Tag: ochrona
Wszystkie
Najnowsze
Enumeracja nazw użytkowników w WordPressie oraz archiwum użytkownika, czyli zmieniamy… pseudonim użytkownika
WordPress jak każdy popularny system narażony jest na ataki. Część ataków opiera się na lukach czy to w samym WordPressie (relatywnie rzadko), część we wtyczkach i motywach, w których znaleziono jakąś podatność. Ale pewnie największa część ataków – nie licząc SPAMu w komentarzach, który zapewne dominuje – dotyczy bezpośredniego logowania do panelu zarządzania stroną, po uprzednim odkryciu loginu i hasła, co często nie jest specjalnie trudno (admin:admin ;-)).
CloudFlare Stream, czyli CloudFlare wkracza na rynek profesjonalnego hostingu materiałów wideo
W połowie czerwca napisałem artykuł o tym, że jeśli ktoś szuka hostingu dla płatnych materiałów wideo zdecydowanie lepiej sprawdzi się płatna oferta Vimeo niż np. serwis YouTube. Jednak podmiotów świadczących tego typu usługi (hosting wideo) cały czas przybywa, bo i rynek cały czas rośnie, cały czas się rozwija, i wymaga coraz więcej. Niedawno do tego grona dołączył serwis CloudFlare, ze swoją usługą Stream…
WordPress File Delete to Code Execution, czyli kasowanie właściwie dowolnych plików poprzez ingerencję w standardowy proces usuwania multimediów
Dziś, na blogu RIPS Technologies pojawił się opis dość ciekawej podatności w WordPressie, która pozwala skasować właściwie dowolne pliki WordPressa (i ew serwera, jeśli procesor PHP ma do nich tego typu dostęp) użytkownikom, którzy mogą zarządzać plikami multimedialnymi (upload i kasowanie plików).
Konfiguracja serwera VPS z Debian 9 jako serwer WWW, z wykorzystaniem niestandardowych źródeł pakietów
Przedwczoraj z HitMe.pl dotarła do mnie informacja, że matka serwera VPS na którym działa(ł) WebInsider.pl powoli zmierza na emeryturę (choć może dostanie pewnie jakieś zajęcie, by się nie nudziła ;-)), w związku z tym dostałem propozycję nowego serwera VPS. Oprócz tego, że oznacza to więcej mocy (więcej RAMu, więcej CPU, i dysk SSD do tego) to również przy tej okazji zmienił się typ wirtualizacji – z XEN na KVM. W związku z tym uznałem, że choć mógłbym spróbować dokonać migracji za pomocą SSH i Rsync, to postanowiłem, że skonfiguruję środowisko (web) serwera ręcznie, przy okazji robiąc notatki do nowej wersji artykułu na ten temat…
Przeglądarka wyświetla „niebezpieczna strona”? Najwyższy czas wdrożyć certyfikat SSL (HTTPS) na stronie internetowej
Od jakichś 2 dni mój czytnik RSS bombardują kolejne artykuły o ty, że z wyszukiwarki (obrazów) Google zniknął bezpośredni przycisk (odnośnik) do zdjęcia, co jest zapewne następstwem ugody zawartej z Getty Images. Osobiście temat uznałem niespecjalnie istotny – chyba, ze ogólnie w kontekście praw autorskich, i pewnych „patologii”, które co jakiś czas dają o sobie znać (nie mówię/piszę, że tak jest w tym przypadku). Dziś natomiast właściwie z każdej strony dowiaduję się, że… w mobilnej wersji Chrome pojawi(ł) się wbudowany i automatyczny skracacz (upraszczacz) linków. Choć nie lekceważę tego – głównie z punktu widzenia marketingu, to jednak nie będę odnosił się do tego w poniedziałek na konferencji prasowej… ;-)
Dla mnie ważniejsze wydaje się to, że coraz bardziej zaciska się „przeglądarkowa pętla na szyi” osób, które z jakichś przyczyn cały czas nie wdrożyły na swoich stronach szyfrowanego połączenia HTTPS/SSL.
