Andrei

HTC e ok, Sensation e si el ok. Problemele lui ar fi astea. Predominant e o jucarie buna. Eu am de la HTC un Desire care e mai vechi decat Sensation si is foarte multumit.

Mai multe detalii aici. Actualizati la 2.10.0.

@pyth0n3 Corect, dar asta inseamna ca te confrunti cu un "client" ce stie programare. Mai rar norocul asta. Pai sintaxa nu e criptata, datele din baza de date sunt criptate. Legat de sugestia ta, am o clasa similara cu SQLAlchemy facuta pentru PHP. Se comporta destul de bine.

Pai aia e ideea, toate datele ce le trimitem noi prin input-uri pastreaza predominant un anumit sablon : trimitem int-uri, trimitem dump text (comentarii), trimite-mi comentarii prin taguri. Eh, toate astea sunt sabloane care daca reuseste sa le inteleaga isi poate da seama cand intervine anomalia (suspiciunea de sqli). Legat de propunerea ta gandeste-te ca un SELECT poate fi muuult muuult mai complex de atat. Pentru inceput ma gandesc sa fac suportul pentru functiile clasice de SELECT, INSERT, UPDATE si DELETE si apoi pentru double queries etc. Mersi de comentariu.

@Anon, nu ma complic pentru ca eu privesc treaba asta pe mai multe niveluri la care poti interactiona cu datele : 1. Pre-procesare (client side) 2. Procesare low level (direct din firewall, din aplicatii si module integrate in serviciul in cauza) 3. Procesare mediul level(aici interactiunea cu datele este controlata de server-side si se pot aduce "patch-uri" asupra unor functii, requesturi, query-uri, date) 4. Procesare high level (aici interactiunea este facuta doar cu functiile aferente treburilor respective). Pe mine ma intereseaza sa ma interpun intre 3 si 4 cu ceva generalizat, controlabil pe cat mai multe aplicatii web facute in PHP fara a fi nevoie de prea multa bataie de cap. Pleci de la premiza ca oricat ai securiza input-urile, unele mai scapa si asa ai un alt strat, 3.5 care dupa ce le-ai procesat tu, interactioneaza cu ele, le intelege si apoi apeleaza level 4. LE: Problema nu-i dificila, devine dificila generalizarea ei. LE2: Mai mult, gandeste-te ca un shared hosting nu poate interactiona cu level 2 ca sa puna mai multe protectii suplimentare si poate nu stie sa-si satinizeze input-urile daca e un CMS public.

Pai nu ma intereseaza tipul de SQLI, cred ca nu am fost pe aceeasi lungime de unda. Ideea e in felul urmator. Avem urmatorul query : SELECT * FROM x WHERE y=1 (1 primit prin GET). El dupa cateva query-uri vede ca trebuie sa primeasca doar int-uri pe y iar cand observa ca vine ceva de genu in request : SELECT * FROM WHERE y=1 AND 1=1 deja se schimba treaba si nu-i mai decripteaza query-ul ci i-l da normal (adica encrypted).

SYDO este o jucarie la care am inceput sa lucrez de foarte putina vreme. Scopul acesteia este de a veni ca un layer deasupra interfetelor SQL prin niste clase special construite care sa administreze, sa extraga, sa stocheze si sa proceseze datele din bazele de date intr-o maniera sigura. Solutia propusa de mine ataca neincrederea ce o avem in providerii de hosting, precum si atacurile bazate pe SQLI. Vrem sa stocam datele noastre intr-un mod criptat? Sa le procesam si sa fie disponibile doar atunci cand avem nevoie? Nicio problema, SYDO ar fi solutia. Cum lucreaza? Exista un API ce comunica cu SYDO Hash Center, un server aflat la distanta ce stocheaza cheile de criptare a datelor alaturi de un hash. Clientul face request pentru hash-ul x si primeste cheia de decriptare a tabelului, bazei de date, a unei coloane sau chiar a unui singur row. Ce vreau sa fac la ea? - suport pentru diverse interfete SQL - suport pentru encriptarea tabelelor, bazelor de date (ajung chiar si la partea hardcore de encriptare a numelor si coloanelor tabelelor) - suport pentru statistici per client (requesturi facute, ce a cerut, cat a cerut, bla bla) - SYDO Hash Center va suporta mai multe website-uri - un cache bine pus la punct pentru a limita la maxim numarul de requesturi - comunicatii client-server encriptate - ma gandesc si la o varianta a serverului P2P - posibilitatea de autentificare/encriptie PGP - comunicarea folosind un RESTful API - ma gandesc sa lucrez la un sistem ce "intelege" interogarile facute (la inceput pentru MySQL) si care gaseste tot ce are nevoie pentru a cripta/decripta - Anti-DOS for SYDO Hash Center - intelegerea query-urilor va incerca sa faca sabloane de interogari astfel ca in momentul in care voi detecta anomalii ale query-urilor sa nu-ti permita sa decripteze datele (Anti-SQLI) Aplicatia se afla in versiunea 0.1 Alpha dar am ganduri mari cu ea. Urmaresc sa o simplific si sa o optimizez ca sa devina aproape nativ de folosit si de integrat in proiecte noi sau existente. Aplicatia va fi Open Source si poate fi gasita pe GitHub aici.

