Wykorzystaj dobrze czas, który chcę Ci podarować.
Bezpieczeństwo
Biuletyn IAiR Nr 29/2010 dostępny!
May 26th
Nareszcie ukazał się również w wersji elektronicznej! Długo wyczekiwany przeze mnie Biuletyn IAiR 29/2010 jest już dostępny na stronach internetowych Instytutu Teleinformatyki i Automatyki WAT.
Dlaczego akurat ten numer jest dla mnie wyjątkowy? Zapraszam do lektury dwóch ciekawych artykułów zredagowanych przeze mnie oraz Piotra Litwniuka we współpracy z dr inż. Janem Chudzikiewiczem.
- Projekt scentralizowanego, internetowego systemu rejestracji użytkowników [podgląd]
Piotr Kwiatek, Jan Chudzikiewicz;
Streszczenie: W artykule przedstawiono opis projektu oraz implementacji systemu rejestracji użytkowników w serwisie internetowym. Omówiono ideę zastosowania systemu jako scentralizowanego punktu uwierzytelniania i autoryzacji użytkowników w Internecie, a także aspekty bezpieczeństwa z tym związane. Przedstawiono przykład wdrożenia opracowanegorozwiązania. - System Wspomagania Pracy Nauczyciela
Piotr Litwiniuk, Jan Chudzikiewicz;
Streszczenie: W artykule przedstawiono opis projektu oraz implementacji aplikacjiwspomagającej pracę nauczyciela. Zdefiniowano wymagania funkcjonalne i niefunkcjonalne nakładane na system. Zaprezentowano diagramy interakcji wybranych przypadków użycia w notacjiUML. Przedstawiono współpracę z zewnętrznymi, w stosunku do omawianego, systemami (SRU, SZZD) poprzez mechanizm Web Services. Omówiono wybrane rozwiązania implementacyjnewykorzystane w projektowanym systemie.
Atak metodą brute-force przy użyciu THC-HYDRA
Jan 12th
Artykuł przygotowany w ramach Studium Ataków i Incydentów na WAT, co tłumaczy również format w jakim powstał. W sprawozdaniu relacjonuję przebieg rekonesansu i sposób przeprowadzenia ataku metodą słownikową brute-force. Swoją drogą bardzo spodobało mi się znalezione na stronie Wikipedii pod hasłem “Atak brute-force” zdanie:
“Jest to zwykle nieoptymalna, ale najprostsza do zaimplementowania i najbardziej skuteczna metoda postępowania (ponieważ teoretycznie pozwala ona złamać każde hasło – praktycznie może to potrwać nawet tysiące i miliony lat).”
Nieoptymalna, bo właśnie może bardzo długo trwać. Najprostsza, bo wystarczy wskazać, gdzie “wklepywać” kolejne pary poświadczeń w nadziei na pomyślną autoryzację dostępu. I tutaj najlepsze. Jest to metoda najbardziej skuteczna. Nawet gdyby miało to trwać miliony lat, nadal jest to skuteczna metoda ;-) Prawie jak granice w matematyce. Wartość funkcji nawet przy niewyobrażalnie dużym parametrze do swojej granicy nie dobrnie, jednak przy parametrze dążącym do nieskończoności i owszem. Do artykułu odsyłam na docs.google.com lub wersji PDF do pobrania:
Filezilla Client – tryb ASCII dla plików bez rozszerzenia
Dec 26th
Bezpieczna praca z Filezilla Client – tak, ale po przeczytaniu tego artykułu
W innym przypadku, używając domyślnych ustawień znanego klienta FTP Filezilla Client część plików w Twojej kopii zapasowej może zostać uszkodzona. Działa to w obie strony. Przy wysyłaniu plików na serwer FTP oraz pobieraniu. Kilkakrotnie robiłem już kopie zapasowe firmowych serwerów FTP wykorzystując tego popularnego klienta i aż strach pomyśleć ile z tych kopii zapasowych nie zachowała swojej integralności. Kiedy dokładnie powstaje problem? Najczęściej wtedy, kiedy plik binarny nie posiada rozszerzenia. Filezilla Client w swojej domyślnej konfiguracji używa trybu ASCII dla plików bez rozszerzenia. O problemie wspomniał już prawie 2 lata temu internauta ~alkis na stronach projektu filezilla (http://trac.filezilla-project.org/ticket/4235) jednak nie wiedzieć czemu na dzień dzisiejszy wersja 3.3.5.1 ciągle stosuje tryb ASCII dla plików bez rozszerzeń “default-owo” i nadal o tym jest cicho. Wysyłając plik moj_obrazek_z_wakacji na serwer FTP w trybie ASCII (a tak się dzieje, kiedy plik nie posiada rozszerzenia) można zauważyć, że po zakończonym transferze plik lokalny i plik zdalny różnią się rozmiarem. Okazuje się, że grafika na serwerze FTP jest w najlepszym wypadku nieczytelna, a z reguły uszkodzona całkowicie. W przypadku, gdy mamy do czynienia z działającą aplikacją webową i chcemy skopiować jej zasoby via FTP, kto wie, jakie pliki wysłał na serwer użytkownik forum, CMS czy CRM. Autor raportu błędu udzielający się na stronach filezilla-project.org podał jeszcze dwa ciekawe przypadki, kiedy Filezilla Client nas zawiedzie. More >
Ostrożnie z aplikacjami na Facebook’u!
