Hejto.pl
Dodaj post

Wpisz coś do wyszukania (minimum 2 znaki)

#itsecurity

Fanatyk

w Hydepark

13piorunów

PSA: Jeśli używacie w swoich wyvibecodowanych projektach wrappera/proxy do modeli językowych, zwanego LiteLLM to sprawdźcie sobie jakie macie wersje, a jeśli instalowaliście wczoraj, to lepiej zrotujcie sobie wszystkie klucze jakie tam macie, zanim skończycie z rachunkami za pizdyliard tokenów i innych zasobów. ( ͡°( ͡° ͜ʖ( ͡° ͜ʖ ͡°)ʖ ͡°) ͡°)

Swoją drogą bardzo ładny case study ataku typu "supply chain". Wisienką na torcie jest to, że Trivy, narzędzie, przez które im wbili do CI/CD, to narzędzie "security".

https://www.theregister.com/2026/03/24/trivy_compromise_litellm/

https://blog.dreamfactory.com/the-litellm-supply-chain-attack-a-complete-technical-breakdown-of-what-happened-who-is-affected-and-what-comes-next

Osobistość2piorunów

W robocie jest. Jutro wracam to się zobaczy czy była jakaś panika.

Fanatyk2piorunów

@szatkus-4 Jeśli nie było, to ja bym zrobił. A następnie lał w pysk devów, którzy nie pinują wersji zależności. ( ͡° ͜ʖ ͡°)

Pokaż więcej komentarzy (2)

Specjalista

w Cybersecurity

0piorunów

Kiedy ostatnio podczas rejestracji na jakiejś stronie internetowej otrzymaliście login i hasło w treści maila rejestracyjnego?

Gruba ryba1piorunów

Nigdy. To by było głupie, hasło przecież ja sam tworzę.

Specjalista0piorunów

@Konto_serwisowe No, a gdybyś stworzył swoje hasło i dostał je plain textem w treści maila? :upside_down_face:

Gruba ryba0piorunów

@utvikler Sprawdziłbym do którego roku lat dziewięćdziesiątych się przeniosłem.

Pokaż więcej komentarzy (5)

Fenomen

w Hydepark

3piorunów

Jako że często hejtuje różnych dostawców za brak poszanowania prywatności a jednoczenie chwalę to nie mogę się powstrzymać i muszę dodać ten artykuł.
Polecieli w kulki czy nie polecieli :) odpowiedź moim zdaniem jest oczywista ale ciekaw jestem co powie sąd.

https://imagazine.pl/2024/12/03/pracowniczy-pozew-przeciw-apple-z-oskarzeniami-o-naruszenie-prywatnosci/

Osobistość2piorunów

"Można się oburzać na Apple, szczególnie widząc porównania do „więziennego dziedzińca”, jednak to akurat wydaje się mocno nietrafione. Nikt siłą pana Bhaktę w Apple nie trzyma, w przeciwieństwie do osadzonych, którzy na prawdziwych więziennych dziedzińcach przebywają wbrew własnej woli (choć najczęściej na własne życzenie)."

Redaktorzyna niezły kuc sam korzystający z zupełnie innych praw niż pracownik w Stanach. Duża kwestia czy pracownicy mają to w umowie o pracę.

Autorytet

w Komputery

7piorunów

Kiedyś to były czasy, dziś nie ma czasów.

Fanatyk6piorunów

@dolitd pierwszy raz to na oczy widzę.

Fenomen2piorunów

@Acrivec już lepiej jakby wrzucił scrackowanego (tak XD) Eset Firewalla, Avasta, Comodo albo Avira :D

Autorytet0piorunów

@Acrivec Serio? Jeden z najlepszych firewalli do domowego użytku. Bardziej dla zaawansowanych użytkowników, ze względu na dużą swobodę konfiguracji i potencjalnie mnóstwo alertów bezpieczeństwa, co mogło przerazić zwykłych ludzi. Aż mi łezka poleciała jak go wycofali.

