Poslední příspěvky

1

Hardware / Zkušenosti s LILYGO T-Watch S3

« Poslední příspěvek od veskotskujehnusne kdy Dnes v 01:11:46 »

Ahoj, má někdo nějaké zkušenosti?

zatím o tom nemám nic načteno a ten firmware, se kterým to přišlo mi nedovolí ani nastavit WiFI, takže nevím, jestli se předpokládá, že to hned něčím flashnu? Mám tam pár watchfaců swipováním nahoru a dolů, test rádia, zvuku a tak, ale vlastně tam nic jiného není, co vidím online to má normálně nějaké GUI pro nastavení a podobně.

2

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od 𝑾𝑰𝑭𝑻 kdy 03. 01. 2025, 21:39:51 »

• Možnost načtení QR kódu ze souboru

Tak pardon, u AirBanky jsem možnost načtení QR kódu ze souboru ve webové aplikaci nenašel (to neznamená, že tam není, já to ale nenašel). Mobilní to samozřejmě má a anžto jinou nepoužívám, tak mi tohle nedocvaklo.

3

Software / Re:Zjištění názvu filmu a zápis do tagu

« Poslední příspěvek od Vietnanka kdy 03. 01. 2025, 21:09:29 »

No on to je možná obecný problém "lze do souboru" připojit nějaký info aniž by se musel celý překopat? Například úprava exif přes NAS taky přenáší 6MB , což mě štve (a asi to dělá i při lokální úpravě na C:)

CO když ty nástroje dělají iluzi, že výsledný soubor je stejný ? (běžně nástroj zapíš to .tmp souboru a přejměnuje zpět)?

co vlastně ten filebot dělá? nějak komunikuje s internetem a zjistí "správný název"? nebo nějak uploaduje název nebo screenshoty filmu (jak se tomu "filmstripu říká - pár políček z filmu?) a to vrátí název?

nestačilo by skriptem spustit for i in *.mp4 ; do $hodnota=$(detekuj_($i)); ffmpeg -i $i -c copy -metadate title=$hodnota $input_.mp4 ; mv $input_.mp4  $input;
(možná ale uplně míjím záměr)

4

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od uwe.filter kdy 03. 01. 2025, 20:43:34 »

Doporučuji kouknout na Fio. Upřímně nevím, jestli umí to propojení účtu a načítání údajů z QR kódu, ale obecně je ze všech bank, které používám nebo o kterých mám povědomí, nejpřátelštější, bez nějakých zákeřností nebo házení klacků pod nohy. K tomu (subjektivně) velmi přehledné webové bankovnictví, rovněž zákaznická podpora reaguje rychle a ochotně. Přesně tak si představuji, že má banka fungovat.

5

Hardware / Re:Redukce USB-C na USB-A

« Poslední příspěvek od Jiří Poucha kdy 03. 01. 2025, 20:25:08 »

Já bych čekal, že mezi VBUS A a VBUS C je vodič, pak to totiž bude fungovat jako redukce mezi A a C. Sice to bude nabíjet a přenášet data pomalu, ale furt lepší, než koukat s C-C kabelem v ruce na A díru. Naopak bych nečekal, že se to umí chovat jako PD 1.0 sink na áčku a jako PD>2 source na céčku, muzeum propojující áčko a céčko už máme jedno na Václaváku.

Ale zpět mimo téma, háček je v tom "pokud umí dodat dost wattů" -  zas těch cihliček postupně koupím několik, protože ty dosavadní budou mít málo wattů, aby nabíjely efektivně a rychle.
RPi je levný výukový počítač a většinou ho lze napájet z libovolného adaptéru. USB-C konektor snese 5 A. Nedává smysl dávat PD čip a měnič do každýho RPi, když těch 5 A je  potřeba jen někdy. Někdo má shit na stole, někdo ho nosí v hlavě.

