Tag: bezpieczeństwo

Od kilkunastu dni na stronie WordPress.org trwa dyskusja na temat pewnego pomysłu, który wywołuje spore – i zarazem chyba zrozumiałem – kontrowersje. Chodzi mianowicie o pomysł automatycznego aktualizowania starszych wersji WordPrssa. Niby nic nowego, bo od wersji 3.7 działa moduł automatycznych aktualizacji, ale… ogranicza się on obecnie tylko do aktualizacji bezpieczeństwa, w obrębie tej samej wersji (np. 3.7.*, 4.2.*, 4.9.*). Propozycja zakłada, że można by pójść dalej, i w ten sposób aktualizować strony działające na starszych wersjach WordPressa do (naj)nowszych wersji…

CloudFlare i Page Rules w praktyce, czyli historia pewnego ataku na skrypt/stronę logowania do WordPressa (WooCommerce)

Patryk | 06.08.2019 | Wyrazy: 720, znaki: 4454 | Bezpieczeństwo, Biznes, Domeny internetowe, eCommerce, Hosting i serwery, Internet, Oprogramowanie, Polecane, Poradniki, Strony internetowe (WWW), Technologia, Technologia, WooCommerce, WordPress | 3 |

W drugiej połowie lipca, w piękny piątkowy poranek, po porannym spacerze z psami usiadłem do komputera, bo na mojej administracyjnej skrzynce e-mail pojawiły się powiadomienia m.in. ze skryptu SysWatch, oraz z aplikacji Monit, czyli narzędzi, które wykorzystuje do monitorowania zasobów serwera. A z racji tego, że z kufelkiem tego dnia siedział obok kolega, który coś tam kupa (rozróżnia hosting od domeny ;-)), to pomyślałem, że od razu pokaże mu, jak można w relatywnie prosty sposób zdiagnozować źródło i wyeliminować problem.

Własne strony błędów (custom pages) w CloudFlare (tylko) dla użytkowników usługi w wersji płatnej

O usłudze CloudFlare wielokrotnie, zazwyczaj starając się w danym poradniku opierać na możliwościach usługi w wersji bezpłatnej. Tym razem będzie inaczej – by skorzystać przedstawianych tu informacji, należy dla danej domeny mieć aktywny przynajmniej plan „pro”, kosztujący 20 $ miesięcznie. I tego nie przeskoczymy.

e-Doręczenia z Pocztą Polską to nie tylko nie jest złe rozwiązanie, ale (obecnie) wydaje się również najrozsądniejsze

Kilka dni temu, na stronie Konfederacji Lewiatan (oczywiście nie byle jakiej, bo portal internetowy współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego ;-)) pojawił się artykuł o tym, że realizacja usługi e-Doręczenia przez Pocztę Polską to złe rozwiązanie. Temat podchwyciły kolejne portale, gazety i blogi, i mamy wysyp artykułów w stylu „2 zł za e-mail? Chyba kogoś pogięło…”. Fakt, płatny e-mail, i to jeszcze 2, czy nawet 3,45 zł netto wydaje się na tyle absurdalny, że temat ten musi dobrze żreć…

AOMEI Backupper to nadal dobry i bezpłatny (wersja standard) program do kopii zapasowych m.in. Windowsa, ale rys coraz więcej

Od dość dawna do kopii zapasowej (BackUp) systemu operacyjnego Windows korzystam z programu AOMEI Backupper (jedno z 2 rozwiązań, tak na wszelki wypadek). Również ten program do niedawna polecałem znajomym, którzy szukali czegoś prostego, i co najwazniejsze – skutecznego. I choć sam z programu jeszcze nie zrezygnowałem, to program polecam coraz rzadziej…

Zespół z CERT Polska przeanalizował aplikację FaceApp pod względem zagrożeń dla bezpieczeństwa (danych) użytkownika

