Tag: zabezpieczenia
Wszystkie
Najnowsze
![Luka w serwisie iBood… Dane osobowe zamawiających publicznie dostępne… [Aktualizacja]](https://webinsider.pl/wp-content/uploads/wipl_post-thumbnail_inne_wipl-440x264.jpg)
Krótka historia o tym, jak za pomocą jednego znaku sprawić, że rekord SPF w ustawieniach domeny chroni przed podszywającymi się SPAMerami tylko pozornie
Miałem zacząć pisać inny artykuł, ale na jedną z moich testowych skrzynek wpadł właśnie SPAM, a konkretnie to nawet SCAM, z próbą oszustwa. Niby od „WP Wsparcie”, o temacie „Otrzymałem płatność w Twoim Compte. Czy zweryfikuj”, ale wysłany z adresu w domenie, która raczej nie wyglądała na „klasyczny wałek”. I faktycznie, pod domeną, z której przyszła wiadomość z próbą oszustwa znajduje się… działający sklep internetowy (sic!). Tak więc zaciekawiło mnie, czy przypadkiem, pomimo 2024 trafił się zepsuty rodzynek, np. bez poprawnie skonfigurowanego choćby rekordu SPF, że filtry antyspamowe przepuściły taką wiadomość?
Prosty sposób na bezpłatny dostęp do płatnych ikon Font Awesome, czyli krótkie testy przed ewentualnym zakupem
Podczas prac nad jednym z projektów, pojawił się pomysł zastosowania w ramach interfejsu użytkownika ikon Font Awesome, czyli niby nic nadzwyczajnego, bo często korzystam z tych ikon. Jednak szybko okazało się, że bezpłatne ikony w katalogu nie wystarczą, bo większość, która miałaby sens w przypadku tej webaplikacji jest dostępna tylko w wersji płatnej. A że akurat nikt z nas wersji płatnej Font Awesome nie posiada, na potrzeby projektu zakupić dostęp jeszcze za wcześnie, bo nie wiadomo, czy po weryfikacji faktycznie zostaną te ikony, to trzeba było wymyślić coś tymczasowego, na potrzeby wstępnego wdrożenia testowego. I jak się okazało, było to bardzo łatwe, wręcz banalne…
Przegląd wybranych nowości w Tutor LMS 2.3.0: ochrona hotlink, blokada kopiowania treści i bezpośrednie odnośniki do kursów
Pojawiła się nowa wersja wtyczki Tutor LMS (i Tutor LMS Pro), a w niej kolejna porcja nowości, ponownie związanych z zabezpieczaniem materiałów używanych w kursach. W tym artykule skupię się na dwóch takich nowościach, oraz jeszcze jednej, już wykraczającej poza temat bezpieczeństwa, ale o którą też często pytacie…
Blokowanie dostępu do katalogu w OpenLiteSpeed, czyli alternatywa dla nieobsługiwanego „deny from all” w pliku .htaccess
Wczoraj napisał do mnie lekko zaskoczony kolega, który po wcześniejszej rozmowie ze mną postanowił na swoim VPSie przejść z Nginx a OpenLiteSpeed. Głównie ze względu na wygodę. I to nawet nie chodzi o to, że dużo ustawień (większość?) można zrobić z poziomu panelu zarządzania w przeglądarce internetowej, bo czasem to tylko wydłuża czas potrzebnym, do wykonania zadania. Zresztą skoro kolega używał Nginx, to co jak co, ale konfiguracja bezpośrednio w plikach konfiguracyjnych nie jest mu raczej obca. Bardziej chodziło o obsługę plików .htaccesss, dzięki czemu wiele aplikacji webowych (np. WordPress) potrafi nie tylko samodzielnie skonfigurować sobie środowisko, ale i zabezpieczyć odpowiednimi regułami w tym pliku to, co powinno być zabezpieczone.
Tutor LMS i Vimeo to bardzo dobre połączenie, ale trzeba prawidłowo ustawić m.in. opcje związane z ochroną wideo
Z racji tego, że zdarza mi się pisać o Vimeo, to czasem trafiają do mnie zapytania w sprawie Vimeo. Z racji tego, że zdarza mi się pisać o wtyczce Tutor LMS do WordPressa, to czasem trafiają do mnie zapytania w sprawie wtyczki Tutor LMS. A skoro wpływają takie i takie, to czasem zdarza się, że pytanie dotyczy współpracy Vimeo z Tutor LMS. I ogólnie jest to całkiem dobre połączenie, ale trzeba pamiętać, by dobrze ustawić zabezpieczenia filmu w Vimeo.
