Kategoria: Bezpieczeństwo

Przeglądarka wyświetla „niebezpieczna strona”? Najwyższy czas wdrożyć certyfikat SSL (HTTPS) na stronie internetowej

Od jakichś 2 dni mój czytnik RSS bombardują kolejne artykuły o ty, że z wyszukiwarki (obrazów) Google zniknął bezpośredni przycisk (odnośnik) do zdjęcia, co jest zapewne następstwem ugody zawartej z Getty Images. Osobiście temat uznałem niespecjalnie istotny – chyba, ze ogólnie w kontekście praw autorskich, i pewnych „patologii”, które co jakiś czas dają o sobie znać (nie mówię/piszę, że tak jest w tym przypadku). Dziś natomiast właściwie z każdej strony dowiaduję się, że… w mobilnej wersji Chrome pojawi(ł) się wbudowany i automatyczny skracacz (upraszczacz) linków. Choć nie lekceważę tego – głównie z punktu widzenia marketingu, to jednak nie będę odnosił się do tego w poniedziałek na konferencji prasowej… ;-)
Dla mnie ważniejsze wydaje się to, że coraz bardziej zaciska się „przeglądarkowa pętla na szyi” osób, które z jakichś przyczyn cały czas nie wdrożyły na swoich stronach szyfrowanego połączenia HTTPS/SSL.

Mamo Testuj, czyli cykl bezpłatnych webinarów o tym, jak rozpocząć karierę testerki oprogramowania

Dostałem od koleżanki link do strony poświęconej cyklowi webinarów „Mamo Testuj, czyli cykl bezpłatnych webinarów o tym, jak rozpocząć karierę testerki” z zapytaniem czy warto. No cóż, odpowiedziałem, że są bezpłatnie, więc jak masz czas i do tego chęć to chyba wiele nie ryzykujesz, choć raczej nie wpisywałbym tego do CV… ;-)

Zastanów się dobrze, gdy trafisz na poradę, by przenieść jakąś wtyczkę do katalogu „mu-plugins” (Must Use) w WordPressie

Dziś na jednej ze stron poświęconych WordPressowi trafiłem na opis pewnej wtyczki, która pozornie może wydawać się ciekawa, ale ostatecznie zadania, które realizuje (dużo) bardziej zaawansowany użytkownik WordPressa chyba prościej i szybciej wykona sam, a użytkownik mniej zaawansowany… nie powinien tego tematu raczej w ogóle ruszać.
Ale nie o wtyczce będzie, bo przy tej okazji pojawiła się sugestia by wtyczkę skopiować do katalogu „must use”, przez co inny użytkownik – bez bezpośredniego dostępu do plików – teoretycznie nie będzie mógł jej wyłączyć. Znam lepsze sposoby zarządzania uprawnieniami, zwłaszcza, że taka operacja niesie ze sobą również potencjalnie poważne konsekwencje…

Brak (automatycznej) aktualizacji WordPressa w panelu zarządzania (WP-Admin)

Dopiero co pisałem o WordPressie 4.9.2, o wstrzymanej „na chwile” aktualizacji 4.9.3, a już mamy wersję 4.9.4, która koryguje problemy z automatyczną aktualizacją, które mogły się pojawić wraz z wersją 4.9.3 – tak przynajmniej wynika z informacji o najnowszej aktualizacji…

Programming Notes for Professionals, czyli solidna i bezpłatna dawka skondensowanej wiedzy (PDFy do pobrania)

Zapytał mnie kolega, czy nie mam jakichś „skondensowanych notatek” z Basha, bo akurat by się przydały, a ja w końcu „coś tam w nim dłubię”. Notatki oczywiście, że mam, ale są to moje notatki, i w większości sytuacji nikomu nic po nich, o ile ich nie „rozjaśnię”, np. w formie artykułu na WebInsider.pl (co regularnie czynię… ;-)). Ale by nie zostawiać kolegi w potrzebie, przesłałem mu link do strony, gdzie znajdzie sporo „notatek w PDFach”, również do Basha.

WordPress i CVE-2018-6389, czyli prosty sposób na atak DoS (Denial-of-Service, czyli odmowa dostępu) na Twoją stronę

Już miałem zamykać, wszystkich w redakcji puścić do domu, by mogli ten wieczór spędzić z rodzinami, a tu niespodzianka – na liście ostrzeżeń pojawiła się informacja o nowej podatności na WordPressa. Na szczęście relatywnie niegroźnej, bo nie ma tu raczej mowy o jakimś włamaniu, czy wykradaniu danych. Po prostu, gdy komuś podpadliście, to może on spróbować troszkę poddusić Wasz serwer, aż jedyne co będzie można wyświetlić w przeglądarce, to błędy dostępności serwera/strony (5xx, np. 502, 503, 504 czy 522 od CloudFlare).

Aktualizacja bazy danych MySQL do nowszej wersji (5.7 lub 5.8) w systemie Debian Jessie

Ostatnio koledze zamarzyło się, by na jego VPSie działającym (jeszcze) pod kontrolą Debiana Jessie (Debian 8) można było z poziomu PhpMyAdmin tworzyć bazy danych o dłuższych niż 16 znaków nazwach. W końcu – cytuję – mamy 2018, a nie 1996. Oczywiście postanowiłem pomóc, zwłaszcza, że rozwiązanie jest proste – aktualizacja.

