Kódování jako bezpečnostní hrozba

Taky vidíte posledních pár dní na stránce Ulož.to​ čínské znaky? Je to jedna z chyb, která může mít dopady na bezpečnost webu – to se už ale málo ví. O co jde?

Web Ulož.to na tomto místě má reklamu, ale při jejím umístění zanedbal několik zásad, tedy zejména určení znakové sady (např.: UTF-8, v tomto případě Windows-1250).

Chyba je konkrétně v souboru o2-search-bar2.html (archiv), který má reklamu zobrazit. Tato stránka nemá nikde definovanou znakovou sadu a tak se prohlížeč musí rozhodnout sám, jakou zvolí. Chrome na OS X se rozhodl pro UTF-16BE, nicméně protože soubor je ve skutečnosti v jiném kódování, zobrazily se nesmyslné čínské znaky.

A právě tato chyba jde zneužít pro útok. Pokud totiž není sada určena, může se do kódu vpašovat něco, co bude vypadat a fungovat jinak v každém kódování.  Pokračování textu Kódování jako bezpečnostní hrozba

Bezpečnostní otázky Apple ID – preventivní opatření

V ekosystému Apple jsou bezpečnostní otázky nebezpečně silnou zbraní, jejich zapomenutí představuje problém, proto vám chci připomenout, co byste měli měli preventivně zkontrolovat a nastavit.

Doporučuji si projít preventivně svoje účty a zkontrolovat, zda se vás problém také netýká.

Důležité: Nehádejte otázky, pokud je nevíte. Máte 5 pokusů, po kterých se účet zablokuje a zavřete si tím natrvalo cestu. Pokračování textu Bezpečnostní otázky Apple ID – preventivní opatření

Napadený router – Mýty a pověry

Předchozí článek o napadeném routeru, vydaný včera dopoledne, dnes citoval server Novinky.cz. Pod článkem se rozjela diskuze laiků a rád bych zde zmínil několik mýtů, které je dobré pochopit.

Pozn.: Ne, nepokouším se s diskutujícíma polemizovat, ani reagovat na některé vyloženě hloupé názory. Od některých čtenářů ale padly zajímavé připomínky, které si doplnění zaslouží.

Mýtus: Útok ohrožuje pouze Windows

Jiří Glac, Praha – Proč zase redaktoři mystifikují, jako by se problém týkal všech PC připojených do Internetu, když se opět tento problém týká světa Windows (TM). Zbytečně strašíte lidi kteří doma jedou na GNU/Linuxu či nakouslém jablku…

Tento konkrétní útok byl opravdu ohrožením pouze pro Windows, ale rozhodně nelze říct, že by ostatní platformy byly v bezpečí.

Pokračování textu Napadený router – Mýty a pověry

Tak to je on, první napadený router v ČR

Od víkendu se můžete dočíst, že velmi závažný způsob útoku se už objevil i v ČR. Podstata útoku spočívá napadení routerů, těch malých a zd

Router a jeho majitel
Tak to je on, nenápadný škůdce a jeho „šťastný“ majitel, pan Tomáš.

ánlivě jednoduše vypadajících krabiček, kterou máte doma nejspíš i Vy. Jistě jste o tom už slyšeli, tohle riziko je teoreticky propíráno IT médii přes rok, ale teď tu máme první reálný výskyt. A hned se zaměruje na mainstream typu Seznam.cz a Google.

Článkem se nechci vychloubat (i když mi současná publicita příjemně drbe ego), ale chci uvést na pravou míru několik mýtů, které se kolem případu ozývají, zejména od chytrolínů v diskuzích.

Pokračování textu Tak to je on, první napadený router v ČR

Vsetínský Barcamp ve Zlíně

Bylo mi jasné, že srovnávat se s loňským ostravským Barcampem, který se mimořádně vydařil, bude velmi obtížné pro všechny další ročníky. Přesto Vsetínský Barcamp ve Zlíně dokázal zaujmout a i přes drobné nešvary jsem nakonec odjel nadšený!

Baťův institut 14|15

Prostory pro Barcamp jak stvořené. Nádherná nová budova zlínského muzea si touhle akcí udělala dobré jméno a dokázala zaujmout. Mrzí mě, že jsme se nakonec nestihli v otevírací době podívat do expozic v ostatních sálech. Prošel jsem si webové stránky institutu a zřejmě jsme o hodně přišli. No, prý příští rok organizátoři počítají s dalším zlínským Barcampem, tak je na co se těšit. Tou dobou už snad probublají budovy i do map a navigací, tak nebude problém s objednáním jídla na Dámejídlo.cz (systém adresu neznal) a nebude třeba řidiče navigovat — už se nestane, že pražák přijede z Plzně do Zlína a pak radí zlínskému řidiči, kudy jezdit po Zlíně.

