abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 00:33 | Zajímavý software

    plwm je nový, poměrně minimalistický správce oken pro X11. Podporuje dynamické dláždění okny, plochy, pravidla pro okna atd. Zvláštností je, že je napsaný v logickém programovacím jazyce Prolog. Používá implementaci SWI-Prolog.

    Fluttershy, yay! | Komentářů: 2
    dnes 00:22 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.

    Ladislav Hagara | Komentářů: 0
    včera 23:00 | Zajímavý článek

    Sean Heelan se na svém blogu rozepsal o tom, jak pomocí OpenAI o3 nalezl vzdálenou zranitelnost nultého dne CVE-2025-37899 v Linuxu v implementaci SMB.

    Ladislav Hagara | Komentářů: 4
    včera 04:00 | Zajímavý článek

    Jiří Eischmann v příspěvku na svém blogu představuje typy, jak lépe chránit své soukromí na mobilním telefonu: "Asi dnes neexistuje způsob, jak se sledování vyhnout úplně. Minimálně ne způsob, který by byl kompatibilní s tím, jak lidé technologie běžně používají. Soukromí ovšem není binární věc, ale škála. Absolutního soukromí je dnes na Internetu dost dobře nedosažitelné, ale jen posun na škále blíže k němu se počítá. Čím méně dat se o vás posbírá, tím nepřesnější budou vaše profily a tím méně budou zneužitelné proti vám."

    Ladislav Hagara | Komentářů: 12
    včera 00:22 | Nová verze

    Byla vydána nová stabilní verze 25.05 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Warbler. Podrobný přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.

    Ladislav Hagara | Komentářů: 0
    23.5. 18:11 | Nová verze

    Multiplatformní open source spouštěč her Heroic Games Launcher byl vydán v nové stabilní verzi 2.17.0 Franky (Mastodon, 𝕏). Přehled novinek na GitHubu. Instalovat lze také z Flathubu.

    Ladislav Hagara | Komentářů: 0
    23.5. 18:00 | Nová verze

    Organizace Apache Software Foundation (ASF) vydala verzi 26 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 0
    23.5. 14:55 | IT novinky

    Klávesnice IBM Enhanced Keyboard, známá také jako Model M, byla poprvé představena v roce 1985, tzn. před 40 lety, s počítači IBM 7531/7532 Industrial Computer a 3161/3163 ASCII Display Station. Výročí připomíná článek na zevrubném sběratelském webu Admiral Shark's Keyboards. Rozložení kláves IBM Enhanced Keyboard se stalo průmyslovým standardem.

    Fluttershy, yay! | Komentářů: 6
    23.5. 12:00 | Nová verze

    Vyšlo Pharo 13 s vylepšenou podporou HiDPI či objektovým Transcriptem. Pharo je programovací jazyk a vývojové prostředí s řadou pokročilých vlastností.

    Pavel Křivánek | Komentářů: 3
    23.5. 04:00 | IT novinky

    Java má dnes 30. narozeniny. Veřejnosti byla představena 23. května 1995.

    Ladislav Hagara | Komentářů: 7
    Jaký je váš oblíbený skriptovací jazyk?
     (56%)
     (29%)
     (7%)
     (4%)
     (0%)
     (0%)
     (5%)
    Celkem 105 hlasů
     Komentářů: 8, poslední dnes 15:58
    Rozcestník

    Bezpečnost webových aplikací

    21.7.2008 20:24 | Přečteno: 1823× | phpMyAdmin | poslední úprava: 21.7.2008 21:46

    Na bezpečnostním mailing listu phpMyAdmina se objevil nějaký etický hacker a začal trochu šťourat do našeho kódu, což je jenom dobře :-). První výsledky tohoto šťourání už přinesla verze 2.11.7.1, ale s většinou změn přijde až 2.11.8.

    Kromě spousty určitě užitečných připomínek, ale přišel i s jedním kontroverzím nápadem a to znemožnit potenciálnímu útočníkovi zjistit o jakou verzi phpMyAdmina jde. Kromě toho, že samozřejmě pořád bude existovat dostatek starých verzí, které to o sobě řeknou, tak to stejně jenom zavání security by obscurity. Nicméně to ale může útočníkovi trochu zkomplikovat život. Na druhou stranu schování těchto informací je práce navíc a vynutilo by si odstranění textového ChangeLogu.

    Co si o tom myslíte vy? Má smysl skrývat jakoukoliv zmínky o tom o jakou verzi se jedná (včetně například ChangeLogu) před nepřihlášeným návštěvníkem?

