Tag: logowanie dwuskładnikowe
Wszystkie
Najnowsze
Tutor LMS v2.1.9 i v2.1.10 z nowymi opcjami dotyczącymi bezpieczeństwa, czyli wtyczka od kursów chce “udawać” wtyczkę od bezpieczeństwa
W ostatnich dniach wtyczka do kursów internetowych (dla WordPressa) Tutor LMS miała 2 aktualizacje. I choć nowości znaczące, to dość specyficzne i raczej wykraczające poza to, czego oczekiwałbym od takiej wtyczki. Zwłaszcza że pewnych niedoskonałości w tej wtyczce jest jeszcze sporo i wolałbym, by na tym twórcy (programiści) się skoncentrowali. Jednak szybko się okazało, że choć z nowych funkcji korzystać nie zamierzam, to aktualizacja wymagała ode mnie interwencji w “firmowym” (Webinsider) sklepie internetowym. Ale po kolei…
Bitwarden to świetny menedżer haseł, który nawet w najlepszej cenie z najlepszych, czyli darmowej, jest więcej niż wystarczający
Wczoraj pojawiła się informacja, że od 16 marca usługa menedżera haseł Last Pass w wersji darmowej stanie się dość mało użyteczna, bo będzie działać tylko na jednym urządzeniu, czyli bez synchronizacji między różnymi urządzeniami. Może są osoby, dla których będzie to zmiana (relatywnie) mało odczuwalna, ale raczej większość będzie musiała albo przejść na wersję płatną, lub poszukać alternatywy. I nie mam na myśli KeePass (KeepassXC), chyba że ktoś jest nie tylko masochistą, co lubi sobie utrudniać życie (synchronizacja pliku z hasłami między urządzeniami), ale też i hazardzistą, liczącym na to, że to będzie zawsze działać. Nie mówiąc już o tym, że niezłym wyzwaniem jest wyjaśnienie przeciętnemu użytkownikowi komputera/internetu jak to ma działać… ;-)
Szybsze wdrożenie (kolejnego) WordPressa z wykorzystaniem własnego WordPressa bazowego i repozytorium w serwisie GitHub
Wprawdzie to nie jest tak, że nie ma dnia, bym nie stawiał jakiegoś WordPressa, ale na pewno robię to dość często. A z racji tego, że tak jak dodanie domeny do serwera (Nginx), ewentualne ustawienie PHP Pools, oraz aktywacja certyfikatu SSL od Let’s Encrypt, tak też wgranie samego WordPressa jest czynnością w większości przypadków – przynajmnie jeśli chodzi o wstępny zakres prac – dość mocno powtarzalną, to mam to wszystko zautomatyzowane i/lub oskryptowane. Kilka dni temu postanowiłem przejść z wgrywania WordPressa z niezbędnymi wtyczkami “na start” z repozytoriów WordPress.org za pomocą WP-CLI, na gita, a konkretnie GitHuba.
Julio Casal (4iQ) trafił na bazę 1,4 miliarda loginów i haseł zapisanych jawnym tekstem (+ ataki m.in. na WordPressa)
Na początku grudnia Julio Casal z firmy 4iQ opublikował artykuł o natrafieniu na bazę zawierającą ponad 1,4 miliarda par “login i hasło” zapisanych jawnych tekstem. Oczywiście jest to znaczące odkrycie/wydarzenie, ale w świetle choćby tylko ostatnich “wpadek tego typu” sprawia wrażenie na tyle powszechnego zjawiska, że nawet nie zamierzałem o tym pisać.
Zdanie zmieniłem, bo nie dość, że mamy tu hasła zapisane w jawnym tekście, to jeszcze temat podchwyciły “serwisy horyzontalne”, które oczywiście nie szczędziły alarmistycznych nagłówków. I o ile problem faktycznie istnieje, to dla przeciętnego użytkownika internetu większym zagrożeniem mogą się okazać serwisy, które korzystając z tej okazji oferują “sprawdzenie, czy nasze dane nie wyciekły”.
Na dobry początek dnia mój telefon (Android) poprosił mnie o ponowne zalogowanie do wszystkich kont Google
Dziś rano przywitała mnie “miła niespodzianka” na telefonie – musiałem dokonać ponownego logowania dla wszystkich konto Google jakie mam skonfigurowane w telefonie. W tym czasie dostałem też pierwsze zapytania od znajomych, których tez spotkała taka “niespodzianka” z pytaniem, czy jest to powód do zmartwień/obaw…
Z radością przywitałem niezależny Profil Zaufany, i raczej nie będę tęsknił za platformą ePUAP
Weekend – taki przedłużony, bo od samego rana w piątek, do poranka w poniedziałek – spędziłem w Trójmieście, z naciskiem na Gdynię, i WordCamp, który był głównym powodem mojego wyjazdu.
