Tag: hasło
Wszystkie
Najnowsze
Zapoznałem się z usługą Corgi.pro, i dowiedziałem się, że poziom bezpieczeństwa mojej strony jest bardzo niski, bo… można poznać ustawione publicznie w WordPressie nazwy autorów artykułów
Wczoraj wśród odwiedzanych strona znalazła się strona projektu Corgi, czyli “nowoczesna aplikacja webowa, która zabezpieczy Twoją stronę”. Patrząc na moje zainteresowania (zawodowe), taki slogan mógł zainteresować, nawet jeśli strona niekoniecznie skojarzyła mi się z gotowym projektem, a bardziej czymś w stylu prostej strony MVP, mającej “tymczasowo” łapać pierwszych zainteresowanych projektem, pewnie też w fazie MVP (nie wiem, nie sprawdzałem, ale o tym za chwilę…).
Brak akceptacji nowego regulaminu w przeciągu 3 dni, będzie skutkowało nałożeniem tymczasowej blokady konta Allegro, czyli kolejna próba wyłudzenia danych logowania
O próbach oszustwa piszę dość rzadko. Nie tylko dlatego, że większość jest do siebie podobna i właściwie nie ma co w koło powielać tematu “w nowych szatach”. Ale również dlatego, że mało kiedy jakieś wiadomości tego typu przebiją się – przynajmniej jak ta, cześciowo – przez filtry, a tylko takim, którym się to uda – przynajmniej częściowo, ewentualnie warto poświęcić uwagę, bo to oznacza, że mogą uniknąć filtrów również w skrzynkach innych. I tak na jedną za “ze skrzynek kontrolnych” zawitał e-mail “od Allegro”, z informacją o tym, że “muszę zaakceptować nowy regulamin w ciągu 3 dni, by uniknąć blokady konta”. Klasyka, która jednak czasem działa, jak trafi na podatny grunt.
Uzupełnianiem niestandardowych pól w formularzach (logowania) w Bitwarden jako skuteczna metoda na hasła maskowane
Dwa dni temu napisałem o tym, że w Bitwarden pojawiła się opcja automatycznym uzupełnianiem niestandardowych pól w formularzach (logowania). W krótkim artykule napisałem m.in. to, że wprawdzie jest to istotna opcja, to jest to też “opcja, z której pewnie większość użytkowników nie skorzysta”. Bo to gdzie od razu moje myśli pobiegły, to mniej standardowe okna logowania, gdzie oprócz nazwy użytkownika i hasła trzeba podać jeszcze jakąś dodatkową stałą informację. A takich formularzy chyba za często się nie spotyka. A przecież jest jeszcze jedna oczywista rzecz, gdzie ta opcja się przyda, i to bardzo…
Bitwarden Send to prosty i darmowy sposób na bezpieczne udostępnianie plików i tekstu przez internet
Prawie równo 2 lata temu, bo 15 marca 2019 opublikowałem artykuł o tym, że usługa Firefox Send (szybkie przesyłanie i dzielenie się plikami) wyszła z testów, i jest teraz jeszcze lepsza. Niestety we wrześniu 2020 Mozilla ostatecznie (i już oficjalnie) ogłosiła zamknięcie usługi Firefox Send (oraz Firefox Notes). Przez ten czas, gdy usługa Firefox Send była dostępna, chętnie z niej korzystałem do szybkiego, prostego i – co ważne – bezpiecznego przesyłania plików. Wraz z zamknięciem usługi rozważałem uruchomienie czegoś podobnego na własnym serwerze, zwłaszcza że odpowiednie pliku cały czas są dostępne w serwisie GitHub. W międzyczasie jednak zacząłem korzystać z innej usługi. Kilka dni temu jednak pojawiła się kolejna usługa tego typu, i od razu została moją podstawową…
Bitwarden to świetny menedżer haseł, który nawet w najlepszej cenie z najlepszych, czyli darmowej, jest więcej niż wystarczający
Wczoraj pojawiła się informacja, że od 16 marca usługa menedżera haseł Last Pass w wersji darmowej stanie się dość mało użyteczna, bo będzie działać tylko na jednym urządzeniu, czyli bez synchronizacji między różnymi urządzeniami. Może są osoby, dla których będzie to zmiana (relatywnie) mało odczuwalna, ale raczej większość będzie musiała albo przejść na wersję płatną, lub poszukać alternatywy. I nie mam na myśli KeePass (KeepassXC), chyba że ktoś jest nie tylko masochistą, co lubi sobie utrudniać życie (synchronizacja pliku z hasłami między urządzeniami), ale też i hazardzistą, liczącym na to, że to będzie zawsze działać. Nie mówiąc już o tym, że niezłym wyzwaniem jest wyjaśnienie przeciętnemu użytkownikowi komputera/internetu jak to ma działać… ;-)
Adres e-mail jako automatycznie generowana nazwa użytkownika w sklepie internetowym na WooCommerce (WordPress)
Strony internetowe, sklepy internetowe, czy – zwłaszcza ostatnio – platformy kursowe zazwyczaj stawiam dla innych. Czasem jednak i mi zamarzy się jakaś strona, sklep czy platforma kursowa. I tak obecnie pracuje nad swoim nowym projektem, którego głównym elementem – spajającym pozostałe systemy – będzie WooCommerce. Wczoraj dotarłem do ustawień związanych z kontami użytkowników, a konkretnie ich automatycznym zakładaniem podczas składania zamówienia.