Oaaaa, de ce nu ai ales un limbaj mai web friendly? Sistemul expert va fi tot in Delphi? Ai nevoie de proxy-uri pentru ca majoritatea API-urilor (spre exemplu cele de la Google) sunt limitate si e posibil sa te confrunti cu o chestie similara si la crawling. Eu daca as vedea ca-mi faci 100 de requesturi intr-o secunda ti-ai lua ban. Pentru asta-i necesar. Elimina duplicate content? P.S: Ai inceput sa faci si chestii Open Source? :>

@Ionut Uitate-te in cod si raspunde-ti singur la intrebare. E mult mai simplu de atat, face niste split-uri dupa cateva delimitatoare si vede cuvintele unice daca nu ma inseala memoria. Fii cuminte. )

La faza cu 'g'+"iga"+chr(int('a')+10) ai putea incerca sa-l conditionezi cumva ca sa numai forteze sa construiasca constante. Ne auzim la G6 atunci. Good luck!

@Ionut Da, dar ceea ce faci tu (introducand dump code) practic modifici o parte din semnaturi dar particularitatile codului tau se pastreaza deci ar putea deveni detectabil daca un antivirus se axeaza doar pe acea latura de cod ce ramane permanent la fel. Sau am citit gresit ce ai explicat tu? La euristici cum se comporta? E prins? P.S : De cand umbli pe RST si cu ce ocazie? )

Bravo baieti. Un inceput promitator al grupului.

Ce e asa interesant la prostia asta de 2 bani? Nu are nimic interesant si va zbateti pentru ea de parca ar fi aur.

Trebuia sa-i lasi si pe altii sa-si bata capul macar o secunda.

Din ce stiu s-a amanat lansarea de saptamana viitoare. Sper ca totusi sa fie luna aceasta. LE : Mijlocul lui septembrie.

E a nspe mia frustrare care o vad in comunitatea asta si tot a nspe mia discutie care nu va duce la nimic bun. De ce va plangeti ca niste pusti de 10 ani de la care li s-a luat papusa? Voi credeti ca o comunitate e facuta de 10 oameni? Oamenii la care va tot ganditi voi nu dau doi bani pe voi si nu au facut nimic altceva decat sa-si promoveze imaginea. Au reusit, voi tot la nivelul de botosi care asteptati sa vi se dea totul moca ati ramas. Nu vi se cuvine nimic pentru ca tot asteptati. Comunitatea are un potential dar cred ca ar trebui sa o denumim RPST = Romanian Potential Security Team ca sa se trezeasca toti la lumina.

Salutari, domnule! Ma bucur sa te revad prin medii mai putin instante. ) @denjacker 3,4? Poate 5? )

Ca persoanele ce doresc sa vada link-urile si sa faca spread sa faca spam intai?

Foarte bine faci. Poti incerca sa arunci o privire peste tutorialele facute de mine in acest sens. De asemenea Google e destul de bun la a intelege principiile de baza si a te apuca de lucru. Incetul cu incetul iti poti dezvolta framework-ul propriu si personal care sa faca foarte multe chestii destepte. Daca ai intrebari, nu ezita. Bafta!

@yo9gjx Ultima data cand am verificat torchat trimitea toate pachetele publice. Poate acum au schimbat ceva.

@Jacko Exploatand si incercand sa exploatezi si sa inventezi tot felul de vulnerabilitati. De la a face asta si pana la a da deface mai este putin, putin care nu impresioneaza cu nimic pentru ca e o chestie de doi bani dupa ce ai acces. @not.user.friendly Bun venit!

Salut si bine ai venit! Uite, eu is mai sceptic din fire si am toate motivele la o "asemenea" introducere. Cu ce te ocupai in echipa milw0rm mai exact?

