Příspěvky

31

Sítě / Re:Služby za VPN

« kdy: 29. 02. 2024, 22:30:02 »

Hlavním důvodem, proč se tohle obvykle dělá, je to, že udělat jakoukoli netriviální aplikaci tak bezpečnou, aby šla vystrčit do světa, je prakticky nemožné.
(nechme stranou náboženské debaty, každý kdo sleduje masové hacky stejně ví své)

VPN, ať už pravá, nebo třeba jen ověření certifikátu na reverse proxy, je většinou dělána právě s tímhle ohledem poněkud bezpečněji, než bývá zvykem (no, né, že by to bylo něco extra, zrovna teď excelují Ivanti, jindy zase jiní mají své dny, ale každopádně to není taková trága, jako zbytek IT ekosystému), takže to dost podstatně omezuje attack surface, a tedy i celkové riziko.

(samozřejmě to není panácea na bezpečnost, ale dost podstatná součást ano.)

32

Odkladiště / Re:Domácí archivace dat

« kdy: 26. 02. 2024, 10:14:50 »

Vojín Kotas, já mám dotaz:
Kolikrát jsi hrábnul do historie aby sis ty fotky prohlédnul nebo někomu ukázal (kromě situace že bys tím chtěl nějaké návštěvě taktně naznačit, že je nejvyšší čas aby se zvedla a odešla)?
[/quote]
Jsme lidi, nejsme stroje, co fungují podle islander paradoxu.
Je rozdíl nekoukat na fotky a vědět, že kdybych chtěl, tak bych mohl koukat, a nekoukat na fotky a vědět, že už je nikdy neuvidím?

33

Vývoj / Re:Zkrácení haše pro identifikaci

« kdy: 23. 02. 2024, 08:28:10 »

Zkracovani hashu je nesmysl a pokud to nejaka aplikace dela tak je to problem.

Nesmysl je přesně to, co jste napsal, kategorické tvrzení bez jakéhokoli kontextu.

Záleží plně na aplikaci. Zkracovat hash pro ověření finanční transakce nesmyslem být nemusí (na algoritmy  sha192 nebo sha384 jste určitě ještě nekoual, že ne?) ale obvykle bývá.

Zkracovat hash pro urychlení výpočtů třeba při zařazování do hash tabulky, nebo pro generování jednoduchého PRNG je celkem v pohodě, ostatně třeba i ext2+ používá half-MD4.
Stejně tak zkrátit hash, pokud chcete jen detekovat "nakopnutá" data, ale v use case nemáte útočníka který se aktivně snaží, tak zkrácený (i obsolete - viz ona md4) hash je úplně v pohodě.

Na co se OP ptal - pokud mu v aplikaci nevadí vysoká pravděpodobnost kolize (a tím i snadnost brute-force), tak je to v pohodě, a pak je jedno, kterou část hashe ořízne.

34

Studium a uplatnění / Re:Intriky při výpovědi

« kdy: 16. 02. 2024, 22:26:21 »

Hele, s těma intrikama, uvědom si, že jsme celkem malý stát, až budeš někam nastupovat, tak počítej s tím, že se budou budoucí kolegové ptát a určitě najdou někoho známého z tvojí minulé práce.
A mít pověst "blbec co dělá dusno" nechceš.

Prostě jak už tu mnozí řekli, zajdi za šéfem, řekni mu, že on chce dotáhnout předání, ty chceš tejden volna, tak že byste se měli nějak domluvit. Žádné vyhrožování apod. on stejně velmi dobře ví, co můžeš dělat, když se nedomluvíte...

35

Studium a uplatnění / Re:Požadavky teamleadra na cíle každý rok

« kdy: 14. 02. 2024, 20:24:05 »

Asi jste nedělal v distribuovaném korporátním týmu. Oběd a pivo fakt nehrozí. Navíc tam jsou i další lidi, takže není vhodné probírat některé citlivější aspekty práce (krom obchodních tajemství třeba i to, že se s někým dělá fakt blbě).

To naštěstí ne, a asi bych to (i podle zkušeností postižených kolegů) řešil stejně jako oni, šel čelit výzvám někam jinam, a to ať už v rámci firmy, pokud tam je lépe fungující team, nebo někam jinam.

Na druhou stranu máte pravdu, pokud je TL z dálky, tak nic jiného nehrozí. Ale zase, viz odstavec výše, podobnou změnu na distribuovaný team z těch schopnějších přežili (alespoň v mé sociální bublině) jen ti největší flegmatici, a/nebo ti s největší hypotékou.

36

Studium a uplatnění / Re:Požadavky teamleadra na cíle každý rok

« kdy: 14. 02. 2024, 18:46:40 »

Jak jinak chcete říct manažerovi, že Vás z práce víc baví nějaká konkrétní oblast? Že se chcete sám stát manažerem (nebo naopak nechcete)? Že chcete více nebo méně kontaktu se zákazníkem? Že Vás baví/nebaví učit, přednášet, ...

Pokud je otázka na TL (ale i na manažera přímo nad ním), tak pokud je k tomu potřeba 1:1, tak správný způsob bych viděl někde směrem na HR podepsat výstup a jít na IT odevzdat notebook.

Normálně na tohle běžně funguje interní teamová komunikace, ať už nějaké kecátko, nebo se chodí na pivo popř oběd, firemní chlastačky apod. Ale jako představa, že TL celej rok netuší, co jeho lidi chtěj dělat... no pardón.

