תחומים - פורום חרדי מקצועי

מקור https://mitmachim.top/post/913400

למי שרלוונטי לו, להכניס בכל מיני קודים למינהם קידומות כשרות וכו
נוספה הקידומת
055400

@בול כתב בשרת לאתר...:

(כנראה שהוא בנה את התוכנה באופן שהוא צריך לחשב את הנתונים כל הזמן. לא יודע בדיוק. זאת המציאות...)

אולי יש לו חישובים שגויים, אולי זה תוכנה כבדה מעצם היותה,
תנסה לרשום בטרמינל htop ולצרף פה צילום מסך של מה רץ
תמיין לפי זיכרון, מעבד, וצרף גם אותם אולי יש שם משהו חשוד

@frize37 כתב באיך לבנות מחשב שרת?:

@dovid אצלה קודם כל יש חיבור לסוג VPN שאני מבין שאצלי לא צריך (כי זה רק בשביל אבטחה. נכון?)
ואחרי זה מתחברת לתרמינל
הנה צילום של החיבור!

זה בדיוק חיבור לשולחן עבודה מרחוק,
בשביל להפעיל אותו צריך כתובת IP קבועה כדי שתוכל להתחבר, או כמו שחגי כתב אתה יכול עם שירות כמו NGROK וכאלה שהם יספקו לך כתבות IP

@dovid כתב בAPI לקבלת רשימת הבנקים בישראל וקבלת סניפי בנק מסויים:

@צבי-ש כתב בAPI לקבלת רשימת הבנקים בישראל וקבלת סניפי בנק מסויים:

וזה נתונים סטטיים, כלומר לא משתנים, תאחסן את זה אצלך.

משתנים די בתדירות, מניסיון.
צריך לשלוף בהתאם לצורך, אני שולף כל יום.

כל יום משתנה רשימות סניפי בנק?

ולמה התכוונת אז כשכתבת כאן?

רשימות סטטיות:

@ששא כתב בAPI לקבלת רשימת הבנקים בישראל וקבלת סניפי בנק מסויים:

@dovid כתב בAPI לקבלת רשימת הבנקים בישראל וקבלת סניפי בנק מסויים:

https://www.boi.org.il/roles/statistics/banking/banks-and-branches/banks-and-branches/

את זה ראיתי, אבל הוא מוריד אקסל, הייתי יותר שמח בjson וכדומה

יש שם בXML.
וזה נתונים סטטיים, כלומר לא משתנים, תאחסן את זה אצלך.

@n123456 כתב באבטחת חשבונות:

קראתי שוב ועדיין לא הבנתי. כנראה חסר לי הבנה בנושא.
אולי לא הסברתי טוב מה קשה לי אחרי ההסבר של יוסי- על עוצמת ההגנה. נגיד מישהו פרץ למחשב ויודע את המשתמש והסיסמא והשתלט על הטלפון לקבל את הSMS. איך האימות הזה יגן על מקרה כזה, הרי הפורץ יכול לסרוק את הקוד בעצמו עם התוסף דפדפן.

לפני שיוסי כתב מה שכתב כאן, הייתי בטוח שזה קוד שנשלח לאפקליקציה של המספר פאלפון שהנה יותר איכותית מSMS

הברקוד הוא סודי, ומוצג לך ביצירת החשבון,
האפליקציה מייצרת לך על פי אלגוריתם שלוקח את הזמן הנוכחי, + הברקוד קוד מספרי שאותו אתה מכניס לאתר,וככה האתר יודע שזה אתה שמנסה , כי ביצירת החשבון אתה קיבלת את הברקוד, ולא סתם גונב סיסמאות.
אם הפורץ השתלט על הפלאפון, הוא באמת יוכל לקחת גם את האפלקיציה, אבל במקרה כזה כל אימות דו שלבי לא יועיל..
זה עדיף מאשר SMS כי SMS אפשר ליירט גם בלי לקחת פיזית את המכשיר.