Pokračování textu Vsetínský Barcamp ve Zlíně

Jak si vyrovnáváte dluhy ze společných nákupů na dovolených?

Jedete s přáteli na týden na dovolenou autem, takže jeden z vás zaplatil naftu, druhý zaplatil za společný nákup jídla, pak někdo platil ubytování v chatkách pro více lidí, atd atd… Po týdnu je závěřečné vyrovnávání dluhů z pravidla peklo, znáte to. Vytahují se paragony, vyškrtávají se ze společného nákupu položky, které si někdo koupil jen pro sebe a ve finále nastane zmatek, když si mezi sebou předáváte drobné.

David Vávra přesně na toto řešení vytvořil aplikaci do telefonu. Jmenuje se Dlužníček, zapisujete do něj nákupy a u každého uvedete, kdo z party jej platil a seznam lidí, kteří z něho měli užitek.

Pokračování textu Jak si vyrovnáváte dluhy ze společných nákupů na dovolených?

Amazon Glacier – Mimořádně levné zálohování dat

Na konci srpna Amazon představil novou službu Glacier (česky Ledovec) určenou pro zálohování, samotné skladování dat je mimořádně levné, řádově haléře za gigabajty dat měsíčně.

Glacier je tak ideální cloudové úložiště pro zálohování velkých objemů dat, která právě teď nepotřebujeme, ale rádi bychom si je uchovali pro strýčka Příhodu. Kromě zmíněné cenové politiky má i další příznivé vlastnosti:

  • je bezpečný – vaše data jsou šifrována a nedostanou se tak do nepovolaných rukou,
  • je stabilní – předpokládá se spolehlivost 99,999999999%, což je mnohonásobně více, než kterékoliv vaše záložní disky,
  • je flexibilní – nejsou stanovena žádná minima ani maxima, nahrávejte kolik chcete kdykoliv potřebujete,
  • a umožňuje automatické zpracování – nemusíte data do Glacieru nahrávat ručně, vše lze snadno automatizovat.
Amazon Glacier – All Rights Reserved © 2012Tnooz

Pro koho je Amazon Glacier určen

Nyní nejspíš jen pro firmy, programátory a technické nadšence. Služba vyšla na světlo před několika dny, vhodné nástroje na její použití teprve vznikají. Postupem času bude zálohování do Glacieru možné jedním kliknutím v mnoha aplikacích (např. správce fotek, hudby, z telefonů, záloha webů v hostingu atd.).

Cena podrobně

Všechny ceny uvádím přepočtené na koruny podle aktuálního kurzu 20 Kč/1 USD a vycházím z cen stanovených pro datacentrum v Irsku (viz dále).

Skladování dat – 0,22 Kč za GB / měsíc Pokračování textu Amazon Glacier – Mimořádně levné zálohování dat

Čárové kódy na webových stránkách

Čárové kódy známe všichni, jsou to ty podivné čárky a čísly na krabici mléka, sušenkách i kondomech.

Pokud ale vyvíjíte webové aplikace, může se dříve nebo později dostavit požadavek vložit čárový kód i do stránky určené k tisku (například faktura). Samotné vygenerování kódu není takový problém, existují k tomuto účelu desítky různých on-line generátorů i off-line generátorů. Tyto generátory pomocí parametrů v URL vygenerují obrázek, který se klasicky pomocí <img> vloží do stránky.

Samotný problém ale bývá s vložením kódu do stránky tak, aby se zobrazil i na počítači bez internetu (např. při uložení dokumentu na flešku) a aby při tisku nedocházelo k rozostření hran, které jsou způsobeny rozdílem DPI mezi obrazovkou a tiskárnou.

Pokračování textu Čárové kódy na webových stránkách

MojeID – taky trocha kritiky

Nedávno spuštěné službě mojeID, kterou provozuje CZ.NIC se věnuje velká pozornost, zejména od odborné veřejnosti. Naprostá většina ohlasů je kladná, leč mezi nimi se občas objeví nějaký nespokojený výkřik, který často ale pramení z nepochopení principu služby. Chtěl bych se zde zabývat několika problémy kolem této služby, na které narážím.

Tomuto článku by měl předcházet alespoň jeden pochvalný, ale žádný takový na mém blogu nenajdete. Podobných článků je na internetu více a další stále přibývají, například seriál Jak na MojeID od kolegy Jiřího Kolaříka, nebo Jedno heslo přímo od provozovatele služby.

Přesto bych rád úvodem poznamenal, že mojeID považuji za úžasnou službu. Pokračování textu MojeID – taky trocha kritiky