NFsec Logo

The Social Dilemma – Dylemat społeczny

18/09/2020 w Hackultura Możliwość komentowania The Social Dilemma – Dylemat społeczny została wyłączona

Dokument Jeffa Orłowskiego opublikowany na platformie Netflix przedstawia jeden z najstarszych typów gatunku horroru – naukowca, który posunął się za daleko. Tym naukowcem są media społecznościowe, a bardziej firmy które je stworzyły. Film prezentuje rzeczywistość, która może wydawać się zbyt kolosalna i abstrakcyjna dla laika. Dlatego zostaje zeskalowana do poziomu codziennego życia rodziny, która jest „nękana” przez rozpraszacze naszych czasów. W celu nadania powagi dla tez stawianych w dokumencie możemy spotkać się z takimi osobami jak: Justin Rosenstein (jeden z współtwórców facebookowego przycisku „lubię to”), Tim Kendall (były dyrektor ds. monetyzacji Facebooka oraz Tim Kendall oraz były szef Pinteresta), Guillaume Chaslot (twórca polecanych video na YouTube), Cathy O’Neil (autorka książki Broń statystycznego rażenia) oraz Tristan Harris (etyk projektowy w Google).
[ czytaj całość… ]

Google GAIA ID

09/09/2020 w Pen Test Możliwość komentowania Google GAIA ID została wyłączona

W

raz z pojawieniem się płatnych treści wiele serwisów nie mogło pozwolić sobie na zablokowanie ruchu do nich z poziomu wyszukiwarki Google. Dlatego przepuszczało Googleboty na „specjalnych warunkach”. Przez jakiś czas do tego typu treści można było dostać się poprzez udawanie, że jesteśmy Googlebotem – ręcznie edytując ustawienia przeglądarki lub używając specjalnych wtyczek. Jak bardzo serwisy lubią się z Google mogliśmy przekonać się na przykładzie LinkedIn, który w poprzedniej wersji interfejsu pozwalał na pobieranie nawet zastrzeżonych profili z poziomu testów optymalizacji mobilnej Google.
[ czytaj całość… ]

1001 Pen