@n123456 כתב באבטחת חשבונות:

סליחה על הבורות אבל לגבי מנהל סיסמאות תמיד חשבתי שזה לא בטיחותי,למה לי שהסיסמאות יהיו שמורות איפה שהוא.
חשבתי תמיד שעדיף לשמור אותם בראש אם אפשר או בדרכים אחרות לא במחשב

אם אפשר הסבר על זה, נשמח
תודה רבה לכולם על המידע

בעיקרון אתה צודק, עדיף שהכל יהיה לך בראש מאשר בקובץ
אבל זה ממש קשה לזכור לכל אתר את הסיסמה שלו אם אתה משתמש ביותר מ2 אתרים, והסיסמאות שלך מורכבות מכ 8 -15 תווים אותיות גדולות + קטנות+ מספרים +תו מיוחד - באופן אקראי ולא ITSmy100%
ולכן יש דבר שנקרא מנהל סיסמאות, הוא בעצם מציע לך סיסמאות באורך כזה רק מעורבל, וכזה שקשה לזכור בעל פה או לפרוץ אותו עם כח גס (לנסות את כל הסיסמאות עד שיצליחו), ומציע לך אותו אוטומטית בגישה לאתר ההוא בדף הLOGIN.

@yossiz כתב באבטחת חשבונות:

אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה

שניכם צודקים, הוא שזה קיים, ואתה שהם צריכות להיות בפח הזבל של ההיסטוריה..
וזה למה אני מעדיף בכל אתר שיש התחברות עם חשבון גוגל, לעשות ככה, גם כי זה מהיר ויעיל יותר, וגם כי אף אחד לא שומר את הסיסמאות לא מוצפנות או עם MD5

היות ומדובר באבטחה, עדיף בלי קשר להוסיף "מלח" לכל סיסמה ואת המלח לא לשמור בשום מקום, אלא רק בראש, ואסביר.

גם המנהל סיסמאות של הדפדפן שניתן לגשת יחסית בקלות לסיסמאות השמורות שלו, וגם מנהלי סיסמאות שאם ח"ו ייפרצו, בשניהם אם אתה תוסיף אחרי התווים הרנדומלים שהוא מייצר אתה תוסיף את הספרות 12 (כדוגמא) ואותם לא תשמור בשום מנהל סיסמאות, אלא תדע שזה הסיסמה המובנית של המנהל + 12,
ככה בכל מצב שיפרצו לך, בין אם זה למנהל סיסמאות בדפדפן, בין להוא בתשלום שבנוי נורמלי, את הסיסמה שלך לא יהיה להם לשום אתר, גם אם הם יראו את הPLANTEXT עצמו, כי הוא לא שלם, אלא חסר בו 12

@ששא כתב במסד נתונים קיים ולא קיים בmysql:

@dovid כתב במסד נתונים קיים ולא קיים בmysql:

למה אתה לא מחזיר את המצב לקדמותו

איך אפשר?

@ששא כתב במסד נתונים קיים ולא קיים בmysql:

אז הלכתי למקור... עצרתי את mysql, הלכתי לתיקייה /var/lib/mysql/ ושם שיניתי את שם שני המסדים שרציתי להחליף לשמות החדשים והפעלתי מחדש

@mekev כתב בחיפוש שירות: קבלת מייל יומי מסוכם עם היתרות עו"ש בבנקים:

@יהודי-טוב כתב בחיפוש שירות: קבלת מייל יומי מסוכם עם היתרות עו"ש בבנקים:

בכל כניסה זה דורש אימות או רק בפעם הראשונה?

בכל כניסה מתקבל קוקיז התקף ל 8 שעות

ויש שם אימות שאינך רובוט או אימות דו שלבי? או שאפשר להכניס לקוד שם משתמש וסיסמה ולהתחבר עם זה ולקבל את הקוקיז?

רק מעדכן למקרה שעוד מישהו יחליט משום מה לצפות בקורס הזה מימות הקורונה.
קורס נחמד, מלמד על יסודות ההתקפה בצד הלקוח, או על חלק מהיסודות, ואיך ניתן להתגונן מהם,

ללמד את התחום? זה לא מלמד, אבל טוב בתור לפתוח את התיאבון לכל העולם של אבטחה, ושל פיתוח ווב באופן קצת יותר מאובטח, וכמובן צד שרת כדי שלא יזריקו לך sql, או js script ותשלח את זה הלאה למשתמש (xss)

למי שיש קצת חוש טכני, לחלוטין לא שווה את הכמה גיגות הורדה וזמן להתקנה של האתר שהובא כאן למעלה, זה סתם שורף זמן יקר. ובמקסימום להתקין מהגיטאב ש yossiz שלח פה למעלה, בענף 38, את הקוד פייתון לשרת http, ופשוט להריץ אותו (צריך להריץ גם db, אולי אפשר sqlite, לא בדקתי) במקום את הvm.

