Tag: bezpieczeństwo

Przeglądarka wyświetla „niebezpieczna strona”? Najwyższy czas wdrożyć certyfikat SSL (HTTPS) na stronie internetowej

Od jakichś 2 dni mój czytnik RSS bombardują kolejne artykuły o ty, że z wyszukiwarki (obrazów) Google zniknął bezpośredni przycisk (odnośnik) do zdjęcia, co jest zapewne następstwem ugody zawartej z Getty Images. Osobiście temat uznałem niespecjalnie istotny – chyba, ze ogólnie w kontekście praw autorskich, i pewnych „patologii”, które co jakiś czas dają o sobie znać (nie mówię/piszę, że tak jest w tym przypadku). Dziś natomiast właściwie z każdej strony dowiaduję się, że… w mobilnej wersji Chrome pojawi(ł) się wbudowany i automatyczny skracacz (upraszczacz) linków. Choć nie lekceważę tego – głównie z punktu widzenia marketingu, to jednak nie będę odnosił się do tego w poniedziałek na konferencji prasowej… ;-)
Dla mnie ważniejsze wydaje się to, że coraz bardziej zaciska się „przeglądarkowa pętla na szyi” osób, które z jakichś przyczyn cały czas nie wdrożyły na swoich stronach szyfrowanego połączenia HTTPS/SSL.

Mamo Testuj, czyli cykl bezpłatnych webinarów o tym, jak rozpocząć karierę testerki oprogramowania

Dostałem od koleżanki link do strony poświęconej cyklowi webinarów „Mamo Testuj, czyli cykl bezpłatnych webinarów o tym, jak rozpocząć karierę testerki” z zapytaniem czy warto. No cóż, odpowiedziałem, że są bezpłatnie, więc jak masz czas i do tego chęć to chyba wiele nie ryzykujesz, choć raczej nie wpisywałbym tego do CV… ;-)

Zastanów się dobrze, gdy trafisz na poradę, by przenieść jakąś wtyczkę do katalogu „mu-plugins” (Must Use) w WordPressie

Dziś na jednej ze stron poświęconych WordPressowi trafiłem na opis pewnej wtyczki, która pozornie może wydawać się ciekawa, ale ostatecznie zadania, które realizuje (dużo) bardziej zaawansowany użytkownik WordPressa chyba prościej i szybciej wykona sam, a użytkownik mniej zaawansowany… nie powinien tego tematu raczej w ogóle ruszać.
Ale nie o wtyczce będzie, bo przy tej okazji pojawiła się sugestia by wtyczkę skopiować do katalogu „must use”, przez co inny użytkownik – bez bezpośredniego dostępu do plików – teoretycznie nie będzie mógł jej wyłączyć. Znam lepsze sposoby zarządzania uprawnieniami, zwłaszcza, że taka operacja niesie ze sobą również potencjalnie poważne konsekwencje…

Brak (automatycznej) aktualizacji WordPressa w panelu zarządzania (WP-Admin)

Dopiero co pisałem o WordPressie 4.9.2, o wstrzymanej „na chwile” aktualizacji 4.9.3, a już mamy wersję 4.9.4, która koryguje problemy z automatyczną aktualizacją, które mogły się pojawić wraz z wersją 4.9.3 – tak przynajmniej wynika z informacji o najnowszej aktualizacji…

WordPress i CVE-2018-6389, czyli prosty sposób na atak DoS (Denial-of-Service, czyli odmowa dostępu) na Twoją stronę

Już miałem zamykać, wszystkich w redakcji puścić do domu, by mogli ten wieczór spędzić z rodzinami, a tu niespodzianka – na liście ostrzeżeń pojawiła się informacja o nowej podatności na WordPressa. Na szczęście relatywnie niegroźnej, bo nie ma tu raczej mowy o jakimś włamaniu, czy wykradaniu danych. Po prostu, gdy komuś podpadliście, to może on spróbować troszkę poddusić Wasz serwer, aż jedyne co będzie można wyświetlić w przeglądarce, to błędy dostępności serwera/strony (5xx, np. 502, 503, 504 czy 522 od CloudFlare).

