Aktywne Wpisy
ewa-m +262
Jest taka stara baba w bloku, której pies ciągle ujada. Klatka schodowa jest wąska i wiadomo ze jak się mijasz z kimś, to obie strony się lekko odsuwają, ale nie to stare pudło.
Wczoraj dźwigałam 40 saszet dla kota i zakupy spożywcze dla siebie. Patrzę, biegnie kundel oczywiście bez kagańca i bez smyczy, za nim czarownica. Oczywiście nie odsunie się na milimetr bo to gwiazda.
Ja mam przed sobą wielkie pudło a
Wczoraj dźwigałam 40 saszet dla kota i zakupy spożywcze dla siebie. Patrzę, biegnie kundel oczywiście bez kagańca i bez smyczy, za nim czarownica. Oczywiście nie odsunie się na milimetr bo to gwiazda.
Ja mam przed sobą wielkie pudło a
Pechpechpech +44
#zwiazki nawet nie wiecie jak fajnie jest być singlem z wyboru. Mam 32 lvl I nie chce juz dziewczyny. Chwilę poszukałem, trochę poruchalem i jednak dziękuję. Dobrze mi samemu. W dzisiejszych czasach seks to nie problem. Jak by się uparł to co tydzień można inną ruchac bo kluby pełne p0lek. Od biedy można zapłacić. Fajne uczucie to to że nie muszę już się starać. Nie muszę już dążyć do ideału. Oczywiście dalej
Dostałem aplikacje w stanie RTM, przeleciałem ją z ASVSem, testowałem manualnie i automatycznie, napisałem raport i dałem do biznesu. Nie znalazłem jakichś dużych problemów, ale z racji tego że miałem już do czynienia z Credential Stuffingiem w przeszłości, zwróciłem szczególną uwagę na brak mechanizmu weryfikującego CAPTCHA i rate limitingu przy uwierzytelnianiu klienta (warto zaznaczyć to, że takie wykradanie kont VOD w Netflixie, HBO GO czy innych klonach potrafią być intratnym zajęciem - poświadczenia do czyjegoś konta mogą kosztować do około 25 PLN (stan na 2021 patrząc na OLXy) od konta w zależności od posiadanej opcji).
"Panie, a kto tak atakuje, co się może stać???" - usłyszałem od Product Ownera. Upewniłem się, że zrozumiał wszystko co mu powiedziałem.
"Dostęp musi być najprostszy. Nie róbmy przeszkód okej???" - uniosłem brwi ze zdziwienia gdy zaczął mnie przekonywać że wszystko będzie cacy, ale mimo wszystko zaakceptowałem prośbę PO. Prosiłem by napisał mi maila, że firma dowiedziała się o powstałych ryzykach i zdaje sobie konsekwencje z braku ich mitygacji (bowiem CAPTCHA jest "dodatkowym kliknięciem", przeszkodą w odwiedzaniu serwisu czego tamtejszy dział UX totalnie nie akceptuje - nawet w reCAPTCHA w wersji trzeciej ( ͡º ͜ʖ͡º)).
Od wypuszczenia aplikacji minęło wiele dobrych miesięcy, ataki CSowe są podobno na porządku codziennym, a na dodatek UODO zaczęło się interesować stanem bezpieczeństwa aplikacji i co firma z tym robi ze względu na zgłoszenia klientów. Firmie będącej właścicielem aplikacji grozi kara chyba koło miliona - przynajmniej tak ptaszki ćwierkają).
Jaki z tego morał? Ano taki, że wszystkie (polskie) firmy mają jedną wspólną cechę - uczą się dopiero po włamie/kompromitacji lub dużej stracie finansowej, co jest dosyć smutnym obrazem dzisiejszych managerów. Been there, done that.
#pracbaza #heheszki #pracait #bezpieczenstwo #hacking
- nam się nic na pewno nie stanie hehe.
- Mieciu zostaw to szkoda na to czasu.
- A panie coś pan tu wymyślił, wskaźniki nam się posypią przez te fanaberie a tu góra już się na nas uwzięła
A potem przychodzi ten moment gdy gówno uderza w wiatrak
@okolicznosciowy: nie, bo to kolejna przeszkoda dla UXów.