6

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Vietnanka kdy 03. 01. 2025, 20:01:26 »

Nebudu zabředávat do diskuse nebezpečných  desktopových prohlížečů a vyhypovaně ultrabezpečných mobilních aplikací, jak to líčí Jirsák. Takovéhle reklamní strašení používají i banky a další šiřitelé zla. Má to jeden háček, který jaksi zamlčují, když se vám ztratí telefon, tak jste s nějakou aplikací uplně v čoudu, pokud si nějak obskurně propojíte nějaká zařízení. a úplně se zamlčuje, že ty aplikace nechtějí chodit na rootovaných telefonech, protože jsou plné šmírování a hlídání a těžko se kontroluje, co mobilní aplikace dělá na rozdíl od konzole browseru. (druhá strana bude tvrdit že to tak je správně, že aplikace se aktivně brání nekalostem)

Ano, odhlašování na fóru je legendární, například se to stane  i minutu potom, co v druhém refresnu stránku.

 a Mohu přihodit zkušenost s moneta. Sice taky tlačí aplikaci (dokonce nešly termínované vklady  na webu zrovna náhodou v létě, kdy byl úrokkolem 5%), přes ten desktopový prohlížeč je to taky jako když běží javascriptový reaktor, dokáže úplně zpomalit 4jádrový CPU.
Ale naštěstí pořád , neoficiálně, s autorizačními SMSkami funguje i pro ostatní než pro pozitivně diskriminované důchodce nad 65 let, akorát je to pain in hell, každé příhlášení přes webovou konzoli smazat varovné výhružné okénko, že autorizační SMS byly zrušeny v roce 2023 a když používáte ty autorizační SMS, tak vám ti zlí hackeři mohou se nabourat do účtu.

(právě díky příchozí SMS uvidím, kdyby někdo náhodou si našel mé login údaje)
Taky nejsem z SMSek nadšený, protože kód má kulervoucích osem číslic, snad víc má jen RB, 10. Přitom je to totální úlet, webpage nedovolí vložit víc než 100 pokusů kódu. bohatě stačí i 4místný jako kdysi měly banky. Kdyby třeba banky nabídly nějaký OTP způsob nezávislý na operačním systému, což není nějaká obskurní aplikace z nějakého nestažitelného než jinde google play nebo nějakého obchodu s jablky

Jediné co je potřeba, je aplikace na čtení SMS

7

Server / Re:Jak na deploy Python aplikace na Roští.cz

« Poslední příspěvek od Vietnanka kdy 03. 01. 2025, 19:47:29 »

spustitelná příkazem "python3.13 -m app", tedy že nevzniknou problémy s importy závislostí atp.

 Tento software potřebuje, aby se v mém kořenovém "app.py" souboru vyskytovala globální proměnná
 přenasazení (tedy alespoň mi jo)

>matt.sh : __ini__.py, pyproject.toml
Wow, tak to je ještě horší bolilerplateismus java. Aneb vítejte v GDD. (Generator Driven Development)
Ještě mi tam chybí podmínka, aby index.py měl velikost dělitelnou  3130 bajty a project.toml součet číslic datu vzniku souboru 88 a aby existovala funkce uštknutí_pythonem()

8

Server / Re:Jak na deploy Python aplikace na Roští.cz

« Poslední příspěvek od snugar_i kdy 03. 01. 2025, 19:31:50 »

Trochu OT, ale kdyz vidim requirements.txt, to je hadí pravěk.

-> https://matt.sh/python-project-structure-2024

Většina OK, ale ta sekce "le example" je docela děs (ten "web fetcher nicely encapsulated in a dataclass", kde je potřeba 7 řádků komentářů vysvětlujících ty prasárny, co musí udělat, aby mohl použít nějakou pochybnou knihovnu). S tím souvisí i sekce "basically every python class should be a dataclass going forward with no exceptions", WTF.

9

Sítě / Re:Zbyl ještě nějaký použitelný tunnelbroker route64 má plno?

« Poslední příspěvek od Vietnanka kdy 03. 01. 2025, 19:22:30 »

Mám pocit, že nějak předělali GUI a (nevím kdy, za poslední 3 měsíce) a zmizely mi nadefinovaný tunele.
Nejde mi přidat tunnelbroker, https://manager.route64.org/tunnelbroker/add/ hlásí mi to "Notification: No free subnet for transport network found, please try later again."
Zatím to tunnel jde přidat . https://manager.route64.org/tunnel/ ( ale asi je to na něco jiného  to je pro nějaké BGP, to já nechci)

LOL, ty se krmíš trustpilot?

