Tag: ochrona
Wszystkie
Najnowsze
Zero Trust od Cloudflare, czyli prosty i bezpieczny sposób na dostęp do lokalnych zasobów z zewnątrz, bez publicznego adresu IP i otwierania portów na routerze
Z racji tego, że od dawna korzystam z internetu mobilnego, jako podstawowego dostępu, to jedną z konsekwencji tego, jest brak publicznego (i najlepiej stałego) adresu IP. Niby da się, bo tak miałem w Otvarta, ale nasze drogi rozeszły się i raczej nie planuję, by to miało się zmienić. W każdym razie w Orange Flex, gdzie obecnie „siedzę”, mam tylko prywatny adres IP, czyli jestem za NATem. Tak więc by uzyskać dostęp do lokalnych zasobów z zewnątrz (np. połączenie po SSH do różnych urządzeń, zdalny dostęp do Home Assistant, czy paneli zarządzania alarmem i kamerami), muszę korzystać z alternatywnych do publicznego adresu IP rozwiązań. I jednym z takich rozwiązań jest usługa Zero Trust od Cloudflare.
Krótka historia o tym, jak za pomocą jednego znaku sprawić, że rekord SPF w ustawieniach domeny chroni przed podszywającymi się SPAMerami tylko pozornie
Miałem zacząć pisać inny artykuł, ale na jedną z moich testowych skrzynek wpadł właśnie SPAM, a konkretnie to nawet SCAM, z próbą oszustwa. Niby od „WP Wsparcie”, o temacie „Otrzymałem płatność w Twoim Compte. Czy zweryfikuj”, ale wysłany z adresu w domenie, która raczej nie wyglądała na „klasyczny wałek”. I faktycznie, pod domeną, z której przyszła wiadomość z próbą oszustwa znajduje się… działający sklep internetowy (sic!). Tak więc zaciekawiło mnie, czy przypadkiem, pomimo 2024 trafił się zepsuty rodzynek, np. bez poprawnie skonfigurowanego choćby rekordu SPF, że filtry antyspamowe przepuściły taką wiadomość?
Zapoznałem się z usługą Corgi.pro, i dowiedziałem się, że poziom bezpieczeństwa mojej strony jest bardzo niski, bo… można poznać ustawione publicznie w WordPressie nazwy autorów artykułów
Wczoraj wśród odwiedzanych strona znalazła się strona projektu Corgi, czyli „nowoczesna aplikacja webowa, która zabezpieczy Twoją stronę”. Patrząc na moje zainteresowania (zawodowe), taki slogan mógł zainteresować, nawet jeśli strona niekoniecznie skojarzyła mi się z gotowym projektem, a bardziej czymś w stylu prostej strony MVP, mającej „tymczasowo” łapać pierwszych zainteresowanych projektem, pewnie też w fazie MVP (nie wiem, nie sprawdzałem, ale o tym za chwilę…).
Kopie zapasowe i aktualizacje WordPressa raz w miesiącu? Jako dodatek można, ale bezpieczeństwa strony na tym nie opieraj
By lepiej śledzić, co się dzieje „na rynku”, mam m.in. specjalny e-mail, na który spływają przeróżne newslettery. O ich przydatności nie będę się wypowiadał, ale w większości ich czytanie sprowadza się oznaczenia jako przeczytane. Czasem jednak zerknę, bo w końcu po coś się do nich zapisałem. I tak ostatnio trafiłem na newsletter już w tytule zapowiadający promocję na opiekę nad WordPressem, więc choćby z ciekawości, zerknąłem. Gdy w końcu dotarłem „do mięska”, to trochę… hm… Uznałem jednak, że nie tylko inspiracji z tej oferty nie będę brał, nie będę też jej publicznie ganił, to powinienem.