Po powrocie “dzień pracy” zacząć musiałem od zapłaty kolejnego podatku, dla niepoznaki zwanego ZUSem – samą deklarację ZUS DRA wygenerowałem szybko i sprawnie w serwisie wFirma, gdzie prowadzę księgowość krajowej działalności gospodarczej. Od razu pobrałem też plik ZUS KEDu, dzięki któremu szybko mogę zaimportować deklarację do Platformy Usług Elektronicznych ZUS (PUE ZUS).
I tu niespodzianka – wiedziałem, że w weekend była jakaś przerwa techniczna związana z platformą ePUAP, i jak się okazuje, prawdopodobnie było to związane z wyodrębnieniem Profilu Zaufanego do oddzielnej usługi…
Logowanie przez SSH/SCP z wykorzystaniem certyfikatu (klucza prywatnego i publicznego)
Jakiś czas temu pisałem o zdalnej synchronizacji danych między różnymi komputerami/serwerami przy wykorzystaniu programu rsync i połączenia po SSH. Przy tej okazji wspomniałem, że do uwierzytelnienia przy połączeniach (SSH/SCP) można wykorzystać również certyfikaty/pliki-klucze, dzięki czemu może być nie tylko bezpieczniej, ale i – przy rezygnacji z hasła dla pewnych zadań – wygodniej (da się też w ten sposób zautomatyzować połączenia, np. na potrzeby skryptów). I właśnie logowaniu do/przez SSH/SCP z wykorzystaniem kluczy chciałbym poświęcić ten wpis…
Nie panikuj, jeśli się zorientujesz, że do Facebooka możesz się zalogować nawet jak pomylisz się w adresie e-mail
Zadzwoniła dziś do mnie koleżanka, z którą kiedyś pracowałem (jako człowiek od IT i ogólnie pojętego bezpieczeństwa), że w jej biurze rozeszła się z szybkością błyskawicy (nie wiem czy chodziło o grzmot czy błysk) informacja, że na swoje konto na Facebooku może się zalogować nawet jeśli poda się błędny adres e-mail (login).
Oczywiście wszyscy u niej w biurze rzucili się do swoich (służbowy, a jak) komputerów by najpierw się wylogować z Facebooka (w końcu dla wielu to podstawowe narzędzie pracy biurowej ;-)), a następnie zmienić literkę czy dwa w adresie e-mail spróbować się zalogować ponownie – i za każdym razem, i każdemu się udało…
No i takim sposobem dział kadr w jednej z warszawskich firm wykrył “poważną dziurę bezpieczeństwa” na Facebooku – a przynajmniej tak im się wydawało ;-)
Korzystasz ze wspólnego konta Google na urządzeniu z systemem Android? Przeczytaj, jak to się może skończyć
Bez wnikania w zbytnio szczegóły – w ramach wprowadzenia – napiszę tylko, że zostałem ostatnio poproszony o pomoc w jednym z projektów realizowanych m.in. przez mojego znajomego.
Jako jedno z podstawowych narzędzi “pracy grupowej” wykorzystują oni wspólne konto Google (wraz z całym ekosystemem usług), co z doświadczenia wiem, jest dość popularne (zwłaszcza na uczelniach, gdzie często takie konto służy m.in. do wymiany notatek/materiałów z zajęć).
I mimo, że nie jestem szczególnym fanem takiego rozwiązania, bo do tego lepiej wykorzystać bardziej wyspecjalizowane “w pracy grupowej” narzędzia, to nie mam też nic przeciwko, poza jedną kwestią – bezpieczeństwa telefonu z system Android…
Wesprzyj nas!
Promocja własna
Najnowsze wpisy
Poznaj aplikację DroneTower, czyli nowy (i teoretycznie obecnie jedyny) sposób zgłaszania lotów dronami
WordPress 6.5 i “Requires Plugins”, czyli autor wtyczki może teraz w prosty sposób określić, jakie wtyczki są niezbędne (wymagane), do działania jego wtyczki
Przegląd nowości w aktualizacji 01.03.1300 oprogramowania kontrolera DJI RC (RM330)
To właściwie koniec bezpłatnej wersji Jetpack Stats, czyli statystyk dostarczanych przez wtyczkę/usługę Jetpack do WordPressa
Krajowy System Informacji Dronowej (KSID), czyli usługi cyfrowe dla BSP w nowej odsłonie
Promocja własna
Promocja własna