Manage Notification E-mails to wtyczka do WordPressa, dzięki której w prosty sposób zapanujesz nad powiadomieniami e-mail
Kolega, któremu niedawno pomagałem uruchomić sklep internetowy na WooCommerce po krótkiej rozgrzewce i rozbiegu, gdy każde zamówienie i związana z nim aktywność tylko i wyłącznie cieszyła, gdy już się rozkręcił (tutaj pomagała koleżanka z zespołu, która zajmuje się m.in. strategiami i marketingiem) zauważył, że gdy liczba zamówień wzrosła, to choć nadal one cieszą, to już niekoniecznie musi być przez WordPressa informowany o wszystkim, co się dzieje na stronie. A już na pewno nie musi być informowany na bieżąco, za pośrednictwem poczty e-mail, o takich rzeczach, jak rejestracja nowego użytkownika (nowe zamówienie, a więc nowy klient), czy też zmiana hasła przez któregoś z użytkowników.
Logowanie do Profilu Zaufanego za pomocą e-Dowodu i aplikacji eDo App na telefonie (NFC)
Ostatnio pomyślałem, ze pora wymienić dowód osobisty. Pretekstem była niedawna zmiana miejsca zamieszkania, ale głównym powodem były funkcje związane z podpisem cyfrowym dostępne w nowych dowodach (e-Dowód). Co w połączeniu z NFC w telefonie i aplikacją eDo App w telefonie miało usprawnić logowanie do różnych stron administracji publicznej – zwłaszcza tych związanych z działalnością gospodarczą, jak choćby podpisywanie plików JPK – z wykorzystaniem Profilu Zaufanego (PZ). Jak pomyślałem, tak zrobiłem…
Naruszenie ochrony danych osobowych przez wysłanie wiadomości e-mial na błędny adres e-mail, nawet jeśli tak podał go klient
Niedawno pisałem o tym, że przy okazji zbliżającego się końca roku rozmawialiśmy w gronie znajomych m.in. o wycenie produktów cyfrowych, np. w oparciu o kwotę, jaką chcemy uzyskać ze sprzedaży (ile sztuk i w jakiej cenie, by uzyskać 100k). Z początkiem roku tematem głównym w kontekście eCommerce bez wątpienia jest kwestia zmian w prawie, które pod pewnymi warunkami, również w przypadku zakupów “na firmę” przyznają kupującemu prawa dotychczas zarezerwowane tylko dla konsumentów w znaczeniu osób, niedokonujących zakupów na firmę (bo można było oczywiście prowadzić firmę, i nadał robić zakupy jako konsument, po prostu nie kupując “na firmę”). Innym ciekawym tematem jest kara nałożona na Wartę (Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A) przez UODO (Urząd Ochrony Danych Osobowych).
Uwierzytelnienie dwuskładnikowe (2FA) w PhpMyAdmin
I kolejny raz zadziałała u mnie tzw. klątwa wiedzy, i coś, co wydawało mi się oczywiste, jak się okazało, niekoniecznie takie jest. Choć z bazą danych (MySQL) dość często pracuje z wiersza poleceń, to “od czasu do czasu” zaglądam do PhpMyAdmin. Nie tylko, by nie zapomnieć, jak się z niego korzysta. Zwłaszcza że na hostingach to podstawa, a choć sam z nich (od jakiegoś czasu) nie korzystam, to od czasu do czasu trafi się ktoś z prośbą o pomoc, i wtedy często to podstawowy sposób pracy z bazą danych. Korzystam też dlatego, że… po prostu jest wygodny, i są takie operacje, które wygodniej mi “wyklikać”, niż kombinować “w konsoli”. Wygoda wygodą, ale warto też dbać o bezpieczeństwo, zwłaszcza narzędzia takiego jak PhpMyAdmin.
