abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 16:55 | Nová verze

Byla vydána verze 1.0 klienta F-Droid určeného pro instalaci aplikací do Androidu ze softwarového repozitáře F-Droid (Wikipedie), alternativy k Google Play, nabízející pouze svobodný a otevřený software. Podrobnosti v přehledu změn [Hacker News].

Ladislav Hagara | Komentářů: 5
včera 00:55 | Nová verze

Po téměř 13 měsících vývoje od verze 0.11.0 byla vydána verze 0.12.0 hardwarově nenáročného desktopového prostředí LXQt (Lightweight Qt Desktop Environment, Wikipedie) vzniklého sloučením projektů Razor-qt a LXDE. Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 9
21.10. 12:33 | Zajímavý software

Článek ne Medium představuje nejnovější stabilní verzi 2.0 svobodné decentralizované mikroblogovací platformy a sociální sítě podobné Twitteru Mastodon (Wikipedie). Detailní přehled novinek na GitHubu [Hacker News].

Ladislav Hagara | Komentářů: 0
21.10. 06:00 | Komunita

V Praze na půdě Elektrotechnické fakulty ČVUT dnes probíhá RT-Summit 2017 – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt. Přednášky lze sledovat online na YouTube.

Ladislav Hagara | Komentářů: 0
20.10. 14:33 | Zajímavý projekt

Blender Animation Studio zveřejnilo první epizodu z připravovaného animovaného seriálu The Daily Dweebs o domácím mazlíčkovi jménem Dixey. Ke zhlédnutí také ve 3D s rozlišením 8K.

Ladislav Hagara | Komentářů: 0
20.10. 12:34 | Komunita

Aktualizovanou počítačovou hru Warhammer 40,000: Dawn of War III v ceně 39,99 eur běžící také na Linuxu lze o víkendu na Steamu hrát zdarma a případně ještě v pondělí koupit s 50% slevou. Do soboty 19:00 lze na Humble Bundle získat zdarma Steam klíč k počítačové hře Sid Meier's Civilization® III v ceně 4,99 eur běžící také ve Wine.

Ladislav Hagara | Komentářů: 0
20.10. 00:22 | Nasazení Linuxu

Společnost Samsung oznámila, že skrze dokovací stanici DeX a aplikaci Linux on Galaxy bude možno na Samsung Galaxy S8 a S8+ a Galaxy Note 8 provozovat Linux. Distribuce nebyly blíže upřesněny.

Phantom Alien | Komentářů: 19
19.10. 23:55 | Komunita

Společnost Purism na svém blogu oznámila, že její notebooky Librem jsou nově dodávány se zrušeným (neutralized and disabled) Intel Management Engine (ME). Aktualizací corebootu na již prodaných noteboocích lze Management Engine také zrušit. Více v podrobném článku.

Ladislav Hagara | Komentářů: 2
19.10. 21:44 | Nová verze

Organizace Apache Software Foundation (ASF) na svém blogu slaví páté výročí kancelářského balíku Apache OpenOffice jako jejího Top-Level projektu. Při této příležitosti byl vydán Apache OpenOffice 4.1.4 (AOO 4.1.4). Podrobnosti v poznámkách k vydání. Dlouhé čekání na novou verzi tak skončilo.

Ladislav Hagara | Komentářů: 8
19.10. 19:22 | Pozvánky

Již příští týden - 26. a 27. října se v Praze v hotelu Olšanka odehraje OpenWRT Summit. Na webu konference naleznete program a možnost zakoupení lístků - ty stojí 55 dolarů. Čtvrtek bude přednáškový a v pátek se budou odehrávat převážně workshopy a meetingy.

Miška | Komentářů: 1
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (9%)
 (0%)
 (0%)
 (1%)
 (76%)
 (13%)
Celkem 205 hlasů
 Komentářů: 8, poslední včera 23:02
    Rozcestník
    Štítky: není přiřazen žádný štítek

    Vložit další komentář
    21.10.2016 06:58 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Čo je prekvapivé že na najznámejší "Reflected XSS" spravili obranu v prehliadačoch len Chrome a MSIE. V čom spočíva? Tak je to klassika, stačí do nefiltrovannej premmenej poslať reťazec napr.: http://domain.cz?data="><script>alert(document.cookie)</script>
    Z toho popisu není moc zřejmé, v čem vlastně spočívá princip útoku. Jde o to, že server vezme zadaný text a tak jak je, bez nějaké úpravy nebo escapování, ho vloží do generované stránky. Tím pádem se ve vygenerované stránce objeví normální tag <script> a jeho obsah se vykoná.
    skript odosiela sešny na útočníkov email
    Pravděpodobně tím myslíte, že by útočník odeslal identifikátor session z cookie. Obvykle se do cookie ukládá pouze identifikátor a hodnoty svázané se session se drží na serveru. Každopádně tohle je možné jenom tehdy, pokud daná cookie nemá nastavený příznak HttpOnly.
    môžete kľudne vyháčkovať aj tento server
    A to jste zkoušel, nebo vás jenom nenapadlo, že by proti tomu server mohl být chráněný? Ono tedy Abíčko dlouho mělo jednu dost podstatnou chybu, kterou nikdo neřešil a kterou by bylo možné použít i k XSS, ale ta fungovala na jiném principu, než popisujete.
    Bedňa avatar 21.10.2016 17:12 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Keď si chcieš pozrieť svoje Cookies, tak si tento odkaz:

    http://www.abclinuxu.cz/blog/EditDiscussion/420264?action=add&dizId=<script>(document.cookie)</script>&threadId=1

    vlož do adresného riadku, alebo si sprav web na lapanie užívateľov a uprav si ten skript, no a nasmeruj ich tam.

