abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 13:33 | Komunita

    Byl publikován říjnový přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Pracuje se na podpoře M3. Zanedlouho vyjde Fedora Asahi Remix 43. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.

    Ladislav Hagara | Komentářů: 0
    včera 15:44 | Zajímavý software

    Iniciativa Open Device Partnership (ODP) nedávno představila projekt Patina. Jedná se o implementaci UEFI firmwaru v Rustu. Vývoj probíhá na GitHubu. Zdrojové kódy jsou k dispozici pod licencí Apache 2.0. Nejnovější verze Patiny je 13.0.0.

    Ladislav Hagara | Komentářů: 0
    včera 05:11 | Zajímavý článek

    Obrovská poptávka po plynových turbínách zapříčinila, že datová centra začala používat v generátorech dodávajících energii pro provoz AI staré dobré proudové letecké motory, konvertované na plyn. Jejich výhodou je, že jsou menší, lehčí a lépe udržovatelné než jejich průmyslové protějšky. Proto jsou ideální pro dočasné nebo mobilní použití.

    karkar | Komentářů: 3
    24.10. 19:55 | Nová verze

    Typst byl vydán ve verzi 0.14. Jedná se o rozšiřitelný značkovací jazyk a překladač pro vytváření dokumentů včetně odborných textů s matematickými vzorci, diagramy či bibliografií.

    Ladislav Hagara | Komentářů: 0
    24.10. 13:33 | Bezpečnostní upozornění

    Specialisté společnosti ESET zaznamenali útočnou kampaň, která cílí na uživatele a uživatelky v Česku a na Slovensku. Útočníci po telefonu zmanipulují oběť ke stažení falešné aplikace údajně od České národní banky (ČNB) nebo Národní banky Slovenska (NBS), přiložení platební karty k telefonu a zadání PINu. Malware poté v reálném čase přenese data z karty útočníkovi, který je bezkontaktně zneužije u bankomatu nebo na platebním terminálu.

    Ladislav Hagara | Komentářů: 15
    24.10. 13:22 | Upozornění

    V Ubuntu 25.10 byl balíček základních nástrojů gnu-coreutils nahrazen balíčkem rust-coreutils se základními nástroji přepsanými do Rustu. Ukázalo se, že nový "date" znefunkčnil automatickou aktualizaci. Pro obnovu je nutno balíček rust-coreutils manuálně aktualizovat.

    Ladislav Hagara | Komentářů: 12
    24.10. 04:55 | Komunita

    VST 3 je nově pod licencí MIT. S verzí 3.8.0 proběhlo přelicencování zdrojových kódů z licencí "Proprietary Steinberg VST3 License" a "General Public License (GPL) Version 3". VST (Virtual Studio Technology, Wikipedie) je softwarové rozhraní pro komunikaci mezi hostitelským programem a zásuvnými moduly (pluginy), kde tyto moduly slouží ke generování a úpravě digitálního audio signálu.

    Ladislav Hagara | Komentářů: 1
    24.10. 03:22 | Nová verze

    Open source 3D herní a simulační engine Open 3D Engine (O3DE) byl vydán v nové verzi 25.10. Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    23.10. 20:11 | Komunita

    V Londýně probíhá dvoudenní Ubuntu Summit 25.10. Na programu je řada zajímavých přednášek. Zhlédnout je lze také na YouTube (23. 10. a 24. 10.).

    Ladislav Hagara | Komentářů: 0
    23.10. 13:22 | Nová verze

    Gemini CLI umožňuje používání AI Gemini přímo v terminálu. Vydána byla verze 0.10.0.

    Ladislav Hagara | Komentářů: 0
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (48%)
     (20%)
     (20%)
     (23%)
     (17%)
     (20%)
     (17%)
     (18%)
    Celkem 274 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník

    Bezpečnost webových aplikací

    21.7.2008 20:24 | Přečteno: 1833× | phpMyAdmin | poslední úprava: 21.7.2008 21:46

    Na bezpečnostním mailing listu phpMyAdmina se objevil nějaký etický hacker a začal trochu šťourat do našeho kódu, což je jenom dobře :-). První výsledky tohoto šťourání už přinesla verze 2.11.7.1, ale s většinou změn přijde až 2.11.8.

    Kromě spousty určitě užitečných připomínek, ale přišel i s jedním kontroverzím nápadem a to znemožnit potenciálnímu útočníkovi zjistit o jakou verzi phpMyAdmina jde. Kromě toho, že samozřejmě pořád bude existovat dostatek starých verzí, které to o sobě řeknou, tak to stejně jenom zavání security by obscurity. Nicméně to ale může útočníkovi trochu zkomplikovat život. Na druhou stranu schování těchto informací je práce navíc a vynutilo by si odstranění textového ChangeLogu.

    Co si o tom myslíte vy? Má smysl skrývat jakoukoliv zmínky o tom o jakou verzi se jedná (včetně například ChangeLogu) před nepřihlášeným návštěvníkem?

