abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 23:33 | Nová verze

    Immich byl vydán v první stabilní verzi 2.0.0 (YouTube). Jedná se o alternativu k výchozím aplikacím od Googlu a Applu pro správu fotografií a videí umožňující vlastní hosting serveru Immich. K vyzkoušení je demo. Immich je součástí balíčků open source aplikací FUTO. Zdrojové kódy jsou k dispozici na GitHubu pod licencí AGPL-3.0.

    Ladislav Hagara | Komentářů: 0
    včera 22:33 | IT novinky

    Český telekomunikační úřad vydal zprávy o vývoji cen a trhu elektronických komunikací se zaměřením na rok 2024. Jaká jsou hlavní zjištění? V roce 2024 bylo v ČR v rámci služeb přístupu k internetu v pevném místě přeneseno v průměru téměř 366 GB dat na jednu aktivní přípojku měsíčně – celkově jich tak uživateli bylo přeneseno přes 18 EB (Exabyte). Nejvyužívanějším způsobem přístupu k internetu v pevném místě zůstal v roce 2024 bezdrátový

    … více »
    Ladislav Hagara | Komentářů: 0
    včera 12:11 | Nová verze

    Raspberry Pi OS, oficiální operační systém pro Raspberry Pi, byl vydán v nové verzi 2025-10-01. Přehled novinek v příspěvku na blogu Raspberry Pi a poznámkách k vydání. Jedná o první verzi postavenou na Debianu 13 Trixie.

    Ladislav Hagara | Komentářů: 0
    včera 05:22 | Nová verze

    Byla vydána nová verze 4.6 svobodného notačního programu MuseScore Studio (Wikipedie). Představení novinek v oznámení v diskusním fóru a také na YouTube.

    Ladislav Hagara | Komentářů: 0
    včera 02:22 | Komunita

    Společnost DuckDuckGo stojící za stejnojmenným vyhledávačem věnovala 1,1 milionu dolarů (stejně jako loni) na podporu digitálních práv, online soukromí a lepšího internetového ekosystému. Rozdělila je mezi 29 organizací a projektů. Za 15 let rozdala 8 050 000 dolarů.

    Ladislav Hagara | Komentářů: 4
    1.10. 20:11 | Nová verze

    Svobodný multiplatformní herní engine Bevy napsaný v Rustu byl vydán ve verzi 0.17. Díky 278 přispěvatelům.

    Ladislav Hagara | Komentářů: 0
    1.10. 16:11 | Nová verze

    Bylo vydáno openSUSE Leap 16 (cs). Ve výchozím nastavení přichází s vypnutou 32bitovou (ia32) podporou. Uživatelům však poskytuje možnost ji ručně povolit a užívat si tak hraní her ve Steamu, který stále závisí na 32bitových knihovnách. Změnily se požadavky na hardware. Leap 16 nyní vyžaduje jako minimální úroveň architektury procesoru x86-64-v2, což obecně znamená procesory zakoupené v roce 2008 nebo později. Uživatelé se starším hardwarem mohou migrovat na Slowroll nebo Tumbleweed.

    Ladislav Hagara | Komentářů: 3
    1.10. 16:00 | IT novinky

    Ministerstvo průmyslu a obchodu (MPO) ve spolupráci s Národní rozvojovou investiční (NRI) připravuje nový investiční nástroj zaměřený na podporu špičkových technologií – DeepTech fond. Jeho cílem je posílit inovační ekosystém české ekonomiky, rozvíjet projekty s vysokou přidanou hodnotou, podpořit vznik nových technologických lídrů a postupně zařadit Českou republiku mezi země s nejvyspělejší technologickou základnou.

    … více »
    Ladislav Hagara | Komentářů: 3
    1.10. 12:55 | Nová verze

    Radicle byl vydán ve verzi 1.5.0 s kódovým jménem Hibiscus. Jedná se o distribuovanou alternativu k softwarům pro spolupráci jako např. GitLab.