Patryk | 22.07.2019 | Wyrazy: 1192, znaki: 7727 | Android, Bezpieczeństwo, Felietony, Hosting i serwery, Internet, Mobile, Multimedia, Multimedia, Oprogramowanie, Poradniki, Prasówka, Programy, Social Media, Strony internetowe (WWW), Technologia, Technologia, Telekomunikacja, Wiadomości, Wydarzenia | 0 |

Można chyba zaryzykować, że obecnie swoją druga młodość przeżywa aplikacja FaceApp, która pozwala na wygenerowanie na zmianę wyglądu twarzy ze zdjęcia – naszego lub czyjegoś. Przy tej okazji pojawiły się pewne wątpliwości co do tego, czy oby jest to bezpieczna aplikacja, bo… W każdym razie przygotowany przez CERT Polska raport na temat tej aplikacji powinien ostudzić niejedną głowę.

Poznaj .(?:.=.*) – wyrażenie regularne (RegEx), które zatrzymało CloudFlare, a wraz z nimi sporą część internetu

Na początku lipca pisałem o awarii usługi CloudFlare, przez co spora część internetu (strony WWW) przestała działać. Wspomniałem wtedy też, że ekipa z CloudFlare zapowiedziała, że niebawem napisze coś więcej na temat samego incydentu. I jak zapowiedzieli, tak zrobili…

Dowody kolekcjonerskie zepchnięte do podziemia, czyli weszła w życie ustawa o dokumentach publicznych

Pewnie niewielu znajdzie się wśród naszych czytelników, którzy nigdy przynajmniej nie słyszeli o wyłudzeniu kredytów, kart SIM na fałszywe dokumenty tożsamości. Pewnie spora grupa z naszych czytelników słyszała o tzw. dowodach kolekcjonerskich (ew. prawach jazdy itp.), które można (było) kupić za kilka stówek w internecie. I co najlepsze – do dziś było to (wytwarzanie i zakup, ale już nie posługiwanie się takim „dokumentem”) w pewnym stopniu legalne.

Więcej informacji i lepsze narzędzia do rozwiązywania ręcznie zgłaszanych roszczeń do treści publikowanych w serwisie YouTube

Może nie każdy, ale na pewno spora grupa z osób publikujących filmy w serwisie YouTube zetknęła się z mechanizmami „antypirackimi”. Zaczynając od automatycznego systemu Content ID, a kończąc na ręcznych – przynajmniej w teorii – zgłoszeniach „właścicieli praw autorskich do…”. I choć często takie roszczenia są zasadne, to zdarza się, że są generowane na tyle masowo, że z rzeczywistością nie mają nic wspólnego. Ekipa z Google odpowiedzialna za rozwój YouTube ma chyba tego świadomość, stąd oprócz rozwijania możliwości związanych ze zgłaszaniem naruszeń, powoli usprawnia też narzędzia, jakie ma twórca.

Jeśli planujesz płacić kartą płatniczą Nest Banku poza granicami UE, to może powiadomić o tym bank za pomocą poczty e-mail

Od kilku dni, podczas korzystania z systemu transakcyjnego w Nest Banku mój wzrok natrafiał na baner/komunikat z zapytaniem, czy planuje płacić karta płatniczą poza granicami UE. Jakoś tak niespecjalnie budziło to moje zainteresowanie, bo takich planów nie mam. Ostatecznie jednak postanowiłem sprawdzić, co ciekawego znajdę w rozwinięciu tego zapytania (ankieta, porada…).

We wrześniu 2019 startuje biała lista podatników VAT, a wraz z nią dozwolone numery rachunków bankowych do przelewów za faktury

1 września 2019 ruszy tzw. biała lista podatników VAT, na której znajdą się informacje nie tylko o aktualnie czynnych płatnikach tego podatku, ale również wykreślonych, czy takich, którym odmówiono rejestracji. Wśród informacji dotyczących podatnika będzie znajdował się numer rachunku bankowego. I jest to o tyle ważne, że dokonanie płatności na inny rachunek niż wymieniony na tej liście oznaczać może, że tak płatność (faktura) nie będzie mogła stanowić kosztów uzyskania przychodów.