37

Studium a uplatnění / Re:Požadavky teamleadra na cíle každý rok

« kdy: 14. 02. 2024, 15:48:16 »

Nevím, jestli je v teamu desítky lidí, tak možná při dobrám uchopení by to teoreticky mohlo i nějak jako fungovat, ale v běžných teamech, co jsou v korporaci, to z logiky je tradiční korporátní vopruz.
Jednak menší team obvykle komunikuje tak, že pravidelná pakárna je redundantní, druhák různě šetříme atd. takže často domluvy na školení dopadnou stylem "hele kluci padne na nás X a mám na to jen Y tak musíme vymyslet jak se školením". apod.
Takže v reálu to stejně dopadne stylem "něco tam napiš a hlavně ať není průs.."

38

Vývoj / Re:Jak limitovat autentizační požadavky anonymů

« kdy: 04. 02. 2024, 06:19:00 »

Edit: Ona by i další cesta byla. Můžete si průběžně dělat analýzu trafficu, jaký je normální pattern, a v době útoku jet proti téhle databázi. Ale to je spíš práce pro celý team (a ostatně u komerčních WAFek je obvykle přístup do jejich reputation database celkem nekřesťansky placená služba)...

39

Vývoj / Re:Jak limitovat autentizační požadavky anonymů

« kdy: 04. 02. 2024, 06:06:59 »

Ono v konencom dosledku limitovat requesty je hracka, primarne mi slo o to zabranit utok hrubou silou ale ako som pisal, to sa da lahko poriesit limitom neuspesnych prihlaseni a je po probleme.

Tak to se budu hádat. Proti DoSu je jakákoli ochrana s prstem v nose. Horší to máte proti DDoS, a v praxi stejně narazíte na neřešitelný problém, kdy zjistíte, že sice máte hezké per-IP limity, ale krásně Vám to i v době míru zařezává velké zákazníky, kteří mají za jedním ipčkem (nebo ip6kem) firemní proxiny tisíce zaměstnanců.
Nakonec se stejně nějaké formě buď captchy, nebo PoW nevyhnete. S tím, že PoW zákoše tolik neprudí.

40

Vývoj / Re:Jak limitovat autentizační požadavky anonymů

« kdy: 03. 02. 2024, 14:53:02 »

A co takhle implementovat PoW = nechat klienta spočítat něco, co mu chvíli zabere, ale ověření je okamžité?

Názorný příklad - pokus je session id generovaná serverem, tak můžete požadovat dopočítání X tak, aby substr(sha256(X+session_id),1,5) == "12345", při špatném loginu tu session samozřejmě zrušíte.

viz https://en.wikipedia.org/wiki/Proof_of_work

41

Studium a uplatnění / Re:Stačí střední bez maturity?

« kdy: 26. 01. 2024, 12:07:52 »

Hele, koukej se učit a nesmlouvej.
Jako jak už tu několikrát zaznělo, důležitost vzdělání ubejvá s délkou tvého CV, ale tam máš jako (ne)absolvent docela problém.
Pak bez maturity zapomeň i na státní správu, případně v korporátu by mohl být problém, když jim pak na HR tu maturu nedoneseš. A když ti to jde blbě už teď, tak za 20 let to nedoděláš naprosto určitě.

42

Software / Re:IM protokol maskující, kdo s kým píše

« kdy: 23. 01. 2024, 00:05:45 »

Ani jak dobre to funguje... ani jestli to tak porad je...

Už před desítkami let se to řešilo celkem triviálně, strany se dohodly na shared secretu, a potom někam veřejně (tehdy alt.binaries.pictures.*) posílali fotky se zasteganovanou zprávou.
Dneska by asi šlo použít něco jako 4chan, možná i klasickou socku, pokud mají oba dostatek sledujících, a socka neořezává/nekonvertuje.

43

Software / Re:Hledání minerů v hrách

« kdy: 27. 12. 2023, 14:44:43 »

jak by vas napadla naka podozriva hra tak kludne sem postnite!

Jako promiň, ale jaký to má vůbec význam? Tohle, v takové podobě, je diskuse hodná mimibazaru, rozhodně ne roota (alespoň ne roota, jaký si ho chceme pamatovat).

"běží větráček" - sakra co to je za diagnostiku? Jasně, je to indikace, že něco maká. Ale co takhle se na to prvně podívat? Žere to CPU nebo GPU? Hrabe to na disk? A co přesně to dělá?

Sakra je tu spousta naprosto free a jednoduchých věci, třeba https://learn.microsoft.com/en-us/sysinternals/downloads/procmon je taková první volba, pak se na to dá kouknout třeba tu máme http://www.ollydbg.de/version2.html resp http://ollydbg.de/odbg64.html nebo stovky dalších, pak jsou tu i nějaké placené (některé až velmi dobře placené, že když to člověk potřebude jednou do roka, je lepší tu binárku poslat kolegovi, který ten IDA má koupenej), ale sakra, aspoň základní diagnostiku...

44

Software / Re:Hledání minerů v hrách

« kdy: 26. 12. 2023, 10:31:32 »

pretoze mam na steame 100+ dalsich hier niektore 3d ego shooter a vsetko vlaje bez problemu. a konkretne storryteller neni podla vzhladu hra narocna na hw. pozri videa?

No tak je blbě napsaná, no. To je v dnešní době celkem normálni. Bohužel.

45

Sítě / Re:Zákaz náhodné MAC adresy

« kdy: 24. 12. 2023, 07:16:00 »

Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.

Dejte tomu kratší lease time...