Gdy korzystasz z usługi Amazon SES warto pamiętać, że klucze API to nie to samo co dane logowani do usługi po SMTP
W ten weekend kolega postanowił – za moją radą, bazująca na moim doświadczeniu – przejść z wysyłką wiadomości e-mail do usługi Amazon SES (Amazon Simple Email Service) działającej w ramach platformy Amazon AWS (Amazon Web Services). Przejście w sklepie (WordPress i WooCommerce) pilotowałem, tak by odbyło się bez problemów, i na tym temat się zakończył. Przynajmniej do niedzieli, gdy dostałem od kolegi informacje, że wprawdzie ze sklepu wiadomości wychodzą bez problemu, to już PHPMailer (prosty landing page z formularze) jak i MSMTP (wiadomości e-mail z serwera) nie chcą działać, wyrzucając błąd autoryzacji. I to pomimo tego, że na wszelki wypadek kolega wygenerował nowego użytkownika, z nowymi danymi logowania (klucze).
Szybsze wdrożenie (kolejnego) WordPressa z wykorzystaniem własnego WordPressa bazowego i repozytorium w serwisie GitHub
Wprawdzie to nie jest tak, że nie ma dnia, bym nie stawiał jakiegoś WordPressa, ale na pewno robię to dość często. A z racji tego, że tak jak dodanie domeny do serwera (Nginx), ewentualne ustawienie PHP Pools, oraz aktywacja certyfikatu SSL od Let’s Encrypt, tak też wgranie samego WordPressa jest czynnością w większości przypadków – przynajmnie jeśli chodzi o wstępny zakres prac – dość mocno powtarzalną, to mam to wszystko zautomatyzowane i/lub oskryptowane. Kilka dni temu postanowiłem przejść z wgrywania WordPressa z niezbędnymi wtyczkami “na start” z repozytoriów WordPress.org za pomocą WP-CLI, na gita, a konkretnie GitHuba.
Vimeo (i YouTube) jako hosting płatnych materiałów wideo, np. dla kursów online, czyli zabezpieczenie dostępu do treści w praktyce
Niecałe 2 lata temu napisałem artykuł o tym, że pod hosting płatnych materiałów wideo zdecydowanie lepiej sprawdzi się płatna oferta Vimeo niż np. serwis YouTube. Wtedy skupiłem się głównie na tym, dlaczego tak jest, jakie zalety ma akurat Vimeo nad YouTubem. Przynajmniej jeśli chodzi o zabezpieczenie materiałów wideo, bo oczywiście, jeśli chodzi o zasięgi (dla bezpłatnych filmów), to nic się nie zmieniło, i YouTube nadal jest bezkonkurencyjny. Z powodu ograniczeń i ogólnych zmian związanych z koronawirusem (SARS-CoV-2/Covid-19) obserwuję dużo większe niż zwykle zainteresowanie m.in. tworzeniem kursów online. Dlatego w najbliższym czasie zapewne pojawi się kilka artykułów związanych z przygotowywaniem kursów online oraz samej platformy kursowej. Dziś wracam do tematu hostingu materiałów wideo (nie tylko) na potrzeby kursów online.
Dropbox Transfer, czyli jakby Firefox Send, tylko z naciskiem na wersję płatną i chyba… kilka lat za późno
Od kilku dni ikona DropBoxa znajdująca się na pasku zadań domagała się mojej uwagi, ale z racji, że z tej usługi korzystam coraz rzadziej, to i o moją uwagę nie tak łatwo. W końcu spojrzałem, i okazało się, że to zaproszenie do nowej usługi działającej w ramach DropBoxa, czyli DropBox Transfer. Zaproszenie przyjąłem, choćby po to, by sprawdzić, jak wygląda w konfrontacji choćby z Firefox Send…
Przeglądarka Firefox poinformuje, jeśli ze strony, z której aktualnie korzystamy, był (znany) wyciek danych
Kolejna odsłona przeglądarki Firefox – oznaczona numerem 69 – przynosi kolejną porcję zmian i usprawnień związanych z zarządzaniem prywatnością. Ale na tym zmiany się nie kończą, bo pojawił się nowy komunikat, który informuje o tym, że z przeglądanego właśnie serwisu był wyciek danych. Niby drobiazg, ale może trochę namieszać…
Cloudflare i Page Rules w praktyce, czyli historia pewnego ataku na skrypt/stronę logowania do WordPressa (WooCommerce)
W drugiej połowie lipca, w piękny piątkowy poranek, po porannym spacerze z psami usiadłem do komputera, bo na mojej administracyjnej skrzynce e-mail pojawiły się powiadomienia m.in. ze skryptu SysWatch, oraz z aplikacji Monit, czyli narzędzi, które wykorzystuje do monitorowania zasobów serwera. A z racji tego, że z kufelkiem tego dnia siedział obok kolega, który coś tam kupa (rozróżnia hosting od domeny ;-)), to pomyślałem, że od razu pokaże mu, jak można w relatywnie prosty sposób zdiagnozować źródło i wyeliminować problem.