    Objev týdne: Salamandra

           

    Hodnocení: 100 %

            špatnédobré        

    Anketa

    Skrývat verzi phpMyAdmina před nepřihlášeným uživatelem?
     (44 %)
     (1 %)
     (55 %)
    Celkem 85 hlasů

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    21.7.2008 20:36 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Ne, ničemu to nepomůže. Tak bude muset místo jednoho exploitu vyzkoušet 10, ale stejně na to nakonec příjde.
    21.7.2008 20:44 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Moje reakce byla naprosto stejná ... dokonce i na čísle 10 jsme se shodli ;-).
    21.7.2008 21:13 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    dokonce i na čísle 10 jsme se shodli ;-).
    :-)
    21.7.2008 20:48 c4i
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    hmm, aspon automaty by to odkoplo. Precejenom potencialni utocnik jde po tom "mene zabezpecenem"...
    21.7.2008 21:10 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Neodkoplo... Prostě by jim jeden scan netrval 2 sekundy, ale 20. :-) Naopak by to spíš odstranilo ty script kiddie, kteři si na to neumí napsat skriptík... Protože by se jim nechtělo zkoušet několikero exploitů, ale to je tak všechno a upřímě... ti kteří si neumí napsat bota stejě nebudou vědět co s ukořistěným phpMyadminem dělat :-)
    21.7.2008 23:55 Kvakor
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Presne tak - automatizovany skript casto vubec neresi nejakou verzi, proste slepe zkousi jeden exploit po druhem a sleduje jenom vysledek. Svym zpusobem je to rozumejsi reseni - hlasena verze totiz vubec nemusi odpovidat verzi skutecne, obzvlast u tak snadno uzivatelsky upravitelnych nastroju jakoji phpMyadmin, kde je prepsani retezce verze celkem primitivni operace (ve srovnatni s napr. upravenim a prelozenim vlastni verze Apache).
    21.7.2008 21:14 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    To je docela zajímavé. Ve většině publikací o bezpečnosti se člověk naopak dočte, že skrytí verze je jedním z dobrých a doporučených protiopatření. Ten, kdo bude opravdu chtít, tak to prolouskne, script kiddie, které ale za normálních okolností zjistí verzi, prožene to databází známých chyb a použije předpřipravený exploit, v tomhle případě utře. Je to jako se zabezpečením bytu. Můžeš dát jen alarm. Nebo taky můžeš použít alarm, a k tomu fotobuňku u okna, která rozsvítí světlo při pohybu. Nebo k tomu můžeš přidat venkovní rolády. A co teprve mříže? Nic z toho krádeži stoprocentně nezabrání, kombinace ale dokáže útočníka natolik zdržet, že si to předem rozmyslí. V každém případě máš čas navíc. Základní poučka bezpečnosti zní, že nejlepší obrana je kombinace protiopatření.
    Luboš Doležel (Doli) avatar 21.7.2008 20:45 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Čas strávený maskováním by asi bylo lepší věnovat něčemu, co by detekovalo děravou verzi a křičelo na uživatele.
    21.7.2008 20:46 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Tak tyhle úvahy původně vznikly ;-).
    belisarivs avatar 21.7.2008 20:51 belisarivs | skóre: 22 | blog: Psychobláboly
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    potencionalnim -> potencialnim
    IRC is just multiplayer notepad.
    21.7.2008 20:53 Ladicek | skóre: 28 | blog: variace | Havlíčkův brod
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Salamandra zní dost dobře, díky za tip!
    Ještě na tom nejsem tak špatně, abych četl Viewegha.
    alblaho avatar 21.7.2008 23:54 alblaho | skóre: 17 | blog: alblog
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Jsem nevěděl, že jsi metalista :-)

    Ale jo, nezní to špatně, totiž má to fakt tradiční zvuk. Btw, před tím jsem si z nostalgie pustil Believe od Cher (rok asi 1998), tak to byl trochu šok :-)
    22.7.2008 11:20 Ladicek | skóre: 28 | blog: variace | Havlíčkův brod
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Nejsem, tohle totiž podle pravověrných metlošů není metal, nýbrž sračka :-D A Believe je taky super.
    Ještě na tom nejsem tak špatně, abych četl Viewegha.
    22.7.2008 00:11 Martin | skóre: 10 | blog: Nádraží Perdido
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    No, úplně zlé to není. Akorát to tu už všechno asi miliónkrát bylo.
    21.7.2008 21:41 cenda | skóre: 24 | blog: dedalebedanebohurvajs | Planá nad Lužnicí
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    ...nápadem a to znemonit potenciálnímu útočníkovi...
    tsLnox avatar 22.7.2008 12:20 tsLnox | skóre: 31 | blog: Blog jednoho ukecaného Gentoolemana | Žďár nad Sázavou
    Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací
    Tyjo... Ze mě se snad ještě stane metalista :-D

    Fakt to zní dobře

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.