    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    21.10.2016 17:34 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Chyba aplikace

    Omlouváme se, ale systém nemohl provést zadanou akci. Chyba byla zalogována, nicméně váš slovní popis může být někdy velmi užitečný. Máte-li zájem nám pomoci, využijte formulář Vzkazy správcům.

    Název chyby: cz.abclinuxu.AbcException: Řetězec '' nemůže být převeden na číslo!
    Kde přesně je tam ta cookie?
    Bedňa avatar 21.10.2016 18:14 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Aký prehliadač si použil?
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    21.10.2016 20:47 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Já Firefox. Sice tam mám NoScript, ale tohle evidentně chcíplo ještě na serveru.

    No a co teď koukám, tak Chromium bez pluginů a s povoleným skriptováním je na tom stejně...
    Bedňa avatar 21.10.2016 20:57 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Jasne, som to sem hádzal s NTB poceste a je to úplne zle, fixed:

    http://www.abclinuxu.cz/blog/EditDiscussion/420264?action=add&dizId="><script>alert(document.cookie)</script>"&threadId=1
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    21.10.2016 23:04 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Ve Firefoxu mi NoScript nahlásil pokus o XSS, Chromium vyhazuje stejnou hlášku od serveru jako předtím. Na Firefox bez NoScriptu by to asi fungovalo...
    Bedňa avatar 21.10.2016 23:34 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Jj na FF by to prešlo, Chromium sleduje aký skript posielaš na server a keď sa mu vráti, tak ho zahodí, pointa Reflected XSS je práve vo vrátení skriptu a jeho spustení. Pre Chromium by trebalo použiť nejaký morfing, možno nejaké špeciálne UTF znaky, nikdy som to ale neskúšal.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    22.10.2016 09:10 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Aha, neošetřený vstup na chybové stránce. To je docela častý případ. Pošlu Maxovi patch. Každopádně pro reálný útok to není moc praktické, když se uživateli zobrazí chybová stránka a pošle e-mail správcům. Chyba to ale samozřejmě je.
    Bedňa avatar 23.10.2016 03:35 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Ono by to šlo to použiť, samozrejme by nato niekto prišiel. Ja som to skúšal len náhodne a neskúsil som spustiť žiadny logger aby som toho našiel viac, práve na toto je CSP, že to rieši za teba a nemusíš takéto ptákoviny riešiť a buď si istý, že vždy na niečo zabudneš.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    23.10.2016 09:12 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Pokud vždycky na něco zapomenu, mám daleko větší problém – na úplně stejném principu funguje třeba SQL injection. Ve skutečnosti je lepší používat postupy a nástroje, u kterých se musím aktivně snažit, abych někde použil nevalidovaný vstup od uživatele. Freemarker, který se používá na Abíčku, už má v aktuální verzi také automatické escapování HTML, a v šabloně musím naopak explicitně říct, že daný text escapovat nemá. Proti krádeži cookies z JavaScriptu je nejlepší nastavit jim příznak HttpOnly. CSP není řešení, je to pojistka pro případ, kdy to nedokážu vyřešit správně.
    Bedňa avatar 23.10.2016 16:55 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Jasne že je to poistka a nie rešenie a hlavne u projektov ktoré rastú, pretože sa ti ľahko stane, že pridaním novej funkcionality omylom obídeš vstupné zabezpečenie. Keď to tu už máme prečo to nevyužiť.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    25.10.2016 17:08 skajrajdr | skóre: 1 | blog: skajrajdr
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Nevim, jestli to neni jen preklep, ale tohle(SQL injection je neco jineho) resit na vstupu je chyba a cesta do pekel... Hlidat se musi vystup dle daneho kontextu(nejak jinak osetrim html a jinak zapis do souboru).

    Ale technika je to zajimava, o tom zadna. Dik!

    24.12.2016 09:43 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Max v noci patch nasadil, takže máte po zábavě :-)
    mirec avatar 21.10.2016 11:41 mirec | skóre: 31 | blog: mirecove_dristy | Poprad
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

    Čo na to markeťáci?

    LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
    Bedňa avatar 21.10.2016 18:15 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Tým to bude asi jedno :)
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    mirec avatar 22.10.2016 07:26 mirec | skóre: 31 | blog: mirecove_dristy | Poprad
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

    Reklama sa väčšinou vkladá ako cudzí JavaScript. Markeťákom asi nebude jedno, že im reklama nefunguje.

    LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
    Bedňa avatar 22.10.2016 15:48 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Externé lokality môžeš povoliť, čím sa ale sám vystavuješ svojvôli nejakej tretej strany.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    21.10.2016 15:53 MP
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Vazne dokazete do stranky vlozit veskere externi skripty, z kterych se stranka muze skladat?
    Bedňa avatar 21.10.2016 21:59 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Taká tupá taktika je že robot zoskenuje všetky formuláre a pokúsi sa tam skripty vložiť, druhá možnosť je skúsiť všetky premenné ktoré sú na stránke v URL a testovať či sa skript nespustí. Na najznámejšie CMS sú samozrejme roboti ktorí skúšajú všetky známe bugy a môžeš si byť istý, že nezanedbateľná časť webov beží na neaktualizovaných CMS.

    Práve proti týmto detským bugom CSP zaberie spoľahlivo.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.