Parametry „noopener”, „noreferrer” i „nofollow” w linkach na stronach internetowych

Ostatnio stworzyłem dla znajomego pewną wtyczkę do WordPressa, która w momencie wystąpienia pewnych, z góry określonych warunków dokonywała automatycznej modyfikacji linków znajdujących się na stronie (konkretnie w artykule/wpisie), według ustalonych założeń. Przy tej okazji kolega zauważył, że w niektórych linkach pojawia się parametr „noopener”. Zresztą nie tylko on (parametr, nie kolega).

Internetowy lokalizator od IKOL na Androida

Z pewnością każdemu zdarzyło się kiedyś odłożyć telefon nie tam, gdzie zwykle i stracić trochę czasu na poszukiwania. Zastanawianie się nad tym, gdzie znajdują się dzieci, pracownicy lub znajomi to nic nadzwyczajnego. Gdy obok potrzeby poznania lokalizacji danej osoby występuje ograniczone zaufanie – urządzenie, które pozwoli nam „wiedzieć na pewno” jest na wagę złota.
Naprzeciw takim zdarzeniom wychodzą twórcy pojawiających się regularnie aplikacji służących do ustalenia lokalizacji urządzeń. O tym, jakie możliwości daje nam Menedżer Urządzeń Android – od pewnego czasu występujący pod nazwą Google Znajdź Moje Urządzenie – już mogliście u nas przeczytać. Oczywiście nie można zapomnieć też o Mapach Google, które pozwalają udostępniać swoją lokalizację w czasie rzeczywistym. Dziś sprawdzimy, czy ikol X, czyli aplikacja, która jest dedykowanym rozwiązaniem do śledzenia lokalizacji urządzeń pozwala na coś więcej i czy warto ją zainstalować.

Elegant Themes Security Update, czyli wyciekająca „zajawka” chronionego hasłem posta

Wczoraj, z powodu błędu (podatności XSS)  w flashowym module do wgrywania mediów aktualizowaliśmy WordPressa do wersji 4.9.2, dziś z kolei aktualizujemy motywy (Divi, Extra) i wtyczki (Page Builder) od Elegant Themes, zwłaszcza, jeśli korzystacie ze stron zabezpieczonych hasłem (jedna z natywnych funkcji WordPressa).

UploadDir i SaveDir w PhpMyAdmin, czyli import i eksport bazy danych z/do katalogu bezpośrednio na serwerze

Choć operacje na bazach danych MySQL (np. kopia zapasowa) często wykonuje z wiersza poleceń, to lubię też czasem sobie uprościć zadanie, i skorzystać z PhpMyAdmin. Niedawno pomagałem znajomemu skonfigurować ten skrypt na jego serwerze, bo potrzebował zaimportować naprawdę duży plik, co spotykało się z permanentnym oporem. Oczywiście poradziłem mu by skorzystał z konsoli, ale przy okazji pokazałem pewny „trik”, tak by w przyszłości mógł za pomocą PhpMyAdmin importować do bazy pliki już zapisane na serwerze (a ma ich kilka, bo w ramach testów często „żongluje” nimi).

Instalacja certyfikatu SSL w Home.pl na przykładzie usługi Business Cloud Starter i certyfikatu homeSSL

Kilka dni temu napisałem artykuł o moim pożegnaniu z hostingiem współdzielonym. Wspomniałem w nim, że wprawdzie swoich kont tego typu już nie mam, to jednak niektórzy moi klienci z takich usług korzystają, a tym samym cały czas jeszcze mam z nimi styczność. Jedną z takich usług jest Business Cloud Starter w Home.pl, gdzie ostatnio konfigurowałem certyfikat(y) SSL. Oczywiście kupione w Home.pl, a więc pierwszy rok praktycznie darmo, później jak za złoto…

4-NGX-0-429, czyli krótka historia o tym, jak ochrona anty-DDOS IAI-Shop sprawiła, że zrobiłem zakupy u konkurencji