AOMEI Backupper to nadal dobry i bezpłatny (wersja standard) program do kopii zapasowych m.in. Windowsa, ale rys coraz więcej
Od dość dawna do kopii zapasowej (BackUp) systemu operacyjnego Windows korzystam z programu AOMEI Backupper (jedno z 2 rozwiązań, tak na wszelki wypadek). Również ten program do niedawna polecałem znajomym, którzy szukali czegoś prostego, i co najwazniejsze – skutecznego. I choć sam z programu jeszcze nie zrezygnowałem, to program polecam coraz rzadziej…
Migracja systemu Windows 10 z HDD na SSD za pomocą programu WinToHDD, czyli druga młodość mojego wysłużonego komputera
Niedawno postanowiłem mój podstawowy komputer (stacjonarny) trochę zmodernizować, odsuwając na okres “gdzieś po wakacjach” nieuchronnie zbliżający się moment wymiany głównych elementów (płyta główna, procesor, RAM i karta graficzna). Zwłoka wynika z różnych rzeczy, również pewnej pokusy, by pierwszy raz od… zawsze, postawić na platformę AMD (Ryzen 3. generacji), zamiast Intela. Z racji tego, że RAMu mam raczej wystarczająco (16 GB), to uznałem, że najlepszym krokiem będzie zamiana dysku HDD na SSD. I już wiem, że była to bardzo dobra decyzja, i komputer faktycznie dostał solidnego kopa…
Dodatkowa weryfikacja dostępu do Konta Google numerem telefonu, czyli ochrona jakby nie do końca konsekwentna
Podczas jednej z ostatnich migracji poczty klienta z Google (G Suite/Gmail) na inne rozwiązanie rutynowo logowałem się na kolejne konta w Google, by ustawić tam przekierowania, upewnić się, że jest dostęp w ramach protokołu IMAP (migracji dokonywałem za pomocą opisywanego niedawno narzędzia imapsync, dostępnego również bezpłatnie w wersji online) i takie tam “rutynowe aktywności”. Podczas logowania do kont Google jak to Google, czasem wymagało ode mnie dodatkowej – poza loginem i hasłem – weryfikacji. Słusznie. Tylko w większości przypadków dodatkową weryfikację udało mi się przejść bez angażowania administratora usługi/domeny, ale i nawet właściciela skrzynki…
Kolejny przekręt na Facebooku, czyli “zabezpiecz swój dostęp do profilu na Facebooku, wyślij w odpowiedzi swoje aktualne hasło”
Przekrętów nie tylko w internecie, i nie tylko na Facebooku pełno, stąd nawet nie mam ambicji napisać o większości z nich (choć z racji tego, że to często kolejne literacje tego samego pomysłu, to…). Ale raz na jakiś czas trafia się jakaś perełka, czy coś, co sprawia, że ten czy inny przekręt ląduje na naszych łamach. Tym razem Facebook i próba wyłudzenia hasła do konta…
Wesprzyj nas!
Promocja własna
Najnowsze wpisy
Poznaj aplikację DroneTower, czyli nowy (i teoretycznie obecnie jedyny) sposób zgłaszania lotów dronami
WordPress 6.5 i “Requires Plugins”, czyli autor wtyczki może teraz w prosty sposób określić, jakie wtyczki są niezbędne (wymagane), do działania jego wtyczki
Przegląd nowości w aktualizacji 01.03.1300 oprogramowania kontrolera DJI RC (RM330)
To właściwie koniec bezpłatnej wersji Jetpack Stats, czyli statystyk dostarczanych przez wtyczkę/usługę Jetpack do WordPressa
Krajowy System Informacji Dronowej (KSID), czyli usługi cyfrowe dla BSP w nowej odsłonie
Promocja własna
Promocja własna