    Objev týdne: Salamandra

           

    Hodnocení: 100 %

            špatnédobré        

    Anketa

    Skrývat verzi phpMyAdmina před nepřihlášeným uživatelem?
     (44 %)
     (1 %)
     (55 %)
    Celkem 85 hlasů

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    21.7.2008 20:36 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Ne, ničemu to nepomůže. Tak bude muset místo jednoho exploitu vyzkoušet 10, ale stejně na to nakonec příjde.
    21.7.2008 20:44 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Moje reakce byla naprosto stejná ... dokonce i na čísle 10 jsme se shodli ;-).
    21.7.2008 21:13 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    dokonce i na čísle 10 jsme se shodli ;-).
    :-)
    21.7.2008 20:48 c4i
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    hmm, aspon automaty by to odkoplo. Precejenom potencialni utocnik jde po tom "mene zabezpecenem"...
    21.7.2008 21:10 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Neodkoplo... Prostě by jim jeden scan netrval 2 sekundy, ale 20. :-) Naopak by to spíš odstranilo ty script kiddie, kteři si na to neumí napsat skriptík... Protože by se jim nechtělo zkoušet několikero exploitů, ale to je tak všechno a upřímě... ti kteří si neumí napsat bota stejě nebudou vědět co s ukořistěným phpMyadminem dělat :-)
    21.7.2008 23:55 Kvakor
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Presne tak - automatizovany skript casto vubec neresi nejakou verzi, proste slepe zkousi jeden exploit po druhem a sleduje jenom vysledek. Svym zpusobem je to rozumejsi reseni - hlasena verze totiz vubec nemusi odpovidat verzi skutecne, obzvlast u tak snadno uzivatelsky upravitelnych nastroju jakoji phpMyadmin, kde je prepsani retezce verze celkem primitivni operace (ve srovnatni s napr. upravenim a prelozenim vlastni verze Apache).
    21.7.2008 21:14 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    To je docela zajímavé. Ve většině publikací o bezpečnosti se člověk naopak dočte, že skrytí verze je jedním z dobrých a doporučených protiopatření. Ten, kdo bude opravdu chtít, tak to prolouskne, script kiddie, které ale za normálních okolností zjistí verzi, prožene to databází známých chyb a použije předpřipravený exploit, v tomhle případě utře. Je to jako se zabezpečením bytu. Můžeš dát jen alarm. Nebo taky můžeš použít alarm, a k tomu fotobuňku u okna, která rozsvítí světlo při pohybu. Nebo k tomu můžeš přidat venkovní rolády. A co teprve mříže? Nic z toho krádeži stoprocentně nezabrání, kombinace ale dokáže útočníka natolik zdržet, že si to předem rozmyslí. V každém případě máš čas navíc. Základní poučka bezpečnosti zní, že nejlepší obrana je kombinace protiopatření.
    Luboš Doležel (Doli) avatar 21.7.2008 20:45 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Čas strávený maskováním by asi bylo lepší věnovat něčemu, co by detekovalo děravou verzi a křičelo na uživatele.
    21.7.2008 20:46 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Tak tyhle úvahy původně vznikly ;-).
    belisarivs avatar 21.7.2008 20:51 belisarivs | skóre: 22 | blog: Psychobláboly
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    potencionalnim -> potencialnim
    IRC is just multiplayer notepad.
    21.7.2008 20:53 Ladicek | skóre: 28 | blog: variace | Havlíčkův brod
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Salamandra zní dost dobře, díky za tip!
    Ještě na tom nejsem tak špatně, abych četl Viewegha.
    alblaho avatar 21.7.2008 23:54 alblaho | skóre: 17 | blog: alblog
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Jsem nevěděl, že jsi metalista :-)

    Ale jo, nezní to špatně, totiž má to fakt tradiční zvuk. Btw, před tím jsem si z nostalgie pustil Believe od Cher (rok asi 1998), tak to byl trochu šok :-)
    22.7.2008 11:20 Ladicek | skóre: 28 | blog: variace | Havlíčkův brod
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Nejsem, tohle totiž podle pravověrných metlošů není metal, nýbrž sračka :-D A Believe je taky super.
    Ještě na tom nejsem tak špatně, abych četl Viewegha.
    22.7.2008 00:11 Martin | skóre: 10 | blog: Nádraží Perdido
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    No, úplně zlé to není. Akorát to tu už všechno asi miliónkrát bylo.
    21.7.2008 21:41 cenda | skóre: 24 | blog: dedalebedanebohurvajs | Planá nad Lužnicí
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    ...nápadem a to znemonit potenciálnímu útočníkovi...
    tsLnox avatar 22.7.2008 12:20 tsLnox | skóre: 31 | blog: Blog jednoho ukecaného Gentoolemana | Žďár nad Sázavou
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Tyjo... Ze mě se snad ještě stane metalista :-D

    Fakt to zní dobře

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.