Larger Storage Bike Tools Boxes Repair Tools, czyli idealny futerał na mikrofon RODE VideoMic Go i… szklankę od piwa
Do nagrywania dźwięku oprócz mikrofonów krawatowych od dawna korzystam jeszcze m.in. z mikrofonu kierunkowego RODE VideoMic Go, który bardzo lubię – dobry dźwięk i brak baterii, których stan naładowania trzeba pilnować. Z tym mikrofonem miałem tylko jeden problem – transport. Konstrukcja może nie jest specjalnie delikatna, ale jednak mamy tu relatywnie delikatną „kołyskę”, która ma niwelować ewentualne dźwięki przechodzące do mikrofony np. wprost ze statywu.
WordPress i CVE-2018-6389, czyli prosty sposób na atak DoS (Denial-of-Service, czyli odmowa dostępu) na Twoją stronę
Już miałem zamykać, wszystkich w redakcji puścić do domu, by mogli ten wieczór spędzić z rodzinami, a tu niespodzianka – na liście ostrzeżeń pojawiła się informacja o nowej podatności na WordPressa. Na szczęście relatywnie niegroźnej, bo nie ma tu raczej mowy o jakimś włamaniu, czy wykradaniu danych. Po prostu, gdy komuś podpadliście, to może on spróbować troszkę poddusić Wasz serwer, aż jedyne co będzie można wyświetlić w przeglądarce, to błędy dostępności serwera/strony (5xx, np. 502, 503, 504 czy 522 od CloudFlare).
Parametry „noopener”, „noreferrer” i „nofollow” w linkach na stronach internetowych
Ostatnio stworzyłem dla znajomego pewną wtyczkę do WordPressa, która w momencie wystąpienia pewnych, z góry określonych warunków dokonywała automatycznej modyfikacji linków znajdujących się na stronie (konkretnie w artykule/wpisie), według ustalonych założeń. Przy tej okazji kolega zauważył, że w niektórych linkach pojawia się parametr „noopener”. Zresztą nie tylko on (parametr, nie kolega).
Instalacja certyfikatu SSL w Home.pl na przykładzie usługi Business Cloud Starter i certyfikatu homeSSL
Kilka dni temu napisałem artykuł o moim pożegnaniu z hostingiem współdzielonym. Wspomniałem w nim, że wprawdzie swoich kont tego typu już nie mam, to jednak niektórzy moi klienci z takich usług korzystają, a tym samym cały czas jeszcze mam z nimi styczność. Jedną z takich usług jest Business Cloud Starter w Home.pl, gdzie ostatnio konfigurowałem certyfikat(y) SSL. Oczywiście kupione w Home.pl, a więc pierwszy rok praktycznie darmo, później jak za złoto…
Julio Casal (4iQ) trafił na bazę 1,4 miliarda loginów i haseł zapisanych jawnym tekstem (+ ataki m.in. na WordPressa)
Na początku grudnia Julio Casal z firmy 4iQ opublikował artykuł o natrafieniu na bazę zawierającą ponad 1,4 miliarda par „login i hasło” zapisanych jawnych tekstem. Oczywiście jest to znaczące odkrycie/wydarzenie, ale w świetle choćby tylko ostatnich „wpadek tego typu” sprawia wrażenie na tyle powszechnego zjawiska, że nawet nie zamierzałem o tym pisać.
Zdanie zmieniłem, bo nie dość, że mamy tu hasła zapisane w jawnym tekście, to jeszcze temat podchwyciły „serwisy horyzontalne”, które oczywiście nie szczędziły alarmistycznych nagłówków. I o ile problem faktycznie istnieje, to dla przeciętnego użytkownika internetu większym zagrożeniem mogą się okazać serwisy, które korzystając z tej okazji oferują „sprawdzenie, czy nasze dane nie wyciekły”.
