Hejto.pl
Motyw strony
Dodaj post

UnknowFenomen

Dołączył/a:

  • 673 wpisów
  • 152 komentarzy
  • 212 obserwujących
CiekawostkiNowe wydanie newslettera #unknowNews 👇 [#uN] 🌀 Internet na środku Bałtyku, dom zasilany e-papierosami, LLM-y vs
Fenomen2piorunów

@roadie zarzuty są słuszne. Artykuł zawiera raczej tylko drobne przeinaczenia czy nieporozumienia, ale z grubsza jest OK. Publikowałem info o wpadce na Linkedin przed publikacją artykułu przez Z3S.
https://www.linkedin.com/posts/unknow_ostatnio-sporo-eksperymentowa%C5%82em-z-vibe-codingiem-activity-7394252896248344576-xaBV

Ostatnio sporo eksperymentowałem z vibe codingiem. No nie idzie mi to zdecydowanie dobrze, czy tam mówiąc wprost - jestem w tym kiepski. Czy 'zvajbowany' serwis posiadający zero użytkowników może… | 🔥 Jakub Mrugalski | 57 commentsOstatnio sporo eksperymentowałem z vibe codingiem. No nie idzie mi to zdecydowanie dobrze, czy tam mówiąc wprost - jestem w tym kiepski. Czy 'zvajbowany' serwis posiadający zero użytkowników może stać się łakomym kąskiem dla hackerów? I to jak! Czytaj dalej 🧵 ↓ Celem było stworzenie od zera prostego landingu i panelu sterowania pod 'amerykańską' wersję Mikrusa (powoli takie coś powstaje). Narzędzie, którego chciałem się nauczyć był Cursor. Potrafi on nie tylko ogarnąć kod, ale i podstawową konfigurację serwera. Początek był piękny: hej Cursor, postaw mi 3 środowiska pod mój nowy projekt. Kilka minut i gotowe. Z kodem nie było tak łatwo, ale po dziesiątkach godzin pracy i po licznych eksperymentach z różnymi modelami udało się ogarnąć kilka podstawowych funkcji. ✅ Landing działa - trochę generyczny, ale mi się podoba ✅ Panel klienta - biedny, ale można np. zrestartować i przeinstalować VPS-a. Dobre na początek. ✅ Płatności - po wrzuceniu dokumentacji pośrednika płatności, ogarnęło się "samo". Po licznych testach stwierdziłem, że wszystko działa zgodnie z oczekiwaniami. Czas dać to komuś do przeklikania. Konta dostało dwóch testerów. Nooo... oni byli mniej optymistyczni niż ja. Bugi zostały poprawione. A później kolejne i jeszcze następne. Trzy dni temu dostałem maila od 'badacza security'. Pierwszy raz nie był to osobnik z Indii, a tym razem z Polski, więc się ucieszyłem. Za wcześnie. Raport w mało wyszukanych słowach informował o znalezieniu buga w konfiguracji serwera. Pomijając język, to jednak responsible disclosure :) Co konkretnie się stało? Domyślnie skonfigurowany Apache miał włączone listowania katalogów. No błąd jak błąd - jeden oleje, inny się przejmie. Tutaj jednak było gorzej. ZNACZNIE gorzej. Serwer umożliwiał publiczny dostęp do katalogu ".git", a to już jest CRITICAL 😱 Szybkie sprawdzenie logów pokazało, że odwołań do wspomnianego katalogu trochę było (2700+ sztuk), ale tylko z dwóch IP z Polski. Czyli pewnie pentester + jakiś jego znajomy. No OK, ale co włamywaczowi daje dostęp do katalogu .git? Delikatnie mówiąc: daje mu dostęp do WSZYSTKIEGO. Sądząc po liczbie requestów, pobrany został cały napisany przeze mnie kod [taaa... przez Ciebie ~cursor]. Dodatkowo dostęp do konfiguracji umożliwił także wykonywanie zapytań SQL na bazie danych. W systemie pojawił się nowy VPS o dość nietypowych parametrach: 8GB RAM + 69GB dysku. Oznacza to, że włamywacz (tutaj: pentester) był w stanie swobodnie manipulować bazą danych, a co za tym idzie, mógłby przejąć dowolne inne konto w systemie. No niefajnie. Jak poważny był to włam tak w skali od zera do "OMG WTF"? Zdecydowanie bliżej tego drugiego. Trzeba z tego wyciągnąć pewne wnioski. 1) vibe-tool to nie DevOps. Coś, co każdy admin domyślnie ogarnia w konfiguracji, tutaj nie zostało zaaplikowane. 2) każda firma posiada środowisko developerskie. Niektóre mają także osobne środowisko produkcyjne - if you know what i mean. [Ciąg dalszy nastąpi...] | 57 comments on LinkedInLinkedin
AILLM-y dla sceptyków — co programista może z nich wziąć?
Fenomen5piorunów

