Wpisy

Opublikowane w

Opowiedz nam o sobie, dostaniesz spersonalizowaną ofertę.

Po tym, co wczoraj usłyszałem, zupełnie nie wierzę w slogan Google. Korzystasz sobie spokojnie z usług jednej firmy. Mają Twoje maile, kalendarz, podpinasz sobie ich geolokalizator. Znają imiona rodziny, zainteresowania jej członków. Wiedzą, czego szukasz w sieci, pewnie co kupujesz/planujesz kupić, dokąd jeździsz. Mogą wiedzieć, jakie masz wydatki, zarobki (nie robiłeś czasem arkusza z tymi danymi?)… Jak bardzo spersonalizowaną ofertę są wówczas w stanie dostarczyć? Bardzo.

Pytanie, czy komuś będzie się chciało powiązać te wszystkie dane, połączyć dane z kalendarza, geolokalizatora itd.? Czy takie połączenie w ogóle jest możliwe? Jak najbardziej. I to nie są spekulacje, to się dzieje teraz, już. Warto więc zadbać trochę o swoją prywatność. Najprościej po prostu nie korzystać z usług jednej firmy do wszystkiego.

Opublikowane w

Debian jest nudny.

Autentycznie, Debian potrafi być nudny. Zwłaszcza w wersji stabilnej. O ile przy instalacji nowych programów, czy też systemu na nowym sprzęcie jest jeszcze dreszczyk emocji, to po uruchomieniu i skonfigurowaniu działa. I działa. I ciągle działa. Czasem pozostaje poznanie jakiegoś nowego programu (przydaje się subskrybcja Debian Package of the Day – niestety, nie codziennie się pojawiają nowe), czy dopieszczenie istniejącego, ale poza tym – nuda.

Nuda do tego stopnia, że zainteresowałem się, czemu deborphan zgłasza qca-tls do usunięcia, mimo wykonania wajig install –reinstall qca-tls i apt-mark unmarkauto qca-tls, które teoretycznie powinny to rozwiązać. A to już przy upgrade z Sarge do Etch IIRC występowało. Nie, nie przeszkadza specjalnie mi zgłaszanie do usunięcia. Pielęgnuję perfekcjonizm. Jakby ktoś znał rozwiązanie, to poproszę.

Oczywiście, działający system ma swoje zalety. Tak tylko narzekam na lekki brak drobnych wyzwań. Czasem się przydają…

Opublikowane w

Masz DD-WRT? Masz problem.

A raczej, możesz mieć problem, jeśli skonfigurowałeś router tak, by serwer WWW (zarządzania przez WWW) słuchał na zewnętrznym interfejsie. Jakiego typu problem? Zdalne wykonanie kodu z prawami roota. Bez konieczności jakiegokolwiek uwierzytelniania.

Niestety, nawet ci, którzy skonfigurowali swój router tak, by serwer WWW nie słuchał na zewnętrznym interfejsie nie mogą spać spokojnie. Powodem jest niezałatana możliwość ataku przez CSRF.

Co robić? Jeśli nie chcemy/możemy zmienić softu na Tomato czy OpenWrt – co byłoby najlepszym rozwiązaniem, bo brak doniesień o podobnych problemach w tych firmware’ach – to na pewno wyłączyć zarządzanie przez WWW na zewnętrznym interfejsie i unikać podejrzanych stron (mogących być źródłem ataku CSRF). Przynajmniej do czasu opublikowania poprawionej wersji firmware’u przez DD-WRT. Jeśli to możliwe, należy wyłączyć serwer WWW całkowicie, wtedy i CSRF nie będzie groźny.

Źródło: DD-WRT (httpd service) Remote Command Execution Vulnerability

UPDATE: Jeszcze link do wątku na forum DD-WRT nt. tej luki oraz link do poprawionego firmware’u.