Google Public DNS, Quad9 i OpenDNS, czyli alternatywa dla DNSów od dostawcy internetu (ISP)
Serwery DNS może nie są czymś, bez czego internet nie mógłby działać, ale na pewno nie działałby w znanej nam formie, gdzie choćby z ulubionych stron korzystamy wpisując ich adres do przeglądarki w formie mniej lub bardziej prostej/łatwiej do zapamiętania domeny, niż korzystając bezpośrednio z adresu IP (w stylu aaa.bbb.ccc.ddd). Podobnie sprawa ma się z pocztą e-mail, gdzie dobry adres jest chyba jeszcze ważniejszy… I choć jest to bardzo ważny element internetu, to tak naprawdę nie wiele osób korzystających na co dzień z internetu zdaje sobie w ogóle sprawę, że bez DNSów ich dzień nie wyglądałby zapewne tak samo… ;-)
Jeśli ostatnio pobierałeś CCleaner i CCleaner Cloud (Windows x86) sprawdź, czy nie „załapałeś się” na złośliwy bonus
Afera – bo chyba tak to można nazwać – z aplikacją CCleaner, służącą do „oczyszczania systemu operacyjnego” (nie, nie jest to ani antywirus, ani aplikacja zabezpieczająca/usuwająca złośliwe oprogramowanie) pojawiła się ostatnio kilkukrotnie w moich rozmowach ze znajomymi, choć od upublicznienia całego zdarzenia nie minęło wiele czasu. Obrazuje to mi popularność tej aplikacji, nie tylko wśród moich znajomych, o czym świadczą choćby dane związane z pobraniami – ponoć aplikacja została pobrana/ściągnięta ponad 2 miliardy razy. Nieźle, zwłaszcza jak na oprogramowanie, które wg mnie jest totalnie niepotrzebne/zbyteczne…
Pozwól sobie pomóc, czyli informacje alarmowe (ICE) w Androidzie
Od kilku dni na moim podstawowym (i nieźle już wysłużonym) telefonie gości LineageOS, a wraz z nim Android w najnowszej wersji, czyli 7.1 (Nougat). W tej wersji nowości jest oczywiście sporo, ale na jedną chciałbym zwrócić szczególną uwagę, zwłaszcza, że może kiedyś pomóc uratować ona Wasze życie…
Cloak & Dagger, rysowanie nad innymi aplikacjami w Androidzie jako potencjalne zagrożenie bezpieczeństwa
Wczoraj wieczorem trafiłem na opis/przykład ciekawego ataku na urządzenia z systemem Android, przy wykorzystaniu m.in. opcji „rysowania na powierzchni”, czyli możliwości nakładania przez jedn aplikację swoich elementów na okno innej aplikacji (nie tylko pulpitu).
Znajdź moje urządzenie od Google, czyli Menedżer urządzeń Android w lekko zmienionej odsłonie
W sierpniu 2013 pisałem o Menedżerze urządzeń Android, czyli prostej platformie pozwalającej odzyskać telefon w sytuacji, gdyby się z(a)gubił lub został ukradziony. Lata lecą, wersje Androida też, i kilka dni temu, przy okazji konferencji Google I/O zaprezentowano odświeżoną wersję usługi…
The Wolf (HP Studios, Christian Slater), czyli reklama, którą obejrzałem z przyjemnością
Rzadko, naprawdę rzadko zdarza mi się poświęcać swój wolny czas na bezpłatne (i bezinteresowne) promowanie reklamy jakiejś komercyjnej usługi czy produktu. Ale muszę przyznać, że reklama „The Wolf” z Christianem Slaterem jest na tyle dobrze zrobiona (i zagrana), że chciałbym więcej takich „komercyjnych przerywników” oglądać w TV czy w kinie.
