Defenderu

Kód: [Vybrat]

teamskeet.com##+js(set, $.tstracker, noopFunc)

! https://github.com/uBlockOrigin/uAssets/issues/4138
rediff.com##+js(ra, onclick, [onclick^="track"])
rediff.com##+js(ra, onmousedown, [onmousedown^="return enc(this,'https://track.rediff.com"])¨

Dokonce to dorazilo i do EASYLISTU CZSK
csfd.cz##+js(acis, $, Ads)
drbna.cz##+js(acis, $, fancyBanner)
||echo24.cz^$csp=child-src *

Samozřejmě nevýhoda je, že to je nutné pro každý web udělat zvlášť (ne tak uplně, ale na skupinách webů to je přes kopírák, ale za druhé pokud vím, tak to nejde napsat jako globální pravidlo=tzn, že konrétní recept na zrušení proměnné , zastavení funkce očištění  JSON musí mít vždy napsáno, na jakých konkrétních doménách platí) 

a
 taky že odhalit takového zákeřné chování a napsat proti tomu filtr je řádově složitější než zablokovat nějaký skript nebo skrýt CSS prvek.

120

Sítě / Re:NET bez překladu portů a Symetrický NAT,: rozbor, otázky

« kdy: 13. 01. 2021, 15:42:01 »

b) No maškaráda vím co je, ale nic neříká o detailech. Podle příznaku --random čísla portů přemíchá nebo zachová stejné , kde(pokud asi nedojde ke kolizi, to se mi nestalo). Jinak technicky-linuxově to je -j SNAT , kde je --to-source automaticky odvozené

c) No a právě kvůli tomu se ptám, jestli když je to stavová služba, jestli stačí první pouhý SYN packet (a tím se zapíše do tabulky) a nebo tam jsou nějaké složitější mechanismy(mimika čekání až se sestaví TCP spojení) podobně jako ve stavovém diagramu TCP protokolu obecně.

Na knihu se podívám, zajímá mě, zda tam najdu podobné špeky.


f) A vyvstal další dotaz: Někde jsem četl, že Symetrický NAT nezachovává čísla portů, zatímco předešlé 3 ano. Není to moc velké zjednodušení?  Na straně symetrického NATu o tom není pochyb, ale co brání FCNAT,rNAT a ArNAT přepisovat porty?
https://blog.adityapatawari.com/2014/09/