JANFROG: Měl jsem takhle staršího kolegu, který začínal dávno před revolucí v 70. letech na Siemens mainframech s BS2000. Programovět uměl ve všem od PL/1, Cobolu, ABAPu, Javě, C až po Assembler, disponoval unikátním kombem znalostí IBM produktů i SAPu a o práci neměl nikdy nouzi. Stalo se mu jednou, že ho chtěli nějak hodně přezkušovat na pohovoru v německé firmě, tak těch pár prvních kontrolních otázek zkousnul, pak se zvednul a suše oznámil, že tohle je pod jeho úroveň a v klidu odešel. Asi to není metoda pro každého, ale někdy je dobré v náborovém procesu nastavit mantinely ...

JARDABEREZA: Tenhle antipattern neplacených domácích úkolů mi byl vždycky proti srsti, jednou jsem dostal za úkol dostat naimplementovat netriviální featuru, požadavek jsem ignoroval a HR paní mě pak uháněla a mazala med kolem pusy, že bych měl velejedinečnou příležitost pracovat na projektu pod vedením CEO se zkušenostma ze Silicon Valley 🤣, ale z principu nebudu pracovat zadarmo ani pár hodin.

Výmluva, jak se vyhnout některým "domácím úkolům"? :-D Pokud se tedy nehlásíte na bezpečnostního experta. https://bsky.app/profile/malwaretech.com/post/3m6myaszfik2j

OXYMORON: Dnes spoustu legrace s casti “something happening in the web”

Sha1-Hulud 2.0 Supply Chain Attack: 25K+ npm Repos Exposed | Wiz Blog
https://www.wiz.io/blog/shai-hulud-2-0-ongoing-supply-chain-attack

OXYMORON: co tak ctu, tak "Rust devs" a ten jejich buildovaci system je taky casovana bomba typu "Saj Hulud"

Ukradeno z Nových internetových humorů

JARDABEREZA: To mi přijde jako risk-based authentication (a proč ne), ale myslel jsem spíše SecretServer / CyberArk / BeyondTrust, kde dělají credentials management, kdy to heslo vlastně nikdo ani nezná, po každém použití se změní, případně je účet na doméně vypnut když není používán, apod.

PES: Aspoň nic nerozbijou :e

MUXX: SAP uměl maximálně 8 znaků a z nějakého důvodu to Němci nemohli fixnout a začal to být problém, tak se právě vymyslely ty hesla která musí obsahvat todleco a támhlecto, aby se zvětšil prostor a hackerům ztížilo prolamování - ostatně nevím, jestli to dodnes opravili. Pitomý je, že bez znalosti důvodu se tahle praktika rozlezla do všech možnejch systémů. (Kpt. Zřejmý pak dodává, že z matematického pohledu neni důvod tam mít nesmyslné znaky, stačí, když bude heslo dostatečně douhé - s každým dalším znakem roste ten prostor rychleji, než přidávání soeciálů do menší délky.)
Dodám jen, že vtipnej je okamžik, když máte v heslu tabulátor. To vám ledasjakej klient (např. PUTTY na woknech) nezkousne :)

MARASAN: Podibna zkusenost. Kdyz seznam pozadavku na to co v hesle nesmi byt je delsi, nez co tam muze byt, tak jsou to zpravidla nemci.

QWWERTY: Mi pripomina jak jsem takhle nekam generoval heslo nekdy v drevnich dobach, a cut'n'pastoval jsem to z terminalu. No zkopiroval jsem to i s newlinem, kterej to zrejme sezralo, a pak se strasne divil, ze se mi nejde zpatky prihlasit. Uz si nevzpominam, jak jsem prisel na to s tim newlinem, bud to heslo beztak ukladali v cleartextu a slo si ho nechat zaslat (jak rikam, drevni doby), nebo jsem toho dosahl nejak editaci toho input boxu na heslo.

QWWERTY: ja zazil, ze zmena hesla pres web sezrala cokoliv a heslo pak nejelo z API klienta. Na hotlajne jsem se pak dozvedel, ze v hesle nemuzou byt zadny specialni znaky. Němci.

mych pet centu

docela by me zajimalo, zda se nedavna "stara" na VZP netykala i vyvoje jejich systemu https://dusevnizdravi.vzp.cz/

aneb

* heslo tam je k dispozici v plain textu a jeho zmena probiha zmenou toho fieldu (ani nema nastaveny typ password)
* kdyz zadate RC klienta vzp, tak se dostanete k prehledu jeho prispevku za terapii za aktualni rok u jinych terapeutu - jakoze spravne by stacilo videt, ze uz jich letos vycerpal X za XYZ penez

CERMI_FOX: zatim nejhorsi system co jsem potkal, tak mel maximum 16 a libovolne dlouhe heslo uzivateli orizl, aniz by mu to rekl
takze ja jsem vygeneroval 20 char heslo, vlozil ho tam, heslo zmeneno a stejne se neslo prihlasit
az kdyz me napadlo vlozit heslo a odmazat posledni 4 znaky, tak me to prihlasilo