Google (tak jakby) ukrywa liczbę łapek w dół pod filmami na YouTube, a Return Youtube Dislike (tak jakby) je przywraca
Niedawno, po kolejnych eksperymentach i analizach w tym zakresie Google ogłosiło, że wprawdzie łapki w dół pod filmami zostają, to nie będzie podawana liczba takowych łapek. Jak zapowiedzieli tak zrobili, i łapki zniknęły. Ale zrobili to tak dobrze, że szybko powstały wtyczki do najpopularniejszych przeglądarek (oraz skrypt do wtyczki Tampermonkey), dzięki którym licznik łapek w dół pod filmy wrócił. Przynajmniej dla tych, dla których jest to istotne. Ja dla testów zainstalowałem, a po testach odinstalowałem. Bo choć łapkę w dół zdarza mi się dać, to raczej traktuję to jako informację dla twórcy, oraz algorytmów YouTube, by takich filmów pokazywać mi mniej. Ale sądząc po wrzawie w internecie na ten temat, dla wielu użytkowników najwidoczniej łapki w dół są nie tylko sensem korzystania z YouTube, ale być może i sensem istnienia samego serwisu… ;-)
Cloudflare i błąd 524, gdy skrypt (np. PHP) nie zdąży zakończyć swojego działania w mniej niż 100 sekund
Napisał do mnie wczoraj kolega, że walczy ze swoim webserwerem, bo nie może go zmusić do wykonania operacji w PHP. A konkretnie skutecznego wykonania operacji, bo ta się zaczyna, ale każdorazowo kończy się błedem – skończył się czas na jej wykonanie. I choć na serwerze wszędzie gdzie się tylko da ustawione 300 sekund, to każdorazowo operacja kończy się błędem 524 po 100 sekundach.
Facebook (copy)Rights Manager, czyli monitorowanie naruszeń praw autorskich na Facebooku (prawie) dla każdego
W internecie „pożyczanie sobie” czyjejś pracy jest niestety standardem do tego stopnia, że pewnie większość „pożyczaczy” nawet nie wie, że robi coś, czego robić nie powinna. Oczywiście w największym stopniu – chyba od zawsze – dotyczy to gier i programów, czy filmów i muzyki. Ale wraz z tzw. web 2.0, czyli powstaniem serwisów, gdzie kontent (treści) generują sami użytkownicy, na masową skalę pojawiła się kolejna gałąź, czyli „pożyczanie” (a dosadniej pisząc – kradzież) tekstów czy też zdjęć i grafik. W końcu memy na czymś muszą bazować, a i w mediach społecznościowych trzeba czymś się pochwalić… Tak więc mamy serwisy, które – eufemistycznie mówiąc – przymykają na to oko, bo na udostępnianiu przez ich użytkowników „pożyczonych” materiałów polega – mniej lub bardziej bezpośrednio – ich model biznesowy. Inne serwisy z kolei starają się – mniej lub bardziej udowlnie – w jakiś sposób nad tym zapanować. I nawet jeśli nie robią tego z czystego serca, a z potrzeby ochrony biznesu, to i tak – nie tylko jako twórca – warto to docenić. Choć na Facebooku tego typu mechanizmy – wyłapywania naruszeń praw autorskich – zapewne funkcjonują od dawna, to do tej pory były dostępne w większości dla „tych większych”. Teraz to się ma zmienić…
Ochrona SSH, RDP i Minecraft w Cloudflare, czyli usługa Cloudflare Spectrum – w dość ograniczonej formule, ale jednak – pojawiła się w planach Pro i Business
Dwa lata temu w Cloudflare pojawiła się usługa Spectrum, pozwalająca objąć ochroną nie tylko ruch HTTP (port 80) i HTTPS (port 443), ale właściwie każdy inny, czy to TCP, czy UDP, na właściwie dowolnym porcie (0/1-65535). Choć zwrot „pojawiła się” to może lekkie nadużycie, bo usługa była (i nadal jest) dostępna tylko w najwyższym planie, czyli Enterprise, którego nawet nie znam ceny, bo ona jest ustalana indywidualnie (w każdym razie w cenniku się kosztem usługi w tym wariancie nie chwalą). Od wczoraj sytuacja się trochę zmieniła, bo usługa pojawiła się we wszystkich płatnych planach. Z tym że w dość mocno ograniczonej formule…
Nienapisane 2019.11.27: Flan Scan od Cloudflare, Google Site Kit dla WordPressa, Kali Linux 2019.4, TIDAL na 120 dni za 0,99 zł, Steam Controller za 22 zł
Kilka dni temu pisałem o tym, że w ramach „rozgrzewania newslettera” wystartowaliśmy z nową serią wiadomości, w której będą się pojawiały w dość mocno skondensowanej formule informacje na tematy, które wprawdzie uznaliśmy za ważne, ale z różnych przyczyn nie powstaną z nich artykuły (np. niewielka objętość informacji, a lanie wody „pod wyszukiwarki” to nie nasza bajka). W komentarzach dostałem pytanie, czy tego typu informacje będą pojawiać się również na stronie, jako „zbiorczy artykuł”. Odpowiedziałem, że nie, raczej nie będą i tak jest/będzie. Z małymi wyjątkami od czasu do czasu. I taki wyjątek będzie też dziś.
