• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    KOJAProgramovani 40+
    Diskuze o obzive programovanim pro starsi a pokrocile.
    rozbalit záhlaví
    DELVIT
    DELVIT --- ---
    MICRO: užij si dovolenou, doufám, že budeš mít klidný a krásný výhled do zeleně :)
    MICRO
    MICRO --- ---
    OT:
    Přes půl roku pracuji na věci, která do nemalé míry překopává celou codebase, a dnes mi šéf píše:
    ...
    So we could hopefully merge it next week when you are away.

    Už se těším až si vyložím nohy na stůl a vypnu telefon. :)
    JANFROG
    JANFROG --- ---
    FRAKIRA: Vidim, ze jsi vytrvala :-) Dej mi tyden, ozvu se Ti. Treba se dohodneme.
    FRAKIRA
    FRAKIRA --- ---
    (Ani tady neni nekdo, kdo by stal o pomoc neprijemne dukladne testerky se svym soukromym projektem? (ne hra ani nic podobneho, kde je mozne se ztratit))
    E2E4
    E2E4 --- ---
    SATAI: timeout reaching https://xn--nco-0ra/n%C4%9Bco?token=token_ktrej_te_tam_autorizuje

    login failed, invalid user Mojetajnyh3sl0

    ..
    SYNTAX_TERROR
    SYNTAX_TERROR --- ---
    TOOMIX: A co teprve když jsou ty logy u webu pod document_root a jediná "security" je, že jsou pojmenovány ve formátu errors-2012-06.log, což určitě stačí, protože přece nikdy nikoho nenapadne na takovou url přistupovat.
    SATAI
    SATAI --- ---
    TOOMIX: autorům utrhat křidýlka i nožičky
    TOOMIX
    TOOMIX --- ---
    A co teprve logování nepovedených pokusů o přihlášení: "Uživatel 'Franta' se neúspěšně pokusil přihlásit heslem 'hesloFrantq'", ze kterých se da při překlepu to heslo vydedukovat. K tomu je pak celý bcrypt, pbkdf2 atd. k hovnu :)
    JARDABEREZA
    JARDABEREZA --- ---
    MLEKAR_STEIN: Plaintext je jenom jedna část toho problému. Ta druhá část je, že na to ani nebyl potřeba select v databázi. Admin se prostě přihlásil do systému zákazníka a mohl vidět heslo i e-mail libovolného účtu jen tak prostě v UI. Což odhaduji v tu dobu klidně mohlo být 50 lidí s admin přístupem. No a jestli to měli stejně i zákazníci v roli pod-admina tak to jsou další stovky. Přičemž ty účty jsou i cizí a náhodní lidé. Nikoliv pouze zaměstnanci u koho vidíš hesla. A lidi prostě mají stejná hesla všude. A v tu dobu dvoufázové přihlášení moc nebylo rozšířené. Já jsem viděl heslo v plaintextu a to jsem o to ani nestál... jenom jsem si rozklik detail účtu.
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    DAVE_PAGE: nereknu, nepovim,
    pak hrani s klavesnicí
    nejlepsí bylo polokolo
    DAVE_PAGE
    DAVE_PAGE --- ---
    MLEKAR_STEIN: byvalej kolega daval do plonkovnich databazi na testovani hesla typu "nereknu" nebo "noprostenevim". Takze bylo vtipne, kdyz prisel novej kolega a zacal se ptat po hesle ;)
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    FARIN: mě nevadí hesla v plaintextu, to holt některý systémy maj.
    mě vadí, když mi někdo v tomhle úplně zbytečně lže.
    FARIN
    FARIN --- ---
    JARDABEREZA: Kdo neměl někdy hesla v plain textu ať hodí kamenem.

    Viděl jsme třeba migraci db s uživateli z nějakeho legacy systému který používal jiný hash algoritmus. A pro uživatelské pohodlí se zapnulo nejdřív na měsíc ukládání plain textu. Aby se většina uživatelů nemusela nutit ke změně hesla.
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    JARDABEREZA: nejmenovaná společnost, krerá má jako motto "pomáháme modernizovat státní správu" má hesla v plaintextu pořád. a ještě o tom lžou. a když jim ukážete select z db, tak tvrdí, že ro není mozný.
    JARDABEREZA
    JARDABEREZA --- ---
    KLEINZACH: náhodou... dávat si do hesla věci, za které se člověk bude stydět zní, jako dobrý bezpečnostní prvek, aby to heslo nikomu neprozradil :-D ...ale viděl jsem i společnost, kde hesla klientů byly v plaintextu a admini si je mohli číst ¯\_(ツ)_/¯ ...ale to je už dávno.
    KLEINZACH
    KLEINZACH --- ---
    MLEKAR_STEIN: hehe, kolega prej 'pujc mi svoje heslo na vsphere' a ja se zacal kroutit 'nooo... ee.... viiiis... to jee... eee... do domeny, to nemuzu' ;)
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    KLEINZACH: roky jsem používal "kurvadoprdelepičapespráce" a.měl v tom někde čísla a znaky.
    a jednou jsem to musel někomu předat (předaval jsem práci nastupci) a ten jen zvedl obočí a zeptal se "až tak" a na to jsem odpověděl "jo"
    alé nastoupil :)
    KLEINZACH
    KLEINZACH --- ---
    cely roky se mi nestalo abych provaril nekomu heslo.
    asi nastvanej, do posledniho hesla jsem si dal sprostou nadavku a tento tyden uz jsem heslo poslal dvoum lidem... #murphy
    JARDABEREZA
    JARDABEREZA --- ---
    QWWERTY: Ještě jsem našel tohle :-D Taky zajímavé https://www.amazon.com/GRAUGEAR-Enclosure-External-RTL9210B-G-M2DK-AC-10G/dp/B0BD4ZWF9M/

    Nebo by šlo si natáhnout ven z PC PCIe prodlužku a hnout se ztrátě rychlosti? :-D https://www.amazon.com/Cablecc-Extension-SFF-8654-Connector-Mainboard/dp/B0BDYXKK92?th=1 Vypadá do, že kabel jde vycvaknout bez šroubování.
    JARDABEREZA
    JARDABEREZA --- ---
    QWWERTY: Díky za tip i měření. Je to další možnost... dali by se použít dva disky co už mám. Tohle vypadá jako zajímavý produkt... akorát je to na klonování disků https://www.czc.cz/coreparts-nvme-m-2-ssd-cloner-usb-c-3-2-gen2-2x-nvme-ssd/362579/produkt
    QWWERTY
    QWWERTY --- ---
    JARDABEREZA: jeste se misto celyho disku nabizi moznost "ramecek + libovolny disk"
    tu jsem ted zmeril v KDiskMarku jedno demo pres USB-C:
    - onboard TOSHIBA KBG40ZNS256G
    - IcyBox M.2 NVMe USB-C + Samsung SSD 997 Pro

    vysledek:
    NVMe speed compare - Album on Imgur
    https://imgur.com/a/TUXBXd3

    tl;dr: propad v rychlosti tam je a ne uplne maly. zas na druhou stranu ten vysledek neni tak spatny, aby se to nedalo pouzivat
    kdyz si vezmu, ze jsem pouzival OS bootovany i z USB2.0, tak tohle jsou parametry pro docela v pohode pouzitelny system
    Kliknutím sem můžete změnit nastavení reklam