Kódování jako bezpečnostní hrozba

Taky vidíte posledních pár dní na stránce Ulož.to​ čínské znaky? Je to jedna z chyb, která může mít dopady na bezpečnost webu – to se už ale málo ví. O co jde?

Web Ulož.to na tomto místě má reklamu, ale při jejím umístění zanedbal několik zásad, tedy zejména určení znakové sady (např.: UTF-8, v tomto případě Windows-1250).

Chyba je konkrétně v souboru o2-search-bar2.html (archiv), který má reklamu zobrazit. Tato stránka nemá nikde definovanou znakovou sadu a tak se prohlížeč musí rozhodnout sám, jakou zvolí. Chrome na OS X se rozhodl pro UTF-16BE, nicméně protože soubor je ve skutečnosti v jiném kódování, zobrazily se nesmyslné čínské znaky.

A právě tato chyba jde zneužít pro útok. Pokud totiž není sada určena, může se do kódu vpašovat něco, co bude vypadat a fungovat jinak v každém kódování.  Pokračování textu Kódování jako bezpečnostní hrozba

Bezpečnostní otázky Apple ID – preventivní opatření

V ekosystému Apple jsou bezpečnostní otázky nebezpečně silnou zbraní, jejich zapomenutí představuje problém, proto vám chci připomenout, co byste měli měli preventivně zkontrolovat a nastavit.

Doporučuji si projít preventivně svoje účty a zkontrolovat, zda se vás problém také netýká.

Důležité: Nehádejte otázky, pokud je nevíte. Máte 5 pokusů, po kterých se účet zablokuje a zavřete si tím natrvalo cestu. Pokračování textu Bezpečnostní otázky Apple ID – preventivní opatření

Napadený router – Mýty a pověry

Předchozí článek o napadeném routeru, vydaný včera dopoledne, dnes citoval server Novinky.cz. Pod článkem se rozjela diskuze laiků a rád bych zde zmínil několik mýtů, které je dobré pochopit.

Pozn.: Ne, nepokouším se s diskutujícíma polemizovat, ani reagovat na některé vyloženě hloupé názory. Od některých čtenářů ale padly zajímavé připomínky, které si doplnění zaslouží.

Mýtus: Útok ohrožuje pouze Windows

Jiří Glac, Praha – Proč zase redaktoři mystifikují, jako by se problém týkal všech PC připojených do Internetu, když se opět tento problém týká světa Windows (TM). Zbytečně strašíte lidi kteří doma jedou na GNU/Linuxu či nakouslém jablku…

Tento konkrétní útok byl opravdu ohrožením pouze pro Windows, ale rozhodně nelze říct, že by ostatní platformy byly v bezpečí.

Pokračování textu Napadený router – Mýty a pověry

Tak to je on, první napadený router v ČR

Od víkendu se můžete dočíst, že velmi závažný způsob útoku se už objevil i v ČR. Podstata útoku spočívá napadení routerů, těch malých a zd

Router a jeho majitel
Tak to je on, nenápadný škůdce a jeho „šťastný“ majitel, pan Tomáš.

ánlivě jednoduše vypadajících krabiček, kterou máte doma nejspíš i Vy. Jistě jste o tom už slyšeli, tohle riziko je teoreticky propíráno IT médii přes rok, ale teď tu máme první reálný výskyt. A hned se zaměruje na mainstream typu Seznam.cz a Google.

Článkem se nechci vychloubat (i když mi současná publicita příjemně drbe ego), ale chci uvést na pravou míru několik mýtů, které se kolem případu ozývají, zejména od chytrolínů v diskuzích.

Pokračování textu Tak to je on, první napadený router v ČR

Amazon Glacier – Mimořádně levné zálohování dat

Na konci srpna Amazon představil novou službu Glacier (česky Ledovec) určenou pro zálohování, samotné skladování dat je mimořádně levné, řádově haléře za gigabajty dat měsíčně.

