FLEGMA: Ja zas byl na drihy strane a mam domaci ukoly rad, protoze mi to prijde o dost lepsi, nez l33t code a podobny veci. Snazil sem se to platit, jenze se ukazalo ze placeni bez smlouvy umi bejt v nekterejch mistech dost orisek.

FLEGMA: Tomu dost rozumim, potiz je v tom ze se dost rozmohlo lhani a mazani medu ze strany kandidata, takze dost zakezi na tom jak silnej reference check sezenes. A prekvapive cim vic senior tim tezsi je to vyhodnotit, protoze tim jednodussi je mit “talking skills” ktery clovek dobre uplatni na schuzkach, ale vlastne ztrati schopnost neco udelat…


(Ze strany kandidata to nenavidim jako vsichni ostatni samozrejme :D)

JARDABEREZA: Tenhle antipattern neplacených domácích úkolů mi byl vždycky proti srsti, jednou jsem dostal za úkol dostat naimplementovat netriviální featuru, požadavek jsem ignoroval a HR paní mě pak uháněla a mazala med kolem pusy, že bych měl velejedinečnou příležitost pracovat na projektu pod vedením CEO se zkušenostma ze Silicon Valley 🤣, ale z principu nebudu pracovat zadarmo ani pár hodin.

Výmluva, jak se vyhnout některým "domácím úkolům"? :-D Pokud se tedy nehlásíte na bezpečnostního experta. https://bsky.app/profile/malwaretech.com/post/3m6myaszfik2j

OXYMORON: Dnes spoustu legrace s casti “something happening in the web”

Sha1-Hulud 2.0 Supply Chain Attack: 25K+ npm Repos Exposed | Wiz Blog
https://www.wiz.io/blog/shai-hulud-2-0-ongoing-supply-chain-attack

OXYMORON: co tak ctu, tak "Rust devs" a ten jejich buildovaci system je taky casovana bomba typu "Saj Hulud"

Ukradeno z Nových internetových humorů

JARDABEREZA: To mi přijde jako risk-based authentication (a proč ne), ale myslel jsem spíše SecretServer / CyberArk / BeyondTrust, kde dělají credentials management, kdy to heslo vlastně nikdo ani nezná, po každém použití se změní, případně je účet na doméně vypnut když není používán, apod.

PES: Aspoň nic nerozbijou :e

MUXX: SAP uměl maximálně 8 znaků a z nějakého důvodu to Němci nemohli fixnout a začal to být problém, tak se právě vymyslely ty hesla která musí obsahvat todleco a támhlecto, aby se zvětšil prostor a hackerům ztížilo prolamování - ostatně nevím, jestli to dodnes opravili. Pitomý je, že bez znalosti důvodu se tahle praktika rozlezla do všech možnejch systémů. (Kpt. Zřejmý pak dodává, že z matematického pohledu neni důvod tam mít nesmyslné znaky, stačí, když bude heslo dostatečně douhé - s každým dalším znakem roste ten prostor rychleji, než přidávání soeciálů do menší délky.)
Dodám jen, že vtipnej je okamžik, když máte v heslu tabulátor. To vám ledasjakej klient (např. PUTTY na woknech) nezkousne :)

MARASAN: Podibna zkusenost. Kdyz seznam pozadavku na to co v hesle nesmi byt je delsi, nez co tam muze byt, tak jsou to zpravidla nemci.

QWWERTY: Mi pripomina jak jsem takhle nekam generoval heslo nekdy v drevnich dobach, a cut'n'pastoval jsem to z terminalu. No zkopiroval jsem to i s newlinem, kterej to zrejme sezralo, a pak se strasne divil, ze se mi nejde zpatky prihlasit. Uz si nevzpominam, jak jsem prisel na to s tim newlinem, bud to heslo beztak ukladali v cleartextu a slo si ho nechat zaslat (jak rikam, drevni doby), nebo jsem toho dosahl nejak editaci toho input boxu na heslo.

QWWERTY: ja zazil, ze zmena hesla pres web sezrala cokoliv a heslo pak nejelo z API klienta. Na hotlajne jsem se pak dozvedel, ze v hesle nemuzou byt zadny specialni znaky. Němci.

mych pet centu

docela by me zajimalo, zda se nedavna "stara" na VZP netykala i vyvoje jejich systemu https://dusevnizdravi.vzp.cz/

aneb

* heslo tam je k dispozici v plain textu a jeho zmena probiha zmenou toho fieldu (ani nema nastaveny typ password)
* kdyz zadate RC klienta vzp, tak se dostanete k prehledu jeho prispevku za terapii za aktualni rok u jinych terapeutu - jakoze spravne by stacilo videt, ze uz jich letos vycerpal X za XYZ penez

CERMI_FOX: zatim nejhorsi system co jsem potkal, tak mel maximum 16 a libovolne dlouhe heslo uzivateli orizl, aniz by mu to rekl
takze ja jsem vygeneroval 20 char heslo, vlozil ho tam, heslo zmeneno a stejne se neslo prihlasit
az kdyz me napadlo vlozit heslo a odmazat posledni 4 znaky, tak me to prihlasilo