למי שאין וסתם יסתבך עם ההבנה של החומר מבלי לתרגל ממש באותו אתר שמלמדים בקורס, אולי שווה את ההתקנה המוזרה הזאת.

@yossiz כתב בבעיה בגישה לדומיין מקומי במכונה וירטואלית על MacBook M2:

@צבי-ש יש לי חדשות טובות בשבילך

אתה יכול להיפטר מהמכונה השמנה
באמת לא מובן מה חשבו. למה צריך פיירפוקס, ליברהאופיס, וכו' כדי להריץ אתר

היה קל מאוד להגיע לדסקטופ
צריך פשוט לתפוס אותו לפני שהוא ננעל
זה מוגדר לנעול אחרי שניה אחת של חוסר פעילות
אבל אפשר לפתוח טרמינל
אחרי שהיה לי טרמינל דיפדפתי בהיסטוריה בהיסטוריה (כן, יש שם הרבה דברים משעשעים ) וראיתי את הפקודה של gsettings שמגדיר את ה-idle timeout לנעילה, ופשוט הרצתי במקום זה gsettings reset ... כדי לחזור לברירת המחדל
משם היה קל מאוד להגיע לסיסמת המשתמש (cecadmin2020) לקבל sudo (אין שום צורך)
בדקתי את היסטורית הדפדפן והגעתי לריפו זה
https://github.com/DaniRubin/pizzaCyber
שם יש כל מה שצריך להריץ את האתר...

אאל"ט תוכל להריץ לוקלית על מק בלי להסתבך עם מכונה וירטואלית ענקית

אני קצת עצוב שלא בדקתי בעצמי את זה... אני אמור לאהוב את הסגנון הזה ואת הבדיקה בקבצים וכולי, אולי כי זה רץ איטי במחשב שלי ונתקע כל הזמן העדפתי לוותר, בכל מקרה תודה רבה, אעבור על הריפו הזה ואבדוק באמת.

עבר קצת זמן (עוד לא שלחתי את הפוסט הזה), עברתי קצת על הריפו הוא כתוב בשפה שאני לא מכיר, פייתון 2+ או משהו כזה, עם ענף כן מעודכן יותר ל3.8 לכאורה, בכל מקרה אם ארצה להריץ רק את זה אצטרך להריץ הנפרד db כלשהוא (לא בדקתי באיזה סוג db עדיין) וזה כבר להתחיל להיכנס לקודים, וכל באג שיהיה לי אני אצטרך ״להפיל״ את זה עליי ולא עליהם, אז אסתכל אולי אחרי הקורס, נטו לידע ולראות כמה הרסו....

@yossiz כתב בבעיה בגישה לדומיין מקומי במכונה וירטואלית על MacBook M2:

@צבי-ש
זה עבד לי:

qemu-system-x86_64 \
  -hda "ubuntuvm-disk001.qcow2" \
  -m 2048 \
  -smp 4 \
  -device e1000,netdev=net0 \
  -netdev user,id=net0,hostfwd=tcp::8080-:80 \
  -vga std \
  -usb -device usb-tablet \
  -cpu max \
  -rtc base=utc

ואז אפשר להיכנס ב-localhost:8080

שים לב שזה חושף רק פורט 8080 מהאורח, וייתכן שמתישהו בקורס תצטרך לגשת לעוד פורטים

תודה רבה רבה, זה אכן עבד לי, יישר כח.

תוכל להרחיב קצת בהסבר מה בעצם שינת?
וכן אם אני רוצה בכל זאת להשתמש בדומיין http://pizzaluigi/ , אני אצטרך לעשות את זה ברמת הdns אצלי במחשב?

אני רוצה לעבור על הקורס הזה
https://courses.campus.gov.il/courses/course-v1:CS+GOV_CS_WebSec+1_2020/course/

יש שם חלק שמדבר על התקנה של מערכת וירטואלית של ubuntu (אני חושב) רזה שהם הכינו לבד שבעצם מדמה אתר להזמנת מגשי פיצה, שעליו לומדים במהלך הקורס את ה״התקפות״ וכיצד להגן עליהם וכולי.