DNS-over-HTTPS (DoH), czyli szyfrowane (HTTPS) połączenie do serwerów DNS (na razie w przeglądarce Mozilla Firefox)

W kontekście przeglądarki Firefox dziś pewnie dominują w internecie informacje na temat płatnej subskrypcji, jaką Mozilla ma w planach zaoferować (Firefox Ad-free Internet). Ale na razie poza prostą stroną z zajawką (subskrypcja za 4,99 $ miesięcznie) wiele się nie dowiemy, bo nawet przycisk „sign up now” prowadzi do ankiety, gdzie już na pierwszej stronie mamy informację „this product isn’t available yet, but we’re working on it”. Dlatego, zamiast bawić się w spekulacje i clickbaitowe tytuły, postanowiłem, że napiszę o DNS-over-HTTPS (DoH), co wydaje się tematem dużo ciekawszym. Choć miejscami kontrowersyjnym…

Wstrzymana przesyłka z Poczta Polska i SMS z prośbą o dopłatę, czyli kolejny przekręt z lewą stroną płatności internetowych

Wprawdzie od dawna większość ataków na (pieniądze) użytkowników internetu (czyli w sumie prawie wszystkich ;-)) się powtarza LINK, to relatywnie rzadko o tym piszę. Ale w ostatnim czasie przynajmniej kilka osób pokazywało mi SMSy z informacją o wymaganej dopłacie. Zazwyczaj jest to kwota w okolicach złotówki czy dwóch, bez której nie można zrealizować usługi lub wysłać paczki. I pomyślałem, że jest to może dobry moment, by o tym napisać, bo na stronie Poczty Polskiej pojawiło się ostrzeżenie o tego typu ataku, wymierzonym w klientów tej powszechnej instytucji…

Awaria CloudFlare, czyli wyrażenie regularne (RegEx), które „na chwilę” położyło sporą część internetu (błąd 502 Bad Gateway)

Patryk | 03.07.2019 (aktualizacja 16.07.2019) | Wyrazy: 373, znaki: 2227 | Bezpieczeństwo, Domeny internetowe, Hosting i serwery, Internet, Oprogramowanie, Programy, Strony internetowe (WWW), Technologia, Wiadomości, Wydarzenia | 0 |

Wczoraj, gdzieś tak w okolicach godziny 15-16 zaczęły spływać do mnie kolejne alerty związane z niedostępnością kolejnych stron. Było to o tyle nietypowe, że strony te znajdowały się nie tylko na różnych serwerach (wykluczony problem z samym serwerem), w różnych lokalizacjach (wykluczony problem związany z lokalizacją serwerowni), ale i u różnych dostawców tego typu (VPSy) usług. Jak się szybko okazało, problem nie dotyczył tylko mnie, a sporej części internetu. I to do tego stopnia, że niektórzy zaczęli łączyć ten problem z kryzysem USA – Iran (Chiny, Rosja), zwłaszcza że w tym samym czasie również w tym kontekście miały miejsce jakieś dziwne ruchy…

Mam nadzieję, że API Key Label w panelu klienta Elegant Themes to zapowiedź większych zmian, jeśli chodzi o autoryzację kluczy

Wczoraj, podczas uruchamiania nowej strony dla (nowego) klienta na motywie Divi od Elegant Themes (WordPress) standardowo zalogowałem się do swojego panelu klienta, w celu wygenerowania nowego klucza API, który służy m.in. do pobierania aktualizacji motywu. Moją uwagę przykuło pole tuż nad każdym kluczem API, w którym możemy wpisać nazwę dla klucza. Niby mała zmiana, ale może jest to zwiastun zmian w całym mechanizmie autoryzacji…

Dodatkowa weryfikacja dostępu do Konta Google numerem telefonu, czyli ochrona jakby nie do końca konsekwentna