Wczoraj pisałem o błędzie jaki wyświetlał się na jednej ze stron, prawdopodobnie w momencie niedostępności usługi/serwera baz danych. Uznałem, że to przypadek wart pokazania, bo oprócz informacji o przyczynach niedostępności strony wyświetlane były wszystkie dane związane z autoryzacją do serwera MySQL (adres, nazwa użytkownika i hasło, port). Sytuacja potencjalnie bardzo niebezpieczna, choć przy poprawnej konfiguracji dostępu do bazy danych (np. ograniczenie zdalnego łączenia się z bazą danych dla danego użytkownika) nie jest tak źle, i – jeśli podobne dane nie były wykorzystywane nigdzie indziej – to co najwyżej „lekko kompromitująca” dla osób odpowiedzialnych za skrypt/stronę… ;-)
Dziś będzie za to będzie o innym błędzie, tym razem może niezwiązanym bezpośrednio z bezpieczeństwem strony, ale potencjalnie niebezpiecznym z punktu widzenia biznesu, jakim jest sklep internetowy, który ma sprzedawać.

WordPress 1 – 0 „własny CMS”, czyli błąd serwera MySQL wystarczył, by dane logowania do bazy danych poszły w świat

Ile to razy byłem świadkiem (bo staram się nie barć bezpośredniego udziału w takich rozmowach, bo zazwyczaj nie mają one większego sensu) debaty nad wyższości dedykowanego CMSa nad ogólnodostępnym, z otwartym kodem, gdzie każdy może zaglądać i… szukać dziur, co z automatu sprawia, że tego typu rozwiązania są mniej bezpieczne. Oczywiście ciężko mi się z tym zgodzić, bo o ile faktycznie do kodu może zajrzeć każdy, to życie już nie raz pokazało, że odbywa się to z korzyścią dla oprogramowania, bo dzięki temu można skorygować problemy, również te związane z bezpieczeństwem.

CNAME Cross-User Banned (błąd 1014), czyli mapowanie (sub)domen tylko w ramach tego samego konta CloudFlare

Chociaż z CloudFlare aktywnie korzystam od kilku lat, to ostatnio zaskoczyli mnie, bo pierwszy raz spotkałem się z błędem 1044, dotyczącym łączenia za pomocą rekordu CNAME domen znajdujących się u różnych użytkowników tego serwisu.

Rada Ministrów przyjęła projekt Ministerstwa Cyfryzacji, zaostrzający walkę m.in. z oszustwami Premium SMS

Można chyba śmiało napisać, że różnej maści oszustwa polegające na wyłudzeniu pieniędzy za pomocą SMSów o podwyższonej opłacie (Premium SMS) opanowały internet, zwłaszcza media społecznościowe, gdzie mogły rozwinąć skrzydła, dzięki łatwemu i szerokiemu dostępowi do… hm… mniej… doświadczonych użytkowników (eufemizm ;-)).
I tym sposobem mamy setki (tysięcy) lipnych stron z konkursami (wygrałeś iPhone), różnymi „wymyślnymi usługami” (zlokalizuj telefon dziewczyny/chłopaka, przeczytaj jej/jego SMSy), po… właściwie cokolwiek, i tak zawsze znajdzie się ktoś, kto się nabierze.
Walczyć z tym jest dość trudno, bo z uświadamianiem mam wrażenie, idzie jak po grudzie (chyba nie ma tygodnia, bym nie dostał przynajmniej kilku zapytań o to, gdzie moja nagroda itp., tylko dlatego, ze opisuje tego typu przekręty, by… ludzie się nie nabierali na nie). Do tego prawo w tym zakresie jest albo dziurawe, albo nie do wyegzekwowania. Na szczęście jest szansa, że być może coś się w tej materii zmieni(a) na lepsze…

Moje pożegnanie z hostingiem współdzielonym (i nie tylko), czyli wolnoć, Tomku, w swoim domku

Pod koniec grudnia, przy okazji artykułu na temat klonowania serwerów VPS za pomocą programu Rsync i bezpiecznego połączenia SSH wspomniałem, że z końcem 2017 wygasają ostatnie moje konta hostingowe (hosting współdzielony). Wtedy też założyłem, że gdzieś na początku 2018 wrócę do tego tematu, i napisze coś więcej na ten powodów mojej rezygnacji z tego typu usług. I skoro mamy początek 2018, to…