Pokaż więcej komentarzy (4)

Zawodowiec

w Bezpieczeństwo

8piorunów

Bezpieczeństwo API - devszczepaniak.pl

Temat bezpieczeństwa API to temat rzeka, o którym można by napisać książkę. Na sam początek myślę, że wystarczy artykuł. W podlinkowanym artykule przedstawiłem wybrane aspekty bezpieczeństwa API, z naciskiem na REST API oparte na protokole HTTP. W artykule zawarłem opis popularnych

Zawodowiec

w Programowanie

1piorunów

Korzystasz z plików .env w projektach Node.js? Istnieją co najmniej dwa powody, dla których nie warto tego robić!

Pierwszym problemem z plikiem .env jest to... że jest plikiem. Pliki .env często zawierają wrażliwe wartości np. hasła czy sekrety. Istnieje kilka sposobów na omyłkowe upublicznienie tego pliku, takie jak dołączenie go do obrazu dockerowego czy przypadkowy commit do repozytorium. Ponadto, osoba uprawniona do odczytu pliku ma dostęp do wszystkich zmiennych w nim zawartych!

Drugim problemem z plikami .env jest... wbudowane wsparcie dla nich od Node.js 20.6.0. Dotychczas, jednym ze sposobów na pracę z plikami .env była paczka dotenv. Mimo dodania wsparcia w Node prawdopodobnie w wielu projektach ta paczka pozostanie... a jest to błąd! Dalsze wsparcie dla tej paczki, w kontekście ostatnich zmian w Node.js mija się z celem, przez co szansa na naprawianie błędów (w tym błędów bezpieczeństwa) maleje.

          

Sprawdź linki, by dowiedzieć się więcej:

- https://dev.to/gregorygaines/stop-using-env-files-now-kp0

- https://nodejs.org/en/blog/release/v20.6.0

Gruba ryba0piorunów

@elszczepano Czy ja dobrze zrozumiałem że jednym z argumentów przeciwko plikom dotenv jest ich natywne wsparcie przez nodejs? Świat JSa nigdy nie przestanie mnie zaskakiwać xD

Inne ekosystemy: Hej nasz framework dodał coś, do czego wcześniej używaliśmy zewnętrznej biblioteki, więc możemy z niej bezpiecznie zrezygnować.

JS: Hej nasz framework dodał coś, do czego wcześniej używaliśmy zewnętrznej biblioteki, WIĘC MUSIMY NATYCHMIAST CAŁE TO ROZWIĄZANIE WYWALIĆ Z PROJEKTU I WSADZIĆ COŚ NOWEGO I MODNEGO, NAJLEPIEJ POWSTAŁEGO W ZESZŁYM TYGODNIU

( ͡° ͜ʖ ͡°)

Natomiast co do pierwszego argumentu to też średnio się zgadzam :v nie dość że zazwyczaj konfig tam jest związany mocno z lokalnym środowiskiem (no, może ewentualnie jakieś api keye do stagingu sie pojawią), to jeszcze przecież nikt tego ręcznie nie "odznacza" ani z commita ani z dockera tylko zajmują się tym odpowiednie configi których wystarczy nie ruszać. Ktoś chyba celowo by musiał regułę z gitignore wywalić?

I to nie tak że się całkiem z tezą nie zgadzam, ot podnoszę dialog xD

Osobistość0piorunów

@Barcol jak myslisz, goscie od node.js nie ogarniaja czy moze jakis randomowy ziomek co prowadzi bloga jest w bledzie? Gosc prowadzi bloga i promuje sie tutaj. I niby spoko, ale jak sam pisze kodowanie profesjonalne zaczal w polowie 2018. Ja nie mialbym tyle odwagi zeby po tak krotkim czasie kreowac sie na eksperta.
.env jest spoko, to jest standard w js, koncepcja jest zrozumiala dla kazdego. Wystarczy tego nie wkomitowac na git'a i jest ok.