Czym jest atak DDoS i jak się przed nim uchronić?
Jeżeli w nocy z 6 na 7 września próbowałeś zaczerpnąć nieco wiedzy z Wikipedii, prawdopodobnie przeżyłeś niemały szok. Wszystko wskazywało na to, że największa encyklopedia świata przestała działać! Tak po prostu, z dnia na dzień. Jak mogło do tego dojść? Dziś wiemy, że za całym zamieszaniem stał atak DDoS. Co kryje się za tą tajemniczą nazwą?
SparkPost zawiesił mi konto za link w wiadomości z formularza kontaktowego, czyli choć mogę zrozumieć, to im już podziękuję
Mam taką zasadę, że jeśli nie wydarzy się nic naprawdę nadzwyczajnego (ew. planowanego z jakichś przyczyn na taką porę), to wieczorem nie pracuję. Nie pracuje, to również znaczy, że w większości przypadków nie korzystam z komputera. Nie tylko dlatego, że w moim przypadku ciężko odróżnić co jest pracą a co nie… Wczoraj wieczorem musiałem jednak usiąść do komputera, bo dostałem e-mail od SparkPost, a konkretnie ichniejszego „compliance”.
Cloudflare i Page Rules w praktyce, czyli historia pewnego ataku na skrypt/stronę logowania do WordPressa (WooCommerce)
W drugiej połowie lipca, w piękny piątkowy poranek, po porannym spacerze z psami usiadłem do komputera, bo na mojej administracyjnej skrzynce e-mail pojawiły się powiadomienia m.in. ze skryptu SysWatch, oraz z aplikacji Monit, czyli narzędzi, które wykorzystuje do monitorowania zasobów serwera. A z racji tego, że z kufelkiem tego dnia siedział obok kolega, który coś tam kupa (rozróżnia hosting od domeny ;-)), to pomyślałem, że od razu pokaże mu, jak można w relatywnie prosty sposób zdiagnozować źródło i wyeliminować problem.
Własne strony błędów (custom pages) w Cloudflare (tylko) dla użytkowników usługi w wersji płatnej
O usłudze Cloudflare wielokrotnie, zazwyczaj starając się w danym poradniku opierać na możliwościach usługi w wersji bezpłatnej. Tym razem będzie inaczej – by skorzystać przedstawianych tu informacji, należy dla danej domeny mieć aktywny przynajmniej plan „pro”, kosztujący 20 $ miesięcznie. I tego nie przeskoczymy.
Poznaj .*(?:.*=.*) – wyrażenie regularne (RegEx), które zatrzymało Cloudflare, a wraz z nimi sporą część internetu
Na początku lipca pisałem o awarii usługi Cloudflare, przez co spora część internetu (strony WWW) przestała działać. Wspomniałem wtedy też, że ekipa z Cloudflare zapowiedziała, że niebawem napisze coś więcej na temat samego incydentu. I jak zapowiedzieli, tak zrobili…
Jeśli planujesz płacić kartą płatniczą Nest Banku poza granicami UE, to może powiadomić o tym bank za pomocą poczty e-mail
Od kilku dni, podczas korzystania z systemu transakcyjnego w Nest Banku mój wzrok natrafiał na baner/komunikat z zapytaniem, czy planuje płacić karta płatniczą poza granicami UE. Jakoś tak niespecjalnie budziło to moje zainteresowanie, bo takich planów nie mam. Ostatecznie jednak postanowiłem sprawdzić, co ciekawego znajdę w rozwinięciu tego zapytania (ankieta, porada…).