Glacier je tak ideální cloudové úložiště pro zálohování velkých objemů dat, která právě teď nepotřebujeme, ale rádi bychom si je uchovali pro strýčka Příhodu. Kromě zmíněné cenové politiky má i další příznivé vlastnosti:

  • je bezpečný – vaše data jsou šifrována a nedostanou se tak do nepovolaných rukou,
  • je stabilní – předpokládá se spolehlivost 99,999999999%, což je mnohonásobně více, než kterékoliv vaše záložní disky,
  • je flexibilní – nejsou stanovena žádná minima ani maxima, nahrávejte kolik chcete kdykoliv potřebujete,
  • a umožňuje automatické zpracování – nemusíte data do Glacieru nahrávat ručně, vše lze snadno automatizovat.
Amazon Glacier – All Rights Reserved © 2012Tnooz

Pro koho je Amazon Glacier určen

Nyní nejspíš jen pro firmy, programátory a technické nadšence. Služba vyšla na světlo před několika dny, vhodné nástroje na její použití teprve vznikají. Postupem času bude zálohování do Glacieru možné jedním kliknutím v mnoha aplikacích (např. správce fotek, hudby, z telefonů, záloha webů v hostingu atd.).

Cena podrobně

Všechny ceny uvádím přepočtené na koruny podle aktuálního kurzu 20 Kč/1 USD a vycházím z cen stanovených pro datacentrum v Irsku (viz dále).

Skladování dat – 0,22 Kč za GB / měsíc Pokračování textu Amazon Glacier – Mimořádně levné zálohování dat

Jak si počínat, pokud jste obětí/svědky pokusu o okradení

V minulém článku jsem popisoval svoji hořkou zkušenost s cikánem, který se mě pokoušel okrást. Sám jsem dopadl celkem dobře, ale při pokusu o nahlášení jeho podezřelého chování jsem udělal tolik chyb, že ten šmejd naprosto bez problémů odešel, aniž by byl alespoň identifikován.

Proto bych rád sepsal několik kroků, které je dobré dodržet v podobných případech. Pokračování textu Jak si počínat, pokud jste obětí/svědky pokusu o okradení

Okraden ve vlaku

Jsem schopný usnout a spát téměř kdekoliv, ale nejlépe se mi usíná na dvou místech: v mé teplé posteli s třemi dekami (vysvětlím možná jindy) a během noční jízdy vlakem.

Jel jsem tak i dnes v noci do Pardubic vlakem Ex 141 Beskyd s odjezdem z Prahy v 4:08. Celou cestu jsem lehce dřímal a někde u zastávky Pardubice-Opočínek mě probudilo jemné zašustění igelitky, kterou jsem měl pod hlavou. Otevřel jsem oči a nade mnou se skláněl špinavý cikán (chcete-li neumytý Rom). Jak mě spatřil, začal na mě polocikánštinou huhlat: „kámo, nemáš oheň?“. Vyrazil jsem ho z kupé, spočítal si věci a došel jsem k závěru, že mi nechybí nic.

Ve zbývajících 5 minutách cesty jsem přemýšlel, jestli se mě pokusil okrást, nebo opravdu se mě jen nešikovně pokoušel budit. Zní to hloupě, ale on si opravdu počínal tak zkušeně, že mě zmátl a situaci jsem nedokázal jednoznačně vyhodnotit. Teprve v posledních dvou minutách cesty jsem zaslechl cestujícího z vedlejšího kupé, kterak průvodčímu hlásil, že toho šmejda přistihl při pokusu od odcizení jeho peněženky. Pokračování textu Okraden ve vlaku

Subdomény a komerční hostingy

Pokud vlastníte doménu (doménové jméno), jistě víte, že můžete využívat i tzv. subdomény (či poddomény), tedy dalších jmen, které rozšiřují původní doménové jméno. Například, pokud vlastníme doménu koldasoft.cz, můžeme zcela volně využívat odvozených domén jako třeba www.koldasoft.cz, či reference.koldasoft.cz a nebo cerberus.koldasoft.cz. Možnosti využití jsou široké. Více o doménové problematice najdete na Wikipedii.

V tomto článku bych se rád zamyslel nad realizací hostingu pro takovéto subdomény na webovém serveru. Zejména jejich správu a rozložení v souborové struktuře z pohledu správce webu. Pokračování textu Subdomény a komerční hostingy