Awesome-Selfhosted to ogromna baza (lista) bezpłatnego oprogramowania, które zainstalujesz na (swoim) serwerze

Raczej nie należę do tych, co w nowy rok wchodzą z pokaźną listą rzeczy, które zamierzają zmienić, bo z doświadczenia – nie tylko zresztą swojego – wiem, że zazwyczaj to się nie sprawdza… Co nie oznacza, że zmian nie planuje, nawet tych „na dany rok” – wręcz przeciwnie. I tak w każdym roku staram się z kilku rozwiązań „zewnętrznych” albo zrezygnować, albo przenieść je na swój serwer.

Parametry „noopener”, „noreferrer” i „nofollow” w linkach na stronach internetowych

Ostatnio stworzyłem dla znajomego pewną wtyczkę do WordPressa, która w momencie wystąpienia pewnych, z góry określonych warunków dokonywała automatycznej modyfikacji linków znajdujących się na stronie (konkretnie w artykule/wpisie), według ustalonych założeń. Przy tej okazji kolega zauważył, że w niektórych linkach pojawia się parametr „noopener”. Zresztą nie tylko on (parametr, nie kolega).

Internetowy lokalizator od IKOL na Androida

Z pewnością każdemu zdarzyło się kiedyś odłożyć telefon nie tam, gdzie zwykle i stracić trochę czasu na poszukiwania. Zastanawianie się nad tym, gdzie znajdują się dzieci, pracownicy lub znajomi to nic nadzwyczajnego. Gdy obok potrzeby poznania lokalizacji danej osoby występuje ograniczone zaufanie – urządzenie, które pozwoli nam „wiedzieć na pewno” jest na wagę złota.
Naprzeciw takim zdarzeniom wychodzą twórcy pojawiających się regularnie aplikacji służących do ustalenia lokalizacji urządzeń. O tym, jakie możliwości daje nam Menedżer Urządzeń Android – od pewnego czasu występujący pod nazwą Google Znajdź Moje Urządzenie – już mogliście u nas przeczytać. Oczywiście nie można zapomnieć też o Mapach Google, które pozwalają udostępniać swoją lokalizację w czasie rzeczywistym. Dziś sprawdzimy, czy ikol X, czyli aplikacja, która jest dedykowanym rozwiązaniem do śledzenia lokalizacji urządzeń pozwala na coś więcej i czy warto ją zainstalować.

Elegant Themes Security Update, czyli wyciekająca „zajawka” chronionego hasłem posta

Wczoraj, z powodu błędu (podatności XSS)  w flashowym module do wgrywania mediów aktualizowaliśmy WordPressa do wersji 4.9.2, dziś z kolei aktualizujemy motywy (Divi, Extra) i wtyczki (Page Builder) od Elegant Themes, zwłaszcza, jeśli korzystacie ze stron zabezpieczonych hasłem (jedna z natywnych funkcji WordPressa).

UploadDir i SaveDir w PhpMyAdmin, czyli import i eksport bazy danych z/do katalogu bezpośrednio na serwerze

Choć operacje na bazach danych MySQL (np. kopia zapasowa) często wykonuje z wiersza poleceń, to lubię też czasem sobie uprościć zadanie, i skorzystać z PhpMyAdmin. Niedawno pomagałem znajomemu skonfigurować ten skrypt na jego serwerze, bo potrzebował zaimportować naprawdę duży plik, co spotykało się z permanentnym oporem. Oczywiście poradziłem mu by skorzystał z konsoli, ale przy okazji pokazałem pewny „trik”, tak by w przyszłości mógł za pomocą PhpMyAdmin importować do bazy pliki już zapisane na serwerze (a ma ich kilka, bo w ramach testów często „żongluje” nimi).

Instalacja certyfikatu SSL w Home.pl na przykładzie usługi Business Cloud Starter i certyfikatu homeSSL

Kilka dni temu napisałem artykuł o moim pożegnaniu z hostingiem współdzielonym. Wspomniałem w nim, że wprawdzie swoich kont tego typu już nie mam, to jednak niektórzy moi klienci z takich usług korzystają, a tym samym cały czas jeszcze mam z nimi styczność. Jedną z takich usług jest Business Cloud Starter w Home.pl, gdzie ostatnio konfigurowałem certyfikat(y) SSL. Oczywiście kupione w Home.pl, a więc pierwszy rok praktycznie darmo, później jak za złoto…

4-NGX-0-429, czyli krótka historia o tym, jak ochrona anty-DDOS IAI-Shop sprawiła, że zrobiłem zakupy u konkurencji