Sep 17th
Dlaczego jest niebezpiecznie? Wyobraź sobie babkę z rodzynkami. System operacyjny np. Windows to ciasto, programy na nim uruchamiane to rodzynki. Analogicznie ciastem jest też Facebook, a Facebook Apps, czyli skrypty na nim uruchamiane to rodzynki. Facebook Apps siedzą w Facebook’u tak jak programy w Twoim Windows. Subtelną różnicą jest to, że Facebook nie jest wyposażony w system antywirusowy, a Twój Windows najprawdopodobniej tak.
Obiecałem kiedyś, że napiszę coś więcej o wielkim Facebook’owym “Boom!” jakie ma właśnie miejsce od niedawna w Polsce, ale również na całym świecie. Przepraszam, że rozczarowuję może co niektórych, bo nie piszę o tym jak Facebook wpływa na rozwój psychiczny młodego człowieka, jak straszliwie pożera jego wolny czas i jaki to jest zły i demoralizujący. Nie o tym.
More >
UMS 0.1 – System Zarządzania Użytkownikami (PHP)
Sep 26th
Po kilku dniach pracy postanowiłem wydać do testów, pierwszą rozwojową wersję aplikacji webowej UMS (User Management System).
Strona domowa projektu
http://piotr.kwiatek.org/projekty/ums
Jako, że jest to pierwsze wydanie pozwolę sobie napisać nieco więcej. Kolejne wpisy tego dziennika zmian będą miały charakter skromnego changelog’a z opisem poprawek i nowych funkcji, które zostały wprowadzone.
Dlaczego aplikacja powstała?
System powstał na potrzeby jednej z firm, dla której pracuję, jednak prawa do aplikacji zatrzymałem dla siebie, dzięki czemu wszyscy możecie z niej korzystać zgodnie z warunkami licencji, pod którą została wydana.
Cele
Aplikacja ma za zadanie spełniać podstawowe funkcje panelu zarządzania użytkownikami oraz monitorować aktywność użytkowników na stronie internetowej. Dla przedsiębiorcy, który zamówił u mnie tą aplikację najważniejszym z celów było zabezpieczenie strony internetowej przed dostępem osób trzecich, a udostępnienie jej na hasło wybranym agencjom. Dzięki takiemu rozwiązaniu właściciel witryny może kontrolować:
- który użytkownik najczęściej przegląda witrynę
- jakie strony odwiedzał użytkownik, oraz który produkt najczęściej przegląda
- jakie produkty są najczęściej przeglądane ogółem
A także korzystając z panelu zarządzania użytkownikami może kontrolować dostęp konkretnych użytkowników wykorzystując mechanizmy banowania oraz zmiany hasła.
Zalety
- Darmowy
- Łatwy w instalacji
- OpenSource
Jak to działa? (DEMO)
- Panel logowania: http://webmaster.kwiatek.org/umsdemo/
- Panel administracyjny: http://webmaster.kwiatek.org/umsdemo/ums/
- Hasło dostępu do panelu administracyjnego: umsdemo
Zawodowo inżynier informatyk, administrator sieci IT, programista, webdeveloper. Prywatnie przeciętny facet usiłujący spełnić kilka swoich marzeń. Strona powstała po to, aby podzielić się z Wami moimi osiągnięciami. Zapraszam ;)