Podczas jednej z ostatnich migracji poczty klienta z Google (G Suite/Gmail) na inne rozwiązanie rutynowo logowałem się na kolejne konta w Google, by ustawić tam przekierowania, upewnić się, że jest dostęp w ramach protokołu IMAP (migracji dokonywałem za pomocą opisywanego niedawno narzędzia imapsync, dostępnego również bezpłatnie w wersji online) i takie tam „rutynowe aktywności”. Podczas logowania do kont Google jak to Google, czasem wymagało ode mnie dodatkowej – poza loginem i hasłem – weryfikacji. Słusznie. Tylko w większości przypadków dodatkową weryfikację udało mi się przejść bez angażowania administratora usługi/domeny, ale i nawet właściciela skrzynki…

BitLocker i anulowanie procesu (de)szyfrowania dysku, czyli krótki poradnik co zrobić, gdy zmieniliśmy zdanie, a zależy nam na czasie

O szyfrowaniu dysków BitLockerem, z którego od dawna sam korzystam pewnie będzie oddzielny artykuł, ale szukając „pomysłu” na jeszcze jeden artykuł dziś, bo do 18 zostało jeszcze kilka minut, natknąłem się na notatkę, którą zrobiłem jakiś czas temu, gdy zadzwonił do mnie kolega, z pytaniem, jak anulować proces deszyfrowania dysków, bo przy dużych dyskach zapełnionych po brzegi ponowne szyfrowanie to nie godziny a dni. Nie ma jako takiej komendy pozwalającej anulować polecenie deszyfrowania dysków, ale można to obejść… korzystając z uproszczonej komendy służącej do szyfrowania.

Kolejny przekręt na Facebooku, czyli „zabezpiecz swój dostęp do profilu na Facebooku, wyślij w odpowiedzi swoje aktualne hasło”

Przekrętów nie tylko w internecie, i nie tylko na Facebooku pełno, stąd nawet nie mam ambicji napisać o większości z nich (choć z racji tego, że to często kolejne literacje tego samego pomysłu, to…). Ale raz na jakiś czas trafia się jakaś perełka, czy coś, co sprawia, że ten czy inny przekręt ląduje na naszych łamach. Tym razem Facebook i próba wyłudzenia hasła do konta…

Libra i Calibra, czyli kryptowaluta od Facebooka (i partnerów) zaczęła nabierać kształtów

Plotki i ploteczki o tym, że Facebook szykuje się do uruchomienia własnej kryptowaluty opartej o blockchain (jak np. Bitcoin) hulały nie tylko po internecie od jakiegoś czasu. 18 czerwca Mark Zuckerberg (to ten od Facebooka, co to może być groźniejszy dla ludzkości niż filmowy SkyNet) na… Facebooku udostępnił wpis liczący prawie 4000 znaków, w którym dzieli się z czytelnikami tym, jak wygląda (m.in.) jego wizja nowej kryptowaluty…

Dzięki oprogramowaniu i usłudze online imapsync od Gilles Lamiral szybko i wygodnie zmigrujsze pocztę e-mail na inny serwer IMAP

Patryk | 19.06.2019 (aktualizacja 20.06.2019) | Wyrazy: 408, znaki: 2493 | Bezpieczeństwo, Hosting i serwery, Internet, Oprogramowanie, Poczta e-mail, Poradniki, Programy, Strony internetowe (WWW), Technologia, Technologia, Testy i recenzje, Windows, Zakupy | 0 |

Nie tylko ze względu na cieszącą się relatywnie sporą popularnością serię o poczcie e-mail we własnej domenie, dostaje często zapytania dotyczące migracji poczty nie tylko między usługodawcami (np. hostingu), ale i różnymi usługami. Czasem jest to zadanie, które można wykonać bezpośrednio na plikach poczty (ryzykowne, pracochłonne, ale możliwe ;-)), innym razem – zwłaszcza w przypadku poczty jako usługi SaaS – jest to niemożliwe, i z pomocą przychodzą różne narzędzia pomagające przeprowadzić tego typu operację.