Meltdown i Spectre, czyli podatności na właściwie wszystkie współczesne procesory Intel, ARM i (częściowo) AMD

Rok 2017 pod względem zagrożeń i (kolejnych) luk w oprogramowaniu i sprzęcie na pewno nie był nudny. Wystarczy wspomnieć choćby podatność w WordPressie związaną z REST API, Cloudbleed, czyli podatność w usłudze CloudFlare, błąd CVE-2016-10229, pozwalający na wykonanie w Linuksie kodu z uprawnieniami jądra, ataki oprogramowania typu WannaCry (szyfrowanie danych), możliwość zdalnego wykonania kodu na komputerze za pomocą… napisów do filmu, „bonusowe oprogramowanie” w aplikacji CCleaner, podatność w protokole Bluetooth (BlueBorne), podatność w Intel Managment Engine, czy też KRAK, czyli zbiorze podatności w protokole WPA2 (WiFi), o czym wprawdzie „nie zdążyłem” napisać, ale na szczęście świat się nie zawalił… ;-)
Ale już wygląda na to, że to była tylko rozgrzewka, bo początek roku to właściwie globalna podatność w procesorach – głównie Intela, ale też i AMD, oraz ARM (urządzenia mobilne).

Klonowanie serwerów VPS za pomocą programu Rsync i bezpiecznego połączenia SSH

Z końcem roku wygasa moje ostatnie konto hostingowe, czyli hosting współdzielony. Zostaną mi tylko konta opłacane bezpośrednio przez niektórych klientów (coś o tym będzie niebawem). Wprawdzie z takim zamiarem nosiłem się od dawna, to cały czas utrzymywałem 2 ostatnie konta tego typu, na których trzymałem „spokojniejsze strony”. Pierwsze konto pożegnałem we wrześniu, za kilka dni pożegnam ostatnie. Nie będę ukrywał, że w podjęciu decyzji pomogła mi firma hostingowa (o tym też będzie niebawem). Niezależnie od powodów, całkowita rezygnacja z hostingu współdzielonego oznacza, że musiała rozwinąć się moja flota serwerów VPS…

Firma Zeta Global przejęła Disqusa, czyli dlaczego z niego nie korzystam, i jakie mam(y) alternatywy dla WordPressa

Wczoraj lub przedwczoraj w moim czytniku RSS pojawiło się kilka artykułów o tym, że Disqus (zewnętrzny system komentarzy) został przejęty przez firmę Zeta Global.  Z racji tego, że z Disqusa nie korzystam na żadnej z moich stron, to ta informacja właściwie jest dla mnie neutralna (eufemizm), i właściwie na tym temat ten miałem zamknąć. Zapytał mnie jednak kolega co p tym myślę – mógłbym go zbyć stwierdzeniem, że „nic na ten temat nie myślę” (kolejny eufemizm ;-)), ale z racji tego, że on na swojej stronie korzysta z Disqusa, to postanowiłem, że temat trochę rozwinę…

Wróciła promocja mPay i MasterCard (MasterPass) z biletami komunikacji miejskiej za 1 zł + kilka przemyśleń na temat usługi

Kilka dni temu wystartowała kolejna już w tym roku promocja pozwalająca kupić za pomocą aplikacji mobilnej mPay bilet komunikacji miejskiej za 1 zł. W tym półroczu będzie to już 3 czy 4 reedycja promocji, w trakcie której m.in. MasterCard jako patron akcji dosypuje do koszyka kolejną pulę złotówek. I mimo, że pierwsze notatki i grafiki do artykułu na ten temat przygotowałem chyba w lipcu, to z pewnym względów temat ten na łamach WebInsider.pl pojawia się dopiero teraz…

Loading

Reklama własna

Z księgowością internetową wFirma JPK_VAT to nie problem!

Reklama własna

Z księgowością internetową wFirma JPK_VAT to nie problem!

Reklama własna

Z księgowością internetową wFirma JPK_VAT to nie problem!