Gdy w WooCommerce nie działają płatności Przelewy24, sprawdź, czy masz wtyczkę w odpowiedniej wersji i ustawiony adres IP serwera
Przez formularz kontaktowy wpadła mi dziś rano wiadomość z prośbą o pomoc, bo w sklepie internetowym na WooCommerce „prawdopodobnie kilka dni temu” przestały prawidłowo działać szybkie płatności realizowane przez Przelewy24. Normalnie mogłoby to oznaczać jakieś płatne zlecenie lub chociaż ciekawy artykuł na Webinsider.pl z opisem problemu. Tym razem jednak wiedziałem, że na krótkiej odpowiedzi e-mail cała sprawa się zakończy. I to nie dlatego, że jestem specjalnie drogi, a po prostu z góry uznałem, że wprawdzie problem jest, ale tak jakby go nie ma…
Narzędzia dla deweloperów jako sposób wspierający pobieranie (zapisywanie) zabezpieczonych filmów z Vimeo
W grudniu 2020 napisałem o tym, jak za pomocą narzędzi dla deweloperów dostępnych w większości przeglądarek w prosty sposób pobierać (zapisywać) filmy m.in. z prywatnych grup na Facebooku. Co wynikało z potrzeby chwili. Nawet jak nie mojej, a koleżanki, ale jednak. Prawie równo miesiąc później, bo pod koniec stycznia 2021 napisałem o tym, jak korzystając z linku i miniaturki pobierać materiały wideo hostowane w serwisie Wistia. Tym razem również nie była to moja potrzeba, ale mojego dziewczęcia, które chciało ze mną przy śniadaniu obejrzeć ten konkretny materiał.
Dzięki Scrcpy nie tylko wyświetlisz obraz z telefonu na komputerze, ale możesz nim sterować, robić zrzuty ekranu i nagrywać obraz
Przygotowując materiały (grafiki) do artykułu o menedżerze haseł Bitwarden, wrzuciłem do aplikacji, w której trzymam m.in. pomysły na kolejne artykuły (Trello) cegiełkę dotyczącą zrzutów ekranu, czyli czegoś, z czego często korzystam, i często o to dostaję pytania. Pisząc precyzyjniej, chodzi o zrzuty z ekranu telefonu. Zwłaszcza z aplikacji, które takie operacje blokują. A, że wdrożenie takiej blokady jest wręcz banalne, to coraz więcej aplikacji z tego korzysta, nawet jeśli nie ma takiej potrzeby…
Przez link i miniaturkę do celu („copy link and thumbnail”), czyli pobieranie materiałów wideo hostowanych w serwisie Wistia
Kilka dni temu dziewczę oglądało sobie jakieś szkolenie z e-mail marketingu w ramach jakiegoś tam kursu o… e-mail marketingu (swoją drogą, z fragmentów co widziałem, to kurs raczej „takie se”, ale gratuluję nazwy dla projektu, bo aż żałuję, że sam na nią nie wpadłem ;-)). W pewnym momencie przerwała oglądanie, bo pojawił się odcinek bardziej techniczny, m.in. o prawidłowej konfiguracji DNSów na potrzeby wysyłania wiadomości e-mail m.in. z zewnętrznych serwerów SMTP (serwer pocztowy jako usługa, czyli SMST SaaS), i uznała, że możemy obejrzeć i ew. obgadać ten materiał na dużym ekranie, przy śniadaniu…
Naruszenie ochrony danych osobowych przez wysłanie wiadomości e-mial na błędny adres e-mail, nawet jeśli tak podał go klient
Niedawno pisałem o tym, że przy okazji zbliżającego się końca roku rozmawialiśmy w gronie znajomych m.in. o wycenie produktów cyfrowych, np. w oparciu o kwotę, jaką chcemy uzyskać ze sprzedaży (ile sztuk i w jakiej cenie, by uzyskać 100k). Z początkiem roku tematem głównym w kontekście eCommerce bez wątpienia jest kwestia zmian w prawie, które pod pewnymi warunkami, również w przypadku zakupów „na firmę” przyznają kupującemu prawa dotychczas zarezerwowane tylko dla konsumentów w znaczeniu osób, niedokonujących zakupów na firmę (bo można było oczywiście prowadzić firmę, i nadał robić zakupy jako konsument, po prostu nie kupując „na firmę”). Innym ciekawym tematem jest kara nałożona na Wartę (Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A) przez UODO (Urząd Ochrony Danych Osobowych).
