Teksty

Jakiś czas temu na łamach sekuraka opublikowaliśmy obszerny poradnik dotyczący menedżera haseł Bitwarden. Oczywiście jest to rzetelny przegląd, jednak promuje on nieco ryzykowne podejście, w którym bezpieczeństwo naszych danych powierzamy firmie trzeciej, co w niektórych przypadkach może prowadzić do katastrofy: Tym razem omówimy więc menedżer haseł oparty na zasadzie self-hosted…

Jak zawsze w świecie IT trudno o dobry i dopracowany standard. Linuks ma LUKS-a, Apple używa rozwiązania FileVault, a Windows swojego BitLockera. W gruncie rzeczy każde z ww. rozwiązań spełnia to samo zadanie: zapewnia pełne szyfrowanie dysku (ang. full disk encryption, FDE). Dzięki temu, nawet w przypadku fizycznego przejęcia naszego…

Jest wieczór. Za oknem prószy śnieg. Kładziesz się właśnie, aby odpocząć, gdy nagle twój telefon krótko wibruje – dostałeś/aś wiadomość. Obojętnym wzrokiem zerkasz na ekran i widzisz treść SMSa: „Wysyłka pod wskazany adres jest droższa. Prosimy dopłacić 1 PLN, brak dopłaty oznacza anulowanie zamówienia. http://…”. Podnosisz się gwałtownie, do twojej…

Niedawno znaleziono groźny łańcuch dwóch podatności (CVE-2021-27889 oraz CVE-2021-27890) w popularnym, otwartoźródłowym silniku forów dyskusyjnych MyBB. Podatności załatano w najnowszej obecnie wersji, 1.8.26.  Połączenie powyższych podatności w jeden prosty łańcuch stanowi efektywny sposób osiągnięcia pełnego RCE. Nazywam się Patryk, jestem badaczem bezpieczeństwa webaplikacji (w Internecie znanym pod nickiem SivertPL), a…

Ostatnio na sekuraku opublikowaliśmy poradnik dla początkujących użytkowników Signala oraz Tutanota. Tym razem pokażemy, jak zadbać o bezpieczeństwo danych uwierzytelniających z wykorzystaniem Bitwardena. W poradniku omówimy rejestrację, korzystanie z Bitwardena oraz instalowanie wtyczek i aplikacji na telefon. Jest to kontynuacja serii poradników dla osób nietechnicznych. Czym jest Bitwarden? Bitwarden to…

W tym artykule pokażę jedno z możliwych rozwiązań następującego problemu: mamy aplikację webową, której nie chcemy wystawiać na świat, a tylko umożliwić do niej dostęp określonej grupie użytkowników.

Pewnie większość z czytelników Sekuraka (jak nie wszyscy) korzystała kiedyś z wyszukiwania obrazem w jednej z popularnych wyszukiwarek. Wrzucamy plik lub robimy zdjęcie i za chwilę otrzymujemy wynik poszukiwań podobnych obrazów, listę stron je zawierających, powiązane tematy itp. Jednak jak to z każdym wyszukiwaniem bywa, jedne serwisy radzą sobie lepiej,…

Najprawdopodobniej wszyscy znają mechanizm działania zakładek w przeglądarkach – chcemy zachować odnośnik do jakiejś strony, więc zapisujemy go sobie jako zakładkę i w każdej chwili możemy do tej strony przejść za pomocą tego właśnie odnośnika. Czy można jednak zamiast linku rozpoczynającego się np. od http(s) lub ftp(s) wpisać tam coś…

Pod koniec stycznia 2021 na Twitterze pojawiły się niepokojące wieści dotyczące zmiany danych właściciela perl.com, domeny poświęconej popularnemu niegdyś językowi programowania Perl. Wyglądało na to, że domena w nagły i niespodziewany sposób zmieniła posiadacza i została przeniesiona na inny serwer niż ten na którym była dotychczas hostowana. Z reguły rzeczy…

Cyfrowy świat, podobnie jak ten za oknem, pełen jest niebezpieczeństw. Brak ostrożności podczas przebywania w Internecie może spowodować, że nasza maszyna zapadnie na komputerową chorobę. Skutki takiej infekcji są różne. Czasami komputer zaczyna działać wolniej, czasami otwierają się na nim same z siebie niepożądane okienka, ale często też nie obserwujemy…

Nie od dziś wiadomo, że tworzenie i zapamiętywanie haseł jest typowym problemem, z którym mierzy się praktycznie każdy użytkownik komputerów czy urządzeń mobilnych. Złe praktyki związane z hasłami często prowadzą też do incydentów bezpieczeństwa, np jeśli ustawimy je zbyt słabe i uda się złamać w ramach ataku bruteforce. Zobaczmy jak wykorzystać łańcuchy Markowa do generacji łatwych do zapamiętania haseł

Przygody Michała Bentkowski z pomocą w zabezpieczeniu popularnej biblioteki DOMPurify

W zeszłym roku miałem przyjemność gościć jako prelegent na trójmiejskim wydarzeniu Tech 3camp, gdzie miałem okazję opowiedzieć trochę o OWASP Dependency Check. Dziś jednak postanowiłem podzielić się bardziej tutorialową wersją mojej prezentacji i korzystając z okazji przybliżyć użytkownikom to narzędzie oraz jego możliwości. Jeśli ktoś jest zainteresowany prezentacją, nagranie znajduje…

Czytając niedawno specyfikację HTML, natrafiłem na ciekawe działanie atrybutu marginwidth/marginheight. Przyjrzałem mu się dokładniej i – ku mojemu zdumieniu – odkryłem, że nadaje się jako mechanizm do komunikacji pomiędzy różnymi ramkami w przeglądarkach!

W dobie zalewającej nas co chwilę fali fake newsów, często trudno jest odróżnić prawdę od prawie prawdy i zupełnych idiotyzmów (czyli od półprawdy i od… fekalioprawdy). Tym bardziej, że w Internecie coraz więcej jest treści, które bazują na prawdziwych danych, a jednocześnie przeinaczają je w tak diametralny sposób, że dotarcie…