Awaria Cloudflare, czyli wyrażenie regularne (RegEx), które „na chwilę” położyło sporą część internetu (błąd 502 Bad Gateway)
Wczoraj, gdzieś tak w okolicach godziny 15-16 zaczęły spływać do mnie kolejne alerty związane z niedostępnością kolejnych stron. Było to o tyle nietypowe, że strony te znajdowały się nie tylko na różnych serwerach (wykluczony problem z samym serwerem), w różnych lokalizacjach (wykluczony problem związany z lokalizacją serwerowni), ale i u różnych dostawców tego typu (VPSy) usług. Jak się szybko okazało, problem nie dotyczył tylko mnie, a sporej części internetu. I to do tego stopnia, że niektórzy zaczęli łączyć ten problem z kryzysem USA – Iran (Chiny, Rosja), zwłaszcza że w tym samym czasie również w tym kontekście miały miejsce jakieś dziwne ruchy…
Festiwal Piwowarów Domowych 2019, czyli piwa, które mogłyby zawstydzić niejeden browar, a do tego fantastyczna atmosfera
W ostatnią sobotę (15 czerwca 2019) w Centrum Kongresowym EXPO XXI (hala 4, ul. Prądzyńskiego 12/14) odbyła się druga edycja Festiwalu Piwowarów Domowych. Na pierwszej być nie mogłem z różnych przyczyn, ale tym razem udało się zmontować ekipę i… na pewno za rok też będziemy!
Procedury w e-biznesie, czyli zadbaj o bezpieczeństwo (nie tylko) swojej infrastruktury IT lepiej niż ekipa z WPML
Od kilku dni obserwuje małe zamieszanie wokół wtyczki WPML, która umożliwia relatywnie łatwe tworzenie na WordPressie stron wielojęzykowych. Sam może nie jestem jakimś specjalnym fanem tej wtyczki, ale nie można nie zauważyć, że jest to rozwiązanie dość popularne, zwłaszcza, przy większych projektach (nie tylko dlatego, że jest płatne). Zaczęło się od wiadomości o prawdopodobnej podatności we wtyczce, z czym miały wiązać się dziwne e-maile, jakie zaczęli otrzymywać użytkownicy wtyczki. W pewnym momencie głos zabrali autorzy wtyczki (głównie Amir Helzer), informując o tym, że to nie kwestia podatności w samej wtyczce, a działania byłego pracownika, który miał cały czas dostęp do różnych elementów infrastruktury wykorzystywanej przez autorów WPML. Ciężko jednak nie odnieść wrażenia, że to nie tylko wina niecnych działań byłego pracownika, ale też i procedur w samej firmie.
Weszły w życie zmiany prawa telekomunikacyjnego m.in. w zakresie usług Premium Rate (np. Premium SMS)
12 stycznia 2018 pisałem o tym, że Rada Ministrów przyjęła projekt Ministerstwa Cyfryzacji, zaostrzający walkę m.in. z oszustwami Premium SMS. Na wejście w życie ustawy musieliśmy trochę poczekać, ale się doczekaliśmy – od wczoraj SMSowi naciągacze powinni mieć trochę trudniej, a nieuważni użytkownicy telefonów w domyślnej konfiguracji nie dostaną po kieszeni mocniej niż za 35 zł.
Nazwa.pl dołączyła do grona sponsorów projektu Let’s Encrypt, czyli bezpłatnych certyfikatów SSL dla stron internetowych
Nie jestem fanem Nazwa.pl (tak samo zresztą jak Home.pl), czemu nie raz dałem wyraz, choćby w maju, gdy krytykowałem za sposób, w jaki Nazwa.pl urządziła użytkowników ich sklepów internetowych Sklepicom i Sklepicom PRO. Ale to nie jest tak, że jest to krytyka totalna i bezwarunkowa. A gdy trzeba jestem w stanie pochwalić. Tak jak teraz, za to, że Nazwa.pl dołączyła do sponsorów bezpłatnych certyfikatów SSL Let’s Encrypt.
Wesprzyj nas!
Promocja własna
Najnowsze wpisy
W Home Assistant 2025.6 w końcu mamy przypisanie struktury menu bocznego (sidebar) do konta użytkownika, więc teraz pora jeszcze na kolory (motyw)
Prosta zmiana kontenera uprzywilejowanego na nieuprzywilejowany i odwrotnie w Proxmox za pomocą (bezpłatnego) skryptu
Zawieszony odtwarzacz mediów ESPHome I2S w Home Assistant, czyli problem z przejściem w trym spoczynku po komunikacie TTS
Wtyczka BackWPup w wersji 5.x to doskonały przykład, jak wylać dziecko z kąpielą i z relatywnie świetnego narzędzia zrobić właściwie bezwartościowego gniota
Testowy przelew w Bitcoinach z najniższą prowizją, czyli krótka historia o tym, jak zamroziłem BTC na (ponad) rok
Promocja własna
Promocja własna