Narzędzia dla deweloperów jako sposób wspierający pobieranie (zapisywanie) filmów m.in. z prywatnych grup na Facebooku
Zapytała się mnie koleżanka, czy znam sposób, by pobrać z zamkniętej grupy na Facebooku wideo. I nawet nie to, że chciała sobie „zachować” czyjeś materiały, tylko to było „nagranie z lajwa”, który na tej grupie kilka dni wcześniej przeprowadzała, i chciała umieścić to nagranie również na YouTube, a innego materiału (np. nagrania na komputerze) z tego nie miała. No cóż, lajwów (przynajmniej na razie ;-)) swoich nie robię, z Facebooka „raczej nie korzystam”, ale… na jej szczęście mam klientów, którzy czasem miewają podobne do niej problemy.
Piwowar, magazyn wydawany przez Polskie Stowarzyszenie Piwowarów Domowych doczekał się wersji elektronicznej
Wczoraj późnym wieczorem (lub wczesną nocą) na moją skrzynkę powiązaną z kontem członka Polskiego Stowarzyszenia Piwowarów Domowych (PSPD) trafił e-mail. Niby nic nadzwyczajnego, bo co chwilę trafiają tam jakieś „ważne wiadomości od zarządu i nie tylko”. Ale ten e-mail dotyczył pierwszego elektronicznego wydania magazynu Piwowar (plus oczywiście plik PDF w załączniku). Przyznam, że było to dla mnie małe zaskoczenie. Ale nie dlatego, że cyfrowe wydanie (plik PDF) się ukazało, bo o takich planach słyszałem już w styczniu, ale 2019. Stąd moje zaskoczenie dotyczyło nie tyle „że”, co bardziej, „że w końcu”… ;-)
Netflix wprowadził możliwość zablokowania dostępu do profilu kodem PIN, więc to dobra okazja, by ogólnie przyjrzeć się opcjom ograniczającym dostęp (do treści)
Jakoś tak kilka, może kilkanaście dni temu, przy piwku gawędziłem z dobrym kolega i wśród tematów pojawił się Netflix. Konkretnie chodziło o dzieci, i jak można by zabezpieczyć pozostałe „niedziecięce” profile tak, by dziecko nie mogło zmienić konta „dziecko” na któreś z konta „dorosłych”. Pojawił się też temat ograniczenia konta – nie tylko „dziecko” – tak, by mogło odtwarzać tylko zdefiniowane (wybrane) filmy i seriale. Pomyślałem, że temat może być ciekawy do opisania i tak trafił na listę tematów. Długą listę. Ale w Netfliksie „właśnie” pojawiła się opcja, na którą sam czekałem – możliwość zabezpieczenia swojego profilu kodem PIN.
Vimeo (i YouTube) jako hosting płatnych materiałów wideo, np. dla kursów online, czyli zabezpieczenie dostępu do treści w praktyce
Niecałe 2 lata temu napisałem artykuł o tym, że pod hosting płatnych materiałów wideo zdecydowanie lepiej sprawdzi się płatna oferta Vimeo niż np. serwis YouTube. Wtedy skupiłem się głównie na tym, dlaczego tak jest, jakie zalety ma akurat Vimeo nad YouTubem. Przynajmniej jeśli chodzi o zabezpieczenie materiałów wideo, bo oczywiście, jeśli chodzi o zasięgi (dla bezpłatnych filmów), to nic się nie zmieniło, i YouTube nadal jest bezkonkurencyjny. Z powodu ograniczeń i ogólnych zmian związanych z koronawirusem (SARS-CoV-2/Covid-19) obserwuję dużo większe niż zwykle zainteresowanie m.in. tworzeniem kursów online. Dlatego w najbliższym czasie zapewne pojawi się kilka artykułów związanych z przygotowywaniem kursów online oraz samej platformy kursowej. Dziś wracam do tematu hostingu materiałów wideo (nie tylko) na potrzeby kursów online.
Zabezpieczanie plików i katalogów przed modyfikacją w systemie Linux za pomocą polecenia chattr (change attribute)
Dzisiaj na kilku stronach działających na WordPressie wdrażaliśmy pewną wtyczkę. Niby nic nadzwyczajnego, ale wtyczka ta nie pochodzi(ła) z np. z repozytorium WordPress.org, a bezpośrednio z serwisu GitHub. Tym samym jej aktualizację trzeba było oprzeć nie o standardowe mechanizmy aktualizacji WordPressa, ale o mechanizmy Gita. A, że strony te działały na jednym serwerze, to, zamiast multiplikować kod wtyczki (i tym samym procedurę aktualizacji) postanowiłem skorzystać z linków symbolicznych.
