11 sierpnia 2023

◢ #unknownews ◣

Zapraszam do lektury najnowszego wydania przeglądu tygodnia z ciekawymi treściami z branży IT.

1) Omijanie technik utrudniających debugowanie JavaScriptu https://www.nullpt.rs/evading-anti-debugging-techniques INFO: Kiedy zajmujesz się debugowaniem kodu napisanego i rozpowszechnianego przez osoby trzecie, na twojej drodze mogą pojawić się podstępne pułapki, które uniemożliwią działanie zwykłych technik. Co dalej? Wyłączyć punkty zatrzymania w DevTools? Użyć proxy? A może przekompilować całą przeglądarkę? ;)

2) Metodologia testowania konfiguracji Kubernetes https://securitycafe.ro/2023/02/27/a-complete-kubernetes-config-review-methodology/ INFO: Istnieje wiele aspektów konfiguracji Kubernetes, które trzeba wziąć pod uwagę przy pentestach i przeglądzie konfiguracji. Ten artykuł zawiera spis mniej oczywistych rzeczy na które warto rzucić okiem.

3) Obsługa spacji w skryptach shellowych = piekło programisty? https://blog.plover.com/Unix/whitespace.html INFO: Każdy, kto próbował napisać skrypt operujący na plikach np. w Bashu, wcześniej, czy późnej natknął się na problemy z obsługą plików ze spacjami w nazwie. Myślisz, że wystarczy odpowiednie zmienne wrzucić w cudzysłów i gotowe? No to masz rację… tylko ten cudzysłów trzeba niekiedy zastosować np. trzykrotnie.

4) Cztery popularne problemy z obsługą czasu w PostgreSQL https://korban.net/posts/postgres/2017-09-29-four-levels-of-time-handling-in-database/ INFO: Obliczanie różnic między datami, obsługa stref czasowych, śledzenie zmian danyc w czasie itp. To wszystko popularne operacje przy których można jednak zaliczyć wpadkę. Dowiedz się, jak jej uniknąć.

5) Na czym polega "SMS Traffic Pumping Fraud" i jak się zabezpieczyć? https://support.twilio.com/hc/en-us/articles/8360406023067-SMS-Traffic-Pumping-Fraud INFO: Posiadasz w swojej aplikacji opcję przypominania hasła na SMS? a może wysyłasz kod autoryzacyjny tym kanałem komunikacji? a może użytkownik SMS-em otrzymuje linka do pobrania aplikacji? Nie ma znaczenie do czego używasz SMS-ów, jeśli tylko odpowiednio nie zabezpieczysz swojej aplikacji, to skończysz z ogromnym rachunkiem za usługę wysyłki wiadomości, a oszuści zrobią sobie z Twojej aplikacji źródło zarobku. Z artykułu dowiesz się, jak się przed tym oszustwem bronić.

6) SweepAI - Junior Developer bazujący na AI? https://github.com/sweepai/sweep INFO: Wyobraź sobie, że masz w teamie juniora, który nasłuchuje na proste zgłoszenia (issues) na GItHubie i po prostu wykonuje je, dodając do repozytorium nowe pull requesty. Tak właśnie działa Sweep. Ma wersję darmową. Jeśli chcesz pracować na GPT 3.5, to nie masz limitu issues. Jeśli chcesz przenieść się na GPT-4, to niestety na wersji darmowej możesz wykonać tylko 5 zadań na miesiąc.

7) Przegląd metod i narzędzi do scrapowania treści webowych https://nerdleveltech.com/web-scraping-learn-how-to-use-tools-and-techniques/ INFO: Chcesz pobierać automatycznie treści z innych stron np. w celu analizy danych? Niekiedy może to być skomplikowane i może wymagać specjalistycznych technik lub narzędzi przeznaczonych do tego celu. Ten poradnik może podsunąć Ci kilka nowych pomysłów związanych ze scrapingiem treści.

8) OWASP TOP10 dla modeli językowych (LLM) już jest! https://owasp.org/www-project-top-10-for-large-language-model-applications/assets/PDF/OWASP-Top-10-for-LLMs-2023-v1_0.pdf INFO: Prawdopodobnie kojarzysz słynne zestawienie TOP10 od OWASPA związane z podatnościami webowymi. Od kilku miesięcy opracowywany był podobny raport dla LLM-ów. Oficjalna wersja 1.0 została właśnie upubliczniona. Zdecydowanie warto rzucić okiem jeśli tworzysz systemy wspierane przez AI i modele językowe.