La începutul acestei s?pt?mâni, Google a banat paginile grupului de hackeri Anonymous din re?eaua lor de socializare, Google+. Deranja?i de cenzur?, un grup de hackeri, progamatori ?i activi?ti underground au decis s? creeze prima re?ea de socializare care are ca scop anonimitatea. Înc? la început (versiunea 0.8 alfa, pentru a fi exact), re?eaua este numit? Anon+, dar numele nu este permanent, sus?ine “Higochoa”, liderul echipei de progamatori. Contrar altor rapoarte despre Anon+, proiectul nu este construit de membrii grupului Anonymous, afirm? Higochoa, cel pu?in nu la capacitatea maxim?. Echipa dezvoltatorilor Anon+ are leg?turi cu Anonymous, dar s-au distan?at pentru c? au început s? fie ataca?i de cei care nu acceptau grupul. Deasemnea, echipa Anon+ încearc? s? se indeparteze de aspectele negative ale colectivului hacktivist. “We just didn’t want everyone to think we are a bunch of hackers sitting around trying to change the world,” spune el “We are actually going to do it.” Principiul dup? care se ghideaz? re?eaua este de a da oamenilor ceea ce majoritatea corpora?iilor au luat, controlul. “Anon+ will allow people to get both educated freely, and allow them to voice their opinion without having fear of any org or gov.” zice Higochoa. Ca orice re?ea social?, Anon+ va permite utilizatorilor s? creeze un profil, s? adauge prieteni ?i s? comunice cu ceilal?i. Higochoa spune ca membrii vor avea controlul total asupra cercurilor de prieteni (este greu de crezut c? vor folosi cuvântul “cercuri” oficial, pentru c? Google+ deja a optat pentru acesta). Un aspect asem?n?tor cu Facebook-ul este c? doar persoanele din cercurile utilizatorului vor avea posibilitatea de a vedea posturile ?i de a avea alte activit??i pe re?ea. Acesta mai afirm? c? este foarte probabil ca Anon+ s? atrag? destul de mul?i hackeri ?i membri Anonymous doar pentru tehnologia pe care o vor furniza, dar, acest serviciu este destinat folosirii de c?tre o audien?a larg?, a?adar oricine se poate înregistra. Înc? un aspect diferit de re?ele tradi?ionale, desigur, este c? Anon+ este cu totul anonim?, a?adar membrii nu vor folosi numele reale, un aspect care este interzis ?i de Facebook ?i de Google+ pentru m?suri legale. “It is also secure and without a central server, so it can’t be stopped once it’s started,” afirma Higochoa.“This ensures that control stays in the hands of the people. That alone is pretty different from other social networks.” Lipsa serverului central oblig? utilizatorii Anon+ s? descarce o aplica?ie pentru a folosi re?eaua, ce va folosi cel pu?in par?ial tehnologia peer-to-peer. Acest tip de sistem va servi ca mecanismul cheie de securitate. Deasemenea, re?eaua va fi diferen?iat? prin posibilitatea utilizatorilor de a avea control mai mare asupra discu?iilor cum ar fi posibilitatea de a avea discu?ii paralele pe acela?i post. Scopul re?elei, spune Higochoa, este de a da utilizatorul uneltele de a-?i face vocea auzit? peste mase. Acesta refuz? îns? s? dea detalii despre uneltele ce vor servi acestui scop. În adi?ia activismului online, Higochoa pl?nuie?te s? lase utilizatorii s? creeze proteste offline f?r? riscul cenzurii sau al altor metode politice de a le împiedica. “Your circle of friends will not only be the only ones that see your posts, but the only ones who ever handle any of your data, so there isn’t one place to get hacked,” afirma Higochoa. “If you get your Anon+ account hacked, it was you or one of your friends.” Higocha sus?ine c? orice cont va fi pratic “un-hackable”, f?când imposibile incercarile autorit??ilor de a dezv?lui adev?rata identitate a utilizatorilor. Evident, echipa mai are mult de lucru pân? când Anon+ va fi preg?tit? s? primeasc? utilizatori. Higochoa afirm? ca lansarea oficial? va fi mai devreme decât ne astept?m, dar nu a putut oferi o dat? exact?. Prima retea de socializare anonima P2P - Anon+

V-ati asteptat sa reziste prea mult odata facuta publica? )

Un blogger britanic a descoperit accidental o modalitate prin care po?i elimina orice website din rezultatele c?ut?rilor Google, chiar ?i atunci când site-ul nu are vreo leg?tur? cu cel care ?terge con?inutul. James Breckenridge poveste?te în primul articol de pe blogul s?u c? a construit o extensie pentru Chrome care s?-l ajute la eliminarea URL-urilor nedorite mai rapid, folosindu-se de Google Webmaster Tools. La un moment dat, acesta a selectat accidental un URL de pe un site cu care nu avea leg?tur? ?i a observat c? acesta a fost eliminat din rezultatele motorului de c?utare. Testele f?cute de el 1. ?tergerea unui website ce îl controleaz? (dar nu e în Webmaster Tools) pe 18/07/2011 – a disp?rut! 2. ?tergerea unui URL din unul dintre cele mai mari site-uri din lume (accidentul) pe 18/07/2011 – a disp?rut! 3. Eliminarea unui blog al unui prieten (gol, având permisiunea lui) pe 18/07/2011 – a disp?rut! Cum a f?cut? Mai simplu de atât nici c? se putea. Ai nevoie de URL-ul ce este folosit în request-urile Google pentru a bloca un link. https://www.google.com/webmasters/tools/removals-request?hl=en&;siteUrl=http://{YOUR_URL}/&urlt={URL_TO_BLOCK} {YOUR_URL} = un URL care îl controlezi în Webmaster Tools {URL_TO_BLOCK} = URL-ul ce dore?ti s?-l blochezi, poate fi un site (TLD-ul), sec?iune(un folder spre exemplu) sau o pagin?. Este foarte grav? problema aceasta. Pân? în acest moment nu exist? niciun r?spuns oficial din partea Google care s? confirme rezolvarea erorii.