Gruba ryba0piorunów

@666 Pięknie przedstawione pytanie: 3 tysiącę technicznych kontrybutorów, czy jeden random. Tylko że na community nodejs nie składa się jeden sam autor bloga, tylko rzesza ludzi o wiele większa niż gromada jego twórców, i w której to grupie ogrom jest osób, które jak sam zauważyłeś, są pewnie w błędzie. A to właśnie oni ustalają trend, jako grupa. Oni podejmują wybory, które w perspektywie czasu doprowadzają do upadku lub rozrostu danych rozwiązań. Humorystyczna wstawka jaką umieściłem z capslockiem ma za zadanie podkreślić, że akurat w świecie JSa (pewnie przez jego popularność) takie dziwne uciekanie od przestarzałych (czyli starszych niż rok) rozwiązań, na rzecz tych z zeszłęgo tygodnia/miesiąca, jest standardem. IMO doskonale oddaje to satyryczny artykuł (prehistoryczny, ma 7 lat i dwa tygodnie) dostępny tutaj: https://hackernoon.com/how-it-feels-to-learn-javascript-in-2016-d3a717dd577f

Żeby nie było że gadam bzdury bez poparcia: Jest taki nowy framework JSowy o nazwie Bun. W zasadzie to runtime, menadżer paczek, i wiele innych w jednym. Bun w pierwszej stabilnej wersji ma dopiero miesiąc. Już od paru osób słyszałem, że koniecznie muszą przepisać na niego swój projekt xD A dodatkowo już zdążył trafić np. do Railsów w wersji 7.1 XD

Co do konkluzji to sam używam chętnie dotenva i nie mam zamiaru go porzucać, natomiast nie mogę odmówić autorowi posta, że faktycznie dobrze jest go nie commitować xD A niewspierane paczki z lukami bezpieczeństwa - porzucać.

How it feels to learn JavaScript in 2016 | HackerNoonNo JavaScript frameworks were created during the writing of this article.Hackernoon
Zawodowiec0piorunów

@666 po ilu latach programowania odbiera się licencję eksperta?

Osobistość0piorunów

@elszczepano nie obrazaj sie. Pisze o swoim punkcie widzenia. Moj jest po prostu inny. Co do ilości lat kodowania to niestety doswiadczenie mi mowi ze ekspertami sa ludzie kt siedza w temacie 8, 10 i wiecej lat. Dodatkowo większość z nas nie bd nigdy ekspertem tylko zwyklym klepaczem kodu - za takiego sie uwazam.

Co do samego tematu: artykuł kt podlinkowales trigeruje mnie. Bait'owy tytul a la yutuberowi znawcy od wszystkiego. .env bd żył jeszcze długo i nic tego nie zmieni, dziala dobrze. Ma wiele zalet: battle tested i praktycznie nie trzeba tego utrzymywać ani poświęcać czasu. Programisci zapominaja ze kod ma zarabiac na siebie, a nie dawac radosc z testowania na prodzie nowosci.

Zawodowiec1piorunów

@666 spokojnie, nie obrażam 😉

Nie staram się pozować na eksperta, raczej na kolesia, który lub dzielić się zdobytą wiedzą. Opublikowana notka była czymś na zasadzie luźnej rozkminy i przemyślenia którą kiedyś sobie zapisałem gdzieś na boku. Możliwe, że troche zbyt baitowa forma, ale shit happens :man-shrugging:

Z .env sam korzystam, ale uważam że są lepsze rozwiązania ale to już raczej temat na wpis na bloga (z mniej baitowym tytułem ;)).

Z zaletami się zgadzam, ale co do zarabiania kodu na siebie to mój główny problem z dotenv jest taki, że IMO skończy tj. lodash, który ostatni release na npm miał w 2021 roku. Wtedy wystarczy, że ktoś znajdzie w nim jakiś poważny vuln i robi się problem.