כאן יש את ההוראות איך להתקין את האתר פיצה

יש לי מחשב macbook עם מעבד m2, והורדתי את התוכנה שהם מציעים שם virtualBox, ולא הצלחתי להפעיל את הקובץ שלהם, זה עושה לי שגיאה כזאת

זה אחרי שאני טוען את הקובץ שלהם

זה השגיאה כשאני מנסה להפעיל

באמצעות gpt התקנתי תוכנה על המחשב בשם qemu שזה בעצם גם מערכת וירטואלית,

ואז באמצעות

qemu-img convert -f vdi -O qcow2 ./ubuntuvm-disk001.vdi ./ubuntuvm-disk001.qcow2

המרתי את הקובץ שלהם, לקובץ QCOW2, ועכשיו אני יכול להריץ אותו עם

qqemu-system-x86_64 \
  -hda "/Users/zvi/Downloads/PizzaLuigi 2/ubuntuvm-disk001.qcow2" \
  -m 2048 \
  -smp 4 \
  -net nic \
  -netdev user,id=n1 \
  -device e1000,netdev=n1 \
  -vga std \
  -usb -device usb-tablet \
  -cpu max \
  -rtc base=utc

וככה המכונה נראית כשהיא רצה

הבעיה שבהדרכה של הקורס הם כותבים שאם אגש לוקאלית מהמחשב שלי (לא מהמכונה[היא נעולה עם סיסמה שאין לי מושג מה היא]) אל הכתובת http://pizzaluigi אני אגיע לאתר דמו שעליו הקורס מתבסס, הבעיה שזה לא קורה, כלומר המכונה רצה, אבל אני לא מצליח לראות את האתר המדובר במחשב,

אציין, כי בחלק מהשלבים שהמכונה עולה, אפשרי להיכנס לחשבון לינוקס (אולי לוקח לה זמן להינעל בחוץ , לא ברור לי) ואז כן יש גישה לטרמינל שם, רק בלי העתקה והדבקה, ויש שם התראה איפשהוא ענקית במרכז המסך להכניס סיסמה, קיצור, לא שימוש נורמלי עם המכונה כשהיא פתוחה.
מה שכן שמתי לב שהשם משתמש שלה הוא pizzaluigi , ניסתי להתחבר עם ssh למשתמש@לוקלהוסט ולא הצלחתי.

אשמח לעזרה:

1. איך אוכל לדעת על איזה כתובת ip פנימית המכונה רצה, אולי פשוט אפנה לשם ואחסוך את הדומיין http://pizzaluigi (אין לי את הסיסמה של המשתמש למכונה, אז אין לי גישה להקליד שם פקודות לכאורה ועל ידי זה לבדוק את הכתובת ip)
2. אולי יש הגדרות רשת שצריך להגדיר כשמעלים את המכונה, שיפעילו את זה תקין, והגדרות אלה נשמטו כש״המירו״ למעבד אחר?

תראה כאן
https://mitmachim.top/post/884205

וכאן
חוקי הפורום סעיף 15

@רובוט כתב בAPI זיהוי מתקשרים:

@Elhanan
שני הרפוזטורים כבר לא קיימים
יש קישור חדש או משהו אחר ?

המקורי קיבל מייל מ me עם דרישה להסיר את זה,
אולי תוכל למצוא ברשת גירסאות קודמות להורדה כzip וככה תתקין

@ek0583232948 כתב במערכת IVR מומלצת, לצורך בוט טלפוני:

@צדיק-תמים
עיקרון של לקוח
מבחינתי אם זה היה וויט לייבל של מישהו שלוקח מימות , זה גם טוב, העיקר שבחשבונית לא יהיה כתוב ימות (לא מבחינת לעבוד על לקוח אלא שהוא לא רוצה להיות לקוח של ימות )

cs@mgmivr.com
ריסיילר בימות המשיח.

המידע לא זולג דרך פרצות, הוא יוצא בפתחים יותר ראשיים... במצב התרבותי של המדינה המידע האישי די זמין בלי שום פרצות.
למה כ"כ מתנגדים למאגר ביומטרי? כי הם יודעים איך זה "שגרת העבודה" במדינת ישראל.

אבל כרגע, לא דלף המידע, ויש כמה מתכנתים שמשתמשים איתו, וכל עוד זה פתוח, מחר יכולים פורצים להשתמש איתו,
אז אני לא עושה צייד נגד ה״טובים״ אלא נגד הרעים.

זאת אומרת שעכשיו יש לאנשים רשימה של כל מי שבאופן אקטיבי הפריע לו הצינתוקים - ושאפשר להתקשר לעניין אותו בהצעת למינהם?