Pracownik uczelni SGGW stracił laptopa z „danymi osobowymi przetwarzanymi w trakcie postępowań rekrutacyjnych”
Od kilku dni internet rozgrzewa informacja o kradzieży komputera jednego z pracowników SGGW (Szkoła Główna Gospodarstwa Wiejskiego), na którym znajdowały się „dane osobowe przetwarzane w trakcie postępowań rekrutacyjnych w ostatnich latach na studia w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie”. Temat jest poważny nie tylko ze względu na bardzo szeroki zakres potencjalnie danych, jakie potencjalnie mogą dostać się w niepowołane ręce. Jest poważny również dlatego, że pokazuje pewnego rodzaju patologię, jeśli chodzi o przetwarzanie danych, i to nawet w takich instytucjach jak SGGW, i to w momencie, gdy RODO obowiązuje od kilku już lat. Zwłaszcza że dyskusje, które wejściu w życie RODO towarzyszy raczej każdemu powinny uświadomić, co to są dane osobowe i na czym powinna polegać ich ochrona.
Cloudflare i Page Rules w praktyce, czyli historia pewnego ataku na skrypt/stronę logowania do WordPressa (WooCommerce)
W drugiej połowie lipca, w piękny piątkowy poranek, po porannym spacerze z psami usiadłem do komputera, bo na mojej administracyjnej skrzynce e-mail pojawiły się powiadomienia m.in. ze skryptu SysWatch, oraz z aplikacji Monit, czyli narzędzi, które wykorzystuje do monitorowania zasobów serwera. A z racji tego, że z kufelkiem tego dnia siedział obok kolega, który coś tam kupa (rozróżnia hosting od domeny ;-)), to pomyślałem, że od razu pokaże mu, jak można w relatywnie prosty sposób zdiagnozować źródło i wyeliminować problem.
Dodatkowa weryfikacja dostępu do Konta Google numerem telefonu, czyli ochrona jakby nie do końca konsekwentna
Podczas jednej z ostatnich migracji poczty klienta z Google (G Suite/Gmail) na inne rozwiązanie rutynowo logowałem się na kolejne konta w Google, by ustawić tam przekierowania, upewnić się, że jest dostęp w ramach protokołu IMAP (migracji dokonywałem za pomocą opisywanego niedawno narzędzia imapsync, dostępnego również bezpłatnie w wersji online) i takie tam „rutynowe aktywności”. Podczas logowania do kont Google jak to Google, czasem wymagało ode mnie dodatkowej – poza loginem i hasłem – weryfikacji. Słusznie. Tylko w większości przypadków dodatkową weryfikację udało mi się przejść bez angażowania administratora usługi/domeny, ale i nawet właściciela skrzynki…
Faktura 2018.10.30, czyli atak na użytkowników Profilu Zaufanego za pomocą e-maili nakłaniających do instalacji złośliwego oprogramowania
Za nami kolejna fala ataków, tym razem e-maile ze złośliwym załącznikiem (do pobrania), „zachęcającą” do „weryfikację Profilu Zaufanego”. Niedawno mieliśmy podobne akcje, z tym, że tam „bohaterem” był ZUS, czyli Zakład Ubezpieczeń Społecznych. Sam takiej wiadomości nie dostałem na żadne konto (chyba pora na nowe SPAM-trapy), ale dostałem e-mail z ostrzeżeniem wprost od administracji Profilu Zaufanego.
MailCow: dockerized, czyli (relatywnie) prosty sposób na własny serwer pocztowy (poczta we własnej domenie)
Niedawno opublikowałem artykuł, w którym starałem się przedstawić możliwości, jakie ma osoba zainteresowana założeniem poczty e-mail w ramach własnej domeny (poczta w domenie). Rozpiętość rozwiązań jest duża – od poczty w ramach hostingu, przez pocztę u wyspecjalizowanych firm świadczących tego typu usługi, kończąc na własnym serwerze pocztowym. I w tym artykule zajmiemy się właśnie tym – postaram się pokazać, jak relatywnie prosto można uruchomić własny serwer pocztowy (wraz z konfiguracją domeny).
Wesprzyj nas!
Promocja własna
Najnowsze wpisy
Poznaj aplikację DroneTower, czyli nowy (i teoretycznie obecnie jedyny) sposób zgłaszania lotów dronami
WordPress 6.5 i „Requires Plugins”, czyli autor wtyczki może teraz w prosty sposób określić, jakie wtyczki są niezbędne (wymagane), do działania jego wtyczki
Przegląd nowości w aktualizacji 01.03.1300 oprogramowania kontrolera DJI RC (RM330)
To właściwie koniec bezpłatnej wersji Jetpack Stats, czyli statystyk dostarczanych przez wtyczkę/usługę Jetpack do WordPressa
Krajowy System Informacji Dronowej (KSID), czyli usługi cyfrowe dla BSP w nowej odsłonie
Promocja własna
Promocja własna