Nie instaluj brakujących fontów (np. HoeflerText) na stronach internetowych – to podpucha
Gdy się zastanawiałem, czy dobrze zrobiłem odrzucając pomysł napisania czegoś o telefonie Nokia 3110 edycja 2017 (coś czuję, że może to być hit sprzedaży wśród „skarpetogłowych hipsterów”, a i pewnie temat ma szansę wygenerować sporo dodatkowego ruchu na stronie ;-)) napisał do mnie kolega, że na jednej ze stron które odwiedzał trafiła mu się ciekawa próba infekcji – brakujący font (czcionka ;-)) na stronie internetowej…
Cloudbleed, czyli Tavis Ormandy z Google Project Zero wykrył poważną podatność w CloudFlare
Miałem dziś napisać o pewnej niespodziance jaką ekipa z CloudFlare w ostatnich dniach sprawiła tym, którzy korzystają z ich programu „Project Galileo”, ale życie często pisze własne scenariusze. Zaczęło się od konieczności ponownego zalogowania do wszystkich kont Google na telefonie, a już po chwili wiedziałem, że o ile faktycznie będzie dziś okazja do napisania o CloudFlare, to wydźwięk tego wpisu nie będzie „aż tak pozytywny” jak wcześniej zakładałem (w trakcie zbierania materiałów niejaka Dana najwidoczniej postanowiła, że prewencyjnie poprawi mi humor i zaczęła swój komentarz od słów „Ty palancie!!!!!!!!!!!!!!! wyłudzaczu debilu” skierowanych w moją stronę).
WordPress: Pierwsza krew, czyli pierwsze ofiary niedawnej podatności w WordPress REST API
Mam nadzieję, że wszyscy zaktualizowaliście WordPressa do wersji 4.7.2 (lub nowszej), zwłaszcza, jeśli korzystacie z wersji 4.7 lub 4.7.1, czyli podatnej na atak z wykorzystaniem REST API, o czym niedawno pisałem…
Jeśli nie, to być może Wasza strona jest już wśród licznych „szczęśliwców”, którzy wygrali „darmową infekcję swojej strony” (a być może i komputerów swoich czytelników/użytkowników).
Jeszcze nie zaktualizowałeś WordPressa do wersji 4.7.2? To zrób to jak najszybciej, chyba, że szukasz „nieautoryzowanych redaktorów”
O ile aktualizacja WordPressa do 4.7.1 na liście zmian zawierała sporo przekonujących do aktualizacji elementów (jakby trafił się ktoś odporny na aktualizacje), to aktualizacja 4.7.2, która pojawiła się pod koniec stycznia niby coś tam łatała, ale czułem jakiś niedosyt, że musi tu być coś więcej. I jak się właśnie okazało, faktycznie aktualizacja skrywała jeszcze jeden sekret, dość poważny…
InfoWidget
Najnowsze wpisy
Oficjalna aplikacja mobilna do obsługi sklepu internetowego działającego na platformie WooCommerce (WordPress)
Inbox by Gmail, czyli skrzynka pocztowa, która niedługo przestanie pracować dla Ciebie
Bezpośrednie odnośniki w WordPressie, czyli poskramiamy adresy URL stron i postów
Etykiety, kotwice (anchor) i zakładki (odsyłacze) w HTML, czyli nawigacja (nie tylko) dla One Page (Single Page) i Landing Page (Sales Page)
Bilety komunikacji miejskiej 50% w aplikacji JakDojade, przy płatności Google Pay (Android)
Wprowadzenie danych do Rejestru domeny .PL, czyli NASK informuje o przetwarzaniu danych osobowych w związku z obsługą domen w krajowym rejestrze
Wykluczanie wybranych wpisów (po kategorii, tagu czy autorze) z wyników wyszukiwania i kanału RSS w WordPressie
Ustawienia jakości odtwarzania w Netflixie, czyli ręczna kontrola nie tylko jakości wideo, ale i transferu
Allegro Smart!, czyli płacisz ryczałtem 49 zł i przez rok do 365 paczek od wybranych sprzedawców do wybranych punktów otrzymujesz bez dodatkowych opłat
Virgin Mobile likwiduje bezpłatny plan #Freemium, i wprowadza pakiety #MINI 3 (płatne #Freemium) i #MINI 9
InfoWidget
Najpopularniejsze
InfoWidget