10

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Filip Jirsák kdy 03. 01. 2025, 18:11:07 »

Pobavilo. Na vině jsou spíše samotné prohlížeče a to jak fungují. Banky by mohli provozovat desktopovou aplikaci a splnili by veškeré nároky, ale její instalace je značně nepohodlná, vývoj příliš drahý a ještě by to nemuselo fungovat na všech počítači kvůli potřebě mít HW uložiště klíčů.

To musíte mít radostný život, když vás realita pobaví. Prohlížeče jsou ty nejbezpečnější aplikace na počítačích. Problém je v tom, že všechny aplikace na desktopu běží pod jedním uživatelem, nejsou z pohledu OS nijak oddělené. Je vám k ničemu, že by aplikace měla uložené klíče bezpečně v HW, když přes ni může kterákoli jiná aplikace kreslit nebo získat její vstup.

Prosím, prosím, méně spekulací. I FIDO2 umožňuje challenge&reponse. Yubikey k tomu má pak appku, která vstup zobrazí.

Což je pořád k ničemu, když ta aplikace běží na tom počítači.

Prohlížeče dnes neumí ani bezpečně uchovávat session cookies

Třeba session storage podporují všechny dnešní prohlížeče, to jde pro bezpečné uložení session cookies použít.

Je zajímavé, že SMS jako druhý faktor přestává stačit, ale mobilní aplikace s jedním faktorem stačí. Jde zadat a také potvrdit platbu na jednom zařízení. Přitom vychází studie o tom kolik aplikací ve storech je malware.

Nevím, co je na tom zajímavého. Přístup k SMS může mít spousta lidí, mobilní aplikace je podstatně bezpečnější.

Pochybné appce stačí uniknout ze sandboxu, k tomu privilege escalation a může si potvrzované bankovní transakce upravovat k libosti.

Nebo útočníkovi stačí telepaticky v hlavě změnit to, co v aplikaci vidí. Ono jaksi nede jen o to, že napíšete „stačí jen“, také je potřeba vědět, jak obtížné to je. Teoreticky je možné prolomit všechno, včetně současných nejlepších šifer. Podstatné je, že to nikdo neumí prakticky.

Tohle by mě zajímalo btw. Já žiju ve světě, kde session cookie uměla zmizet se zavřením tabu už před více než 15 lety. Jak se to stane v dnešní době, že se o session má starat javascript? Sleduju spíš opačný trend - session (a jiné důležité) cookies mají httpOnly flag a nejsou javascriptu z bezpečnostních důvodů vůbec dostupné.
Session cookie tady na rootu dokonce umí zmizet v průběhu psaní komentáře

Je to uložené v session storage, kam mají přístup jenom skripty z webové stránky z dané domény. Se zavřením tabu se to smaže. Že je to přístupné z JavaScriptu ničemu nevadí, protože JavaScript provádí všechny ostatní rizikové operace. Takže kdyby útočník měl možnost spouštět na daném webu JavaScript, stejně může napáchat spoustu škod (třeba vám zobrazí číslo účtu, které chcete vidět, ale zadané bude jeho číslo účtu). Pro to, aby útočník nemohl do webu vložit svůj vlastní JavaScript, existují zase jiné ochrany – CSP.

Cookies mají tu nevýhodu, že je odesílá prohlížeč automaticky s každým požadavkem. Pokud máte aplikaci na více poddoménách (třeba přihlášení na jedné poddoméně a aplikaci na jiné, protože to přihlášení je třeba společné pro více aplikací), musí ta cookie být nastavena tak, že je dostupná pro všechny poddomény. Pak stačí jedna aplikace na nějaké subdoméně, která bude mít nějakou díru, a útočník se k session cookie dostane. Ukládat tajemství do cookies je daleko rizikovější, než ukládat ho do session storage.