Chłopaki... a wy wiecie, że w całym wystąpieniu nie ma ani słowa o użyciu AI do generowania kodu, a komentarze tutaj są tylko o tym? :smiley:

Inspirator0piorunów

@Unknow nikt z nas nawet na linka nie najechał, ale wszyscy żywo uczestniczymy w dyskusji. Chyba prawilnie :smiley:

Autorytet0piorunów

@Unknow Cicho tam 🤪

Hydeparkhttps://x.com/uwteam/status/1929477528261144795 it #ciekawostki
Fenomen1piorunów
TechnologiaAsystent AI z bazą wiedzy w 3 minuty — Claude 3.5 Sonnet
Fenomen1piorunów

@Hajt o! super, że ktoś pamięta tak dawne czasy. Dzięki :slightly_smiling_face:👍

TechnologiaNapisałem artykuł, w którym opisuję, czym jest stosowany przeze mnie mailowy "onboarding", który
Fenomen1piorunów

@Arkil Wygląda to u mnie np. tak jak na screenie.

>BTW, w moim rozumieniu "onboarding" to zupelnie cos innego niż wynika z Twojego zdania

W branży IT niekiedy onboardingiem nazywa się wprowadzenie nowego pracownika do nowych zadań/projektów, które na niego czekają. Daje się mu wtedy dokumentację, niezbędne dostepy itp.

To słowo ma też inne znaczenia - np. wejście na pokład samolotu lub rozpoczęcie pracy z nową aplikacją (to też branża IT).

ProgramowanieJak wymuszać na użytkownikach stosowanie złożonych haseł, ale bez wprowadzania wymogów w stylu "duża
Fenomen1piorunów

@profil_e To nie działa w ten sposób, że metoda z wymuszaniem konkretnych znaków w haśle zabezpiecza nas przed ponownym użyciem tego samego hasła albo przed użyciem hasła, które zawiera słowo pochodzące ze słownika. Nie chroni nas ona także przed użyciem ciągu takich samych znaków. Tak po prostu nie jest.

Podobnie, metoda z obliczaniem poziomu entropii także nas przed tym nie zabezpiecza. Każda z tych metod wymaga dodatkowej warstwy ochrony. Ja omawiam tylko pierwszą warstwę, czyli wymuszanie konkretnych znaków lub nie robienie tego.

Każda kolejna warstwa, którą zechcesz zaimplementować, oczywiście będzie słuszna. Nie widzę tu żadnego problemu, aby zaimplementować ją zarówno w przypadku wymuszonych znaków, jak i w przypadku wyliczania matematycznego entropii.

Fenomen0piorunów

@profil_e implementacja tego w praktyce może wyglądać jak na obrazku. Wpisuj hasło tak długo, aż będzie zielone. Myślę, że nie raz trafiłeś na tego typu wskaźnik, bez absolutnie żadnych wytycznych do hasła. Przyznaj szczerze: byłeś skrajnie zagubiony, co należy zrobić?

Fenomen1piorunów
LINUXZabezpieczenia na hostingu VPS — jak to wygląda 'od zaplecza'? https://www.youtube.com/watch?v=NCvCCagy3NE To mój
Fenomen2piorunów

@groman43 garść pomysłów:

* firewall filtrujący (whitelist) połączenia na port SSH. Jeśli biała lista jest niemożliwa do osiągnięcia, to może blacklist z geoip?
* warto przemyśleć zastosowanie port knockingu
* fail2ban - to dorzucam do każdego swojego serwera
* włączenie logowanie kluczami po SSH

To powinno wystarczyć. Jeśli stosujesz odpowiednie reguły firewalla na porcie 22, to zmiana numeru portu nie jest konieczna — ale nie zaszkodzi 😉