Zawodowiec1piorunów

@elszczepano a jaka alternatywa dla `.env` ? Bo nie wiem, czy wiesz, ale jest `.gitignore` i `.dockerignore`, dzięki którym nikt przypadkowo nie wcommituje/nie doda pliku do git/docker.
`.env` rozwiązuje problem różnych konfiguracji lokalnych dla różnych developerów. Każdy z nich ma inny system operacyjny, różne porty, różne hasła, różną konfigurację. Jeden lubi naleśniki, drugi jak mu nogi śmierdzą. Skoro nawet twórcy node to dostrzegają i dodają natywne wsparcie, to czemu z tego nie korzystać? Podaj alternatywę.

Pokaż więcej komentarzy (7)

Osobistość

w Hydepark

0piorunów

  

Hej okazuje się że chyba muszę zmienić wszystkie hasła. Jaki manager haseł polecacie?

Pokaż więcej komentarzy (10)

Specjalista

w Cybersecurity

2piorunów

Cześć, pracował ktoś z was jako Vulnerability Management Engineer/ Vulnerability Scanning Engineer dla Fujitsu w Łodzi?

Jakie wrażenia, atmosfera, szkolenia itd.? Idealnie byłoby się też dowiedzieć jakie proponują widełki i sprzęt na jakim pracują. Niedługo mam drugi etap rozmowy o pracę i z chęcią dowiem się czy warto pchać się w to dalej - gowork niestety nie ma o nich dobrej opinii.

Wielkie dzięki za wszelkie odpowiedzi! :grinning:

      

Specjalista0piorunów

@Wisienkowy hej! 7 lat to już trochę jest :grinning: skoro już tyle, to rozumiem, że nie narzekasz?

Specjalista1piorunów

@MHLDSW Były gorsze i lepsze momenty. Przedmówca nakreślił już jak wygląda to i owo. Na pewno nie jest to kołchoz jak GFT.

Pokaż więcej komentarzy (10)

Tytan

w Self-hosted

11piorunów

Nie korzystaj z _bezpłatnych_  ( ͡° ͜ʖ ͡°)

  

Kosmonauta1piorunów

Wiadomo, jak zapłacisz to na pewno nikt by nawet nie pomyślał o tym, by tak czy srak sprzedawać twoje dane ( ͡°( ͡° ͜ʖ( ͡° ͜ʖ ͡°)ʖ ͡°) ͡°)
Tak samo, jak przeceny z okazji likwidacji sklepu ( ͡° ͜ʖ ͡°)

Pokaż więcej komentarzy (3)

Tytan

w Wykop

5piorunów

Zabezpieczenia na  działają znakomicie. Przypominam, że jak jeszcze macie tam konto to są tam dane Waszego adresu e-mail, numer telefonu, hasło itd.

 

Kosmonauta2piorunów

@AdmiralAwesome Tak się podekscytowałem bo BitWarden to moje odkrycie roku 2022 i teraz nie wyobrażam sobie funkcjonowania bez niego, świetna rzecz.

Pokaż więcej komentarzy (5)

Twórca

w Technologia

21piorunów

Wbił się do wewnętrznego panelu admina Google. Pomógł całkowity przypadek: awaria w dostawie prądu...

Ciekawa podatność, za którą Google wypłacił $13337. Jeśli wczytacie się w opis problemu, to w zasadzie… nie ma tam żadnego hackingu. Badacz zaczął od prób dobicia się (z poziomu Internetu) do pewnego adresu IP Googla, ale nieskutecznie. Na drodze stawał ekran logowania (Google

Tytan

w Self-hosted

5piorunów

Zanim wystawisz swój  na świat, zapoznaj się z poradnikiem, jak go wcześniej zabezpieczyć.

Self-Hosting Security Guide for your HomeLab - YouTube

  

Tytan0piorunów

@LM317T zapraszam do dołączenia do społeczności bo będzie ich znacznie więcej. ( ͡° ͜ʖ ͡°)
Zabieram się do przebudowania własnych labów (w dwóch różnych lokalizacjach) i postaram się robić z tego wpisy.

Pokaż więcej komentarzy (2)