    Ladislav Hagara | Komentářů: 3
    1.10. 03:22 | IT novinky

    Společnost OpenAI představila text-to-video AI model Sora 2 pro generování realistických videí z textového popisu. Přesnější, realističtější a lépe ovladatelný než předchozí modely. Nabízí také synchronizované dialogy a zvukové efekty.

    Ladislav Hagara | Komentářů: 4
    Jaké řešení používáte k vývoji / práci?
     (41%)
     (47%)
     (15%)
     (16%)
     (18%)
     (14%)
     (17%)
     (14%)
     (14%)
    Celkem 158 hlasů
     Komentářů: 9, poslední 24.9. 17:28
    Rozcestník
    Štítky: není přiřazen žádný štítek


    Vložit další komentář
    21.10.2016 06:58 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Čo je prekvapivé že na najznámejší "Reflected XSS" spravili obranu v prehliadačoch len Chrome a MSIE. V čom spočíva? Tak je to klassika, stačí do nefiltrovannej premmenej poslať reťazec napr.: http://domain.cz?data="><script>alert(document.cookie)</script>
    Z toho popisu není moc zřejmé, v čem vlastně spočívá princip útoku. Jde o to, že server vezme zadaný text a tak jak je, bez nějaké úpravy nebo escapování, ho vloží do generované stránky. Tím pádem se ve vygenerované stránce objeví normální tag <script> a jeho obsah se vykoná.
    skript odosiela sešny na útočníkov email
    Pravděpodobně tím myslíte, že by útočník odeslal identifikátor session z cookie. Obvykle se do cookie ukládá pouze identifikátor a hodnoty svázané se session se drží na serveru. Každopádně tohle je možné jenom tehdy, pokud daná cookie nemá nastavený příznak HttpOnly.
    môžete kľudne vyháčkovať aj tento server
    A to jste zkoušel, nebo vás jenom nenapadlo, že by proti tomu server mohl být chráněný? Ono tedy Abíčko dlouho mělo jednu dost podstatnou chybu, kterou nikdo neřešil a kterou by bylo možné použít i k XSS, ale ta fungovala na jiném principu, než popisujete.
    Bedňa avatar 21.10.2016 17:12 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Keď si chcieš pozrieť svoje Cookies, tak si tento odkaz:

    http://www.abclinuxu.cz/blog/EditDiscussion/420264?action=add&dizId=<script>(document.cookie)</script>&threadId=1

    vlož do adresného riadku, alebo si sprav web na lapanie užívateľov a uprav si ten skript, no a nasmeruj ich tam.

    KERNEL ULTRAS video channel >>>
    21.10.2016 17:34 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Chyba aplikace

    Omlouváme se, ale systém nemohl provést zadanou akci. Chyba byla zalogována, nicméně váš slovní popis může být někdy velmi užitečný. Máte-li zájem nám pomoci, využijte formulář Vzkazy správcům.

    Název chyby: cz.abclinuxu.AbcException: Řetězec '' nemůže být převeden na číslo!
    Kde přesně je tam ta cookie?
    Bedňa avatar 21.10.2016 18:14 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Aký prehliadač si použil?
    KERNEL ULTRAS video channel >>>
    21.10.2016 20:47 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Já Firefox. Sice tam mám NoScript, ale tohle evidentně chcíplo ještě na serveru.

    No a co teď koukám, tak Chromium bez pluginů a s povoleným skriptováním je na tom stejně...
    Bedňa avatar 21.10.2016 20:57 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Jasne, som to sem hádzal s NTB poceste a je to úplne zle, fixed:

    http://www.abclinuxu.cz/blog/EditDiscussion/420264?action=add&dizId="><script>alert(document.cookie)</script>"&threadId=1
    KERNEL ULTRAS video channel >>>
    21.10.2016 23:04 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Ve Firefoxu mi NoScript nahlásil pokus o XSS, Chromium vyhazuje stejnou hlášku od serveru jako předtím. Na Firefox bez NoScriptu by to asi fungovalo...
    Bedňa avatar 21.10.2016 23:34 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Jj na FF by to prešlo, Chromium sleduje aký skript posielaš na server a keď sa mu vráti, tak ho zahodí, pointa Reflected XSS je práve vo vrátení skriptu a jeho spustení. Pre Chromium by trebalo použiť nejaký morfing, možno nejaké špeciálne UTF znaky, nikdy som to ale neskúšal.
    KERNEL ULTRAS video channel >>>
    22.10.2016 09:10 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Aha, neošetřený vstup na chybové stránce. To je docela častý případ. Pošlu Maxovi patch. Každopádně pro reálný útok to není moc praktické, když se uživateli zobrazí chybová stránka a pošle e-mail správcům. Chyba to ale samozřejmě je.
    Bedňa avatar 23.10.2016 03:35 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Ono by to šlo to použiť, samozrejme by nato niekto prišiel. Ja som to skúšal len náhodne a neskúsil som spustiť žiadny logger aby som toho našiel viac, práve na toto je CSP, že to rieši za teba a nemusíš takéto ptákoviny riešiť a buď si istý, že vždy na niečo zabudneš.
    KERNEL ULTRAS video channel >>>
    23.10.2016 09:12 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Pokud vždycky na něco zapomenu, mám daleko větší problém – na úplně stejném principu funguje třeba SQL injection. Ve skutečnosti je lepší používat postupy a nástroje, u kterých se musím aktivně snažit, abych někde použil nevalidovaný vstup od uživatele. Freemarker, který se používá na Abíčku, už má v aktuální verzi také automatické escapování HTML, a v šabloně musím naopak explicitně říct, že daný text escapovat nemá. Proti krádeži cookies z JavaScriptu je nejlepší nastavit jim příznak HttpOnly. CSP není řešení, je to pojistka pro případ, kdy to nedokážu vyřešit správně.
    Bedňa avatar 23.10.2016 16:55 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Jasne že je to poistka a nie rešenie a hlavne u projektov ktoré rastú, pretože sa ti ľahko stane, že pridaním novej funkcionality omylom obídeš vstupné zabezpečenie. Keď to tu už máme prečo to nevyužiť.
    KERNEL ULTRAS video channel >>>
    25.10.2016 17:08 skajrajdr | skóre: 2 | blog: skajrajdr
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Nevim, jestli to neni jen preklep, ale tohle(SQL injection je neco jineho) resit na vstupu je chyba a cesta do pekel... Hlidat se musi vystup dle daneho kontextu(nejak jinak osetrim html a jinak zapis do souboru).

    Ale technika je to zajimava, o tom zadna. Dik!

    24.12.2016 09:43 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Max v noci patch nasadil, takže máte po zábavě :-)
    mirec avatar 21.10.2016 11:41 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

    Čo na to markeťáci?

    LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
    Bedňa avatar 21.10.2016 18:15 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Tým to bude asi jedno :)
    KERNEL ULTRAS video channel >>>
    mirec avatar 22.10.2016 07:26 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

    Reklama sa väčšinou vkladá ako cudzí JavaScript. Markeťákom asi nebude jedno, že im reklama nefunguje.

    LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
    Bedňa avatar 22.10.2016 15:48 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Externé lokality môžeš povoliť, čím sa ale sám vystavuješ svojvôli nejakej tretej strany.
    KERNEL ULTRAS video channel >>>
    21.10.2016 15:53 MP
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Vazne dokazete do stranky vlozit veskere externi skripty, z kterych se stranka muze skladat?
    Bedňa avatar 21.10.2016 21:59 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
    Taká tupá taktika je že robot zoskenuje všetky formuláre a pokúsi sa tam skripty vložiť, druhá možnosť je skúsiť všetky premenné ktoré sú na stránke v URL a testovať či sa skript nespustí. Na najznámejšie CMS sú samozrejme roboti ktorí skúšajú všetky známe bugy a môžeš si byť istý, že nezanedbateľná časť webov beží na neaktualizovaných CMS.

    Práve proti týmto detským bugom CSP zaberie spoľahlivo.
    KERNEL ULTRAS video channel >>>

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.