Wczoraj pisałem o błędzie jaki wyświetlał się na jednej ze stron, prawdopodobnie w momencie niedostępności usługi/serwera baz danych. Uznałem, że to przypadek wart pokazania, bo oprócz informacji o przyczynach niedostępności strony wyświetlane były wszystkie dane związane z autoryzacją do serwera MySQL (adres, nazwa użytkownika i hasło, port). Sytuacja potencjalnie bardzo niebezpieczna, choć przy poprawnej konfiguracji dostępu do bazy danych (np. ograniczenie zdalnego łączenia się z bazą danych dla danego użytkownika) nie jest tak źle, i – jeśli podobne dane nie były wykorzystywane nigdzie indziej – to co najwyżej „lekko kompromitująca” dla osób odpowiedzialnych za skrypt/stronę… ;-)
Dziś będzie za to będzie o innym błędzie, tym razem może niezwiązanym bezpośrednio z bezpieczeństwem strony, ale potencjalnie niebezpiecznym z punktu widzenia biznesu, jakim jest sklep internetowy, który ma sprzedawać.

WordPress 1 – 0 „własny CMS”, czyli błąd serwera MySQL wystarczył, by dane logowania do bazy danych poszły w świat

Ile to razy byłem świadkiem (bo staram się nie barć bezpośredniego udziału w takich rozmowach, bo zazwyczaj nie mają one większego sensu) debaty nad wyższości dedykowanego CMSa nad ogólnodostępnym, z otwartym kodem, gdzie każdy może zaglądać i… szukać dziur, co z automatu sprawia, że tego typu rozwiązania są mniej bezpieczne. Oczywiście ciężko mi się z tym zgodzić, bo o ile faktycznie do kodu może zajrzeć każdy, to życie już nie raz pokazało, że odbywa się to z korzyścią dla oprogramowania, bo dzięki temu można skorygować problemy, również te związane z bezpieczeństwem.

CNAME Cross-User Banned (błąd 1014), czyli mapowanie (sub)domen tylko w ramach tego samego konta CloudFlare

Chociaż z CloudFlare aktywnie korzystam od kilku lat, to ostatnio zaskoczyli mnie, bo pierwszy raz spotkałem się z błędem 1044, dotyczącym łączenia za pomocą rekordu CNAME domen znajdujących się u różnych użytkowników tego serwisu.

Rada Ministrów przyjęła projekt Ministerstwa Cyfryzacji, zaostrzający walkę m.in. z oszustwami Premium SMS

Można chyba śmiało napisać, że różnej maści oszustwa polegające na wyłudzeniu pieniędzy za pomocą SMSów o podwyższonej opłacie (Premium SMS) opanowały internet, zwłaszcza media społecznościowe, gdzie mogły rozwinąć skrzydła, dzięki łatwemu i szerokiemu dostępowi do… hm… mniej… doświadczonych użytkowników (eufemizm ;-)).
I tym sposobem mamy setki (tysięcy) lipnych stron z konkursami (wygrałeś iPhone), różnymi „wymyślnymi usługami” (zlokalizuj telefon dziewczyny/chłopaka, przeczytaj jej/jego SMSy), po… właściwie cokolwiek, i tak zawsze znajdzie się ktoś, kto się nabierze.
Walczyć z tym jest dość trudno, bo z uświadamianiem mam wrażenie, idzie jak po grudzie (chyba nie ma tygodnia, bym nie dostał przynajmniej kilku zapytań o to, gdzie moja nagroda itp., tylko dlatego, ze opisuje tego typu przekręty, by… ludzie się nie nabierali na nie). Do tego prawo w tym zakresie jest albo dziurawe, albo nie do wyegzekwowania. Na szczęście jest szansa, że być może coś się w tej materii zmieni(a) na lepsze…

Moje pożegnanie z hostingiem współdzielonym (i nie tylko), czyli wolnoć, Tomku, w swoim domku

Pod koniec grudnia, przy okazji artykułu na temat klonowania serwerów VPS za pomocą programu Rsync i bezpiecznego połączenia SSH wspomniałem, że z końcem 2017 wygasają ostatnie moje konta hostingowe (hosting współdzielony). Wtedy też założyłem, że gdzieś na początku 2018 wrócę do tego tematu, i napisze coś więcej na ten powodów mojej rezygnacji z tego typu usług. I skoro mamy początek 2018, to…

Orange anuluje opłaty klientom, którzy dali się ostatnio „nabrać” na kubańskie sygnałki

O ostatniej „kubańskiej akcji sygnałkowej” skierowanej do klientów Orange (i nju mobile) w ostatnich dniach 2017 i pierwszych 2018 miałem nie pisać, bo o ile faktycznie mamy tu do czynienia z próba naciągnięcia użytkowników telefonów na wysokopłatne połączenie (oddzwonienie) na kubańskie numery zaczynające się od +53, to jednak nie jest to jakieś nowe oszustwo, i tego typu sytuacje miały miejsce już nie raz.
Zdanie zmieniłem, bo firma Orange Polska w tym przypadku postanowiła pójść na rękę swoim oszukanym klientom, i opłata za te połączenia zostanie anulowana.

Loading

Reklama własna

Z księgowością internetową wFirma JPK_VAT to nie problem!

Reklama własna

Z księgowością internetową wFirma JPK_VAT to nie problem!

Reklama własna

Z księgowością internetową wFirma JPK_VAT to nie problem!