9) Zmarł Bram Moolenaar - twórca edytora VIM https://www.theregister.com/2023/08/07/bram_moolenaar_obituary/ INFO: Jego edytor tekstu (ulepszona wersja VI) to aplikacja instalowana domyślnie w większości dystrybucji Linuxa/Unixa. Jednak Bram poza pracą nad edytorem, mocno udzielał się w pracy charytatywnej, a sam Vim (od 1995 roku) był oprogramowaniem Charityware. Więcej w artykule.

10) Wpis blogowy zawierający wszystkie tagi HTML-a https://www.patrickweaver.net/blog/a-blog-post-with-every-html-element/ INFO: To nie jest lista tagów, a ich omówienie wraz z przykładami użycia. Przydatne dla osób dopiero uczących się HTML-a (aby np. rozróżnić UL od OL, czy DT/DL/DD od siebie). Bardziej zaawansowanym frontendowcom przyda się do usystematyzowania swojej wiedzy.

11) Ciekawe zaburzenia w ChatGPT (zapis sesji) https://chat.openai.com/share/f5341665-7f08-4fca-9639-04201363506e INFO: To pełen zapis rozmowy jednego z użytkowników z chatem. Trzeba przyznać, że chat mocno odpłynął. Ciekawi mnie tylko, co było wyzwalaczem tego zachowania.

12) (Nie)bezpieczeństwo tokenów przechowywanych w VS Code https://cycode.com/blog/exposing-vscode-secrets/ INFO: Okazuje się, że "Secure token storage" wcale nie jest taki bezpieczny. Odpowiednio przygotowane rozszerzenie na możliwość przeprowadzenia ataku kradzieży tokenu.

13) Jak znane startupy B2B wpadły na swój pierwotny pomysł na produkt? https://www.lennysnewsletter.com/p/how-the-most-successful-b2b-startups INFO: Bardzo rozbudowany artykuł z analizą kilkunastu znanych marek i ich produktów. Okazuje się, że nie każdy startup zaczynał od rozwiązywania super palącego problemu. Ciekawa lektura.

14) Lista 9 aplikacji bazujących na AI, które mogą przydać się programiście https://alex-omeyer.medium.com/9-ai-tools-every-software-developer-needs-to-try-1a3f888b52e INFO: Narzędzia do refactoringu kodu, do tworzenia dokumentacji, do tworzenia testów i wiele innych. Istnieje szansa, że znajdziesz tu coś, czego nie znasz i przyda Ci się to w codziennej pracy.

15) Naucz się logiki w JavaScript, rozwiązując zestaw zagadek https://www.mathsuniverse.com/tixy INFO: Zadanie w każdym przykładzie polega na narysowaniu wzoru podanego jako przykład za pomocą podanych w nagłówku zmiennych (nie zawsze wszystkich - niekiedy tylko jednej). Zmienne łącz w wyrażenia logiczne i zaliczaj kolejne etapy. Zdecydowanie polecam przechodzić etapy kolejno, aby zaznajomić się z mechaniką zadań.

16) AI potrafi podsłuchać (dosłownie) Twoje hasło https://www.bleepingcomputer.com/news/security/new-acoustic-attack-steals-data-from-keystrokes-with-95-percent-accuracy/ INFO: Idea rozpoznawania wpisywanego hasła na podstawie dźwięków klawiatury nie jest nowa. Ma już wiele lat. Jednak dopiero wraz z mocnym rozwojem sztucznej inteligencji dopracowano skuteczność tej metody do niemal 95%.

17) Hackerom udało się odblokować płatne funkcje w Tesli https://electrek.co/2023/08/03/hackers-manage-unlock-tesla-software-locked-features/ INFO: Samochody Tesli mają wiele płatnych funkcji (podgrzewane siedzenia, pełny autopilot, super przyspieszenie itp.), które aktywowane są softwarowo po opłaceniu abonamentu powiązanego z wybraną funkcją. Hackerzy opracowali esploatacyjne umożliwiającego bezpłatne odblokowanie tych funkcji.

18) Jak używać składni JSX bez potrzeby użycia Reacta? https://chriscoyier.net/2023/08/07/jsx-without-react/ INFO: Jeśli lubisz składnie templatów JSX, a jednocześnie nie chcesz i nie potrzebujesz dodawać do swojego projektu całego Reacta, to NakedJSX jest dla Ciebie.

19) Praca z Heap Snapshotami, czyli wyższy poziom web scrapingu https://www.adriancooney.ie/blog/web-scraping-via-javascript-heap-snapshots INFO: Puppeteer potrafi oprować na zrzutach pamięci uruchomionej aplikacji, a Twoja aplikacja może te zrzuty parsować. Niekiedy to jedyna metoda na dobranie się do treści strony, której autor bardzo utrudnia (celowo lub przez pisanie beznadziejnego kodu) jej prasowanie.

20) CyberAlerty Niebezpiecznika będą teraz dodatkowo dostępne w… GaduGadu https://gadu-gadu.pl/2023/08/10/wlacz-w-gg-alert-niebezpiecznika-o-zagrozeniach/ INFO: Cyberalerty to darmowa usługa, która powiadomi Cię o nowych globalnych cyberatakach na terenie naszego kraju (nowe phishingi, oszustwa, wycieki danych itp.). Można je otrzymywać mailowo, przez dedykowaną aplikację, a od wczoraj także i na GaduGadu (tak, ten komunikator nadal istnieje).

21) Automatycznie generowowane ataki prompt injection https://www.schneier.com/blog/archives/2023/07/automatically-finding-prompt-injection-attacks.html INFO: Modele językowe takie jak GPT-3.5, czy spora część otwartoźródłowych modeli, przeważnie nie odpowiadają na pytania nielegalne lub mogące komuś zaszkodzić. Oczywiście istnieją metody obchodzenia tych zabezpieczeń (np. DAN), ale wymagają one bardzo długiego zapytania i odgrywania ról. Okazuje się jednak, że niemal każdy prompt można 'rozbroić' używając dodatkowych kilkuset znaków w zapytaniu. W pierwszym akapicie artykułu jest link do badania, które zgłębia temat.

22) Linkwarden - samohostowalna aplikacja do kolekcjonowania linków https://linkwarden.app/ INFO: Jeśli szukasz serwisu dzięki któremu możesz zachować do poczytania na później (jak w Pocket/Instapeper) znalezione artykułu, to ta aplikacja jest dla Ciebie. Umożliwia ona nie tylko zapisanie linka, dodanie do niego notatek, tytułu itp, ale także zachowanie jego zawartości (np. jako zrzutu kodu, czy screenshota). Na stronie masz niby cennik, ale wersja do samodzielnego hostowanie jest bezpłatna.

23) Używasz aplikacji NightOwl na Macu? To ją usuń! https://robins.one/notes/uninstall-the-nightowl-app-now.html INFO: To aplikacja do automatycznej zmiany trybu Darkmode/Lightmode, kupionaa przez firmę, która mocno zmieniła jej politykę prywatności. Obecnie użytkownicy aplikacji są częścią czegoś na wzór botnetu.

24) Co się dzieje w systemie, gdy python wyświetla "Hello World" na Linuksie? https://jvns.ca/blog/2023/08/03/behind--hello-world/ INFO: Analiza procesu wyświetlania tekstu. Od interpretacji polecenia, przez odnalezienie właściwego interpretera, wywołanie odpowiedniego syscalla itp. Coś dla osób, które chcą lepiej poznać jak działa system Linux.

25) Numbr - inteligentny kalkulator i notatnik (WEB / rozszerzenie) https://numbr.dev/ INFO: Może działać jako aplikacja webowa lub jako rozszerzenie do Chrome. Umożliwia definiowanie zmiennych i używanie ich w późniejszych obliczeniach oraz tworzenie notatek. Pobiera na żywo kursy walut (także crypto). Przykłady użycia można zobaczyć na animacji na stronie głównej projektu.

26) Pure functions na przykładach - czym są i jak działają? https://devszczepaniak.pl/pure-functions INFO: Czym różni się funkcja 'pure' od klasycznej 'impure'? Dlaczego miałbyś korzystać z tych pierwszych jeśli ich tworzenie to dodatkowy narzut pracy? jakie dają benefity? Pożyteczna wiedza nie tylko do użycia w pracy, ale także do przygotowania się np. na rozmowę o pracę.

27) Typst - czyżby skrajnie prosty w obsłudze następca LateXa? https://typst.app/ INFO: Aplikacja online pozwalająca skupić się na tworzeniu treści, a jej wygląd zostanie dopasowany do naszych potrzeb. Można pracować nad jednym dokumentem w wiele osób. Obecnie aplikacja jest w fazie darmowej, publicznej bety.

The rise of Stored XSS - an OWASP Application Security Threat! What precautionary measures are you taking? #owasp #owasptop10 #owaspeaker #owasplatamtour #owaspkyiv #owaspmanizales #owaspa #owaspzap #owasplatamtour2018 #owaspseasides #owasp2017 #owasplondon #owaspmemphis #owasplatamtour2017 #owaspnagoya #owaspicy #owaspbsb #owasphotography #owaspthailand #owaspday2016 #owaspjuiceshop #owaspht #owasp758 #owaspseguridadcodigolibre #owaspjapan #owaspbayarea #owaspindonesiaday2017 #owasprivieramaya #owasplatamtour2016 #owaspnagpur https://www.instagram.com/p/BwpOLs1nIqH/?utm_source=ig_tumblr_share&igshid=1bocegazc8kkn

22 czerwca 2018

◢ #unknownews ◣

Ten tydzień był mocno zabiegany, więc wrzutka będzie tylko jedna. Miejmy nadzieję, że za tydzień statystyki będą lepsze ;)

1) Jak używać Wiresharka? Praktyczny poradnik https://jvns.ca/blog/2018/06/19/what-i-use-wireshark-for/ INFO: prawdopodobnie najkrótszy możliwy (i nadal sensowny) opis zastosowania tego analizatora pakietów

2) Kolekcja 11 bibliotek JavaScript do tworzenia animacji https://blog.bitsrc.io/11-javascript-animation-libraries-for-2018-9d7ac93a2c59

3) Skąd pochodzą nazwy komend unixowych? http://www.unixguide.net/unix/faq/1.3.shtml INFO: awk, grep, cat, tee, perl itp - jak utworzono te nazwy i co one naprawdę znaczą?

4) Dlaczego odkładasz rzeczy na później (prokrastynacja) - szybka diagnoza TWOJEGO przypadku https://whydoiprocrastinate.com

5) Naucz się języka AWK na przykładach https://gregable.com/2010/09/why-you-should-know-just-little-awk.html

6) Blooming Password - co to jest, jak to działa i dlaczego jest takie fajne. https://www.bloomingpassword.fun INFO: możesz użyć tego do sprawdzenia, czy user w Twoim systemie ma silne hasło, bez ujawniania tego hasła (ani jego hasha!)

7) Najnowsza (tegoroczna) infografika przedstawiająca drogę do zostania 'web developerem' https://github.com/kamranahmedse/developer-roadmap INFO: jak zostać front/back developerem lub DevOpsem - co musisz umieć, jakie narzędzia opanować itp

8) Kiedy i dlaczego powinieneś używać 'funkcji strzałkowych' w najnowszym JavaScript? https://medium.freecodecamp.org/when-and-why-you-should-use-es6-arrow-functions-and-when-you-shouldnt-3d851d7f0b26

9) Jak efektywnie informować użytkowników o błędach w aplikacji? https://narloch.eu/blog/tworzenie-uzytecznych-komunikatow-bledow/

10) Jak GitHub wykorzystuje MySQL jako główny silnika baz danych https://githubengineering.com/mysql-high-availability-at-github/ INFO: dobry tekst dla osób, które twierdzą, że MySQL to tylko zabawka, a nie baza danych

11) Masz ochotę dowiedzieć się, co o Tobie wie każda z ponad 100 firm? ta strona Ci pomoże https://mydatarequest.com/ INFO: serwis podaje linki skąd można pobrać swoje dane i/lub generuje maile z prośbą o ujawnienie wszelkich przetrzymywanych danych na Twój temat

12) OWASP Mobile Security Testing Guide - darmowy ebook online https://github.com/OWASP/owasp-mstg INFO: poradnik od OWASPa, jak testować i zabezpieczać aplikacje mobilne

13) Jak przygotować i hostować swoją statyczną stronę domową na Github Pages https://codeburst.io/create-your-developer-landing-page-with-github-pages-791c19227b30 INFO: w artykule podano repo z fajnym, gotowym do użycia szablonem dla devów

14) Najlepsze zasoby do przygotowania się na rozmowę kwalifikacyjną z wiedzy o JavaScript https://medium.freecodecamp.org/5-top-sites-for-javascript-interview-preparation-71b48e9a6c8a

15) Apple planuje wprowadzić w iOS 12 funkcję, która zdradza lokalizację telefonu, gdy dzwoni on na numer ratunkowy https://www.wpri.com/news/us-and-world/apple-sets-up-iphones-to-relay-location-for-911-calls-1/1246399748

16) Chcesz dodać swojego linka do zestawienia? http://bit.ly/unDodaj

17) Chcesz czytać unknowNews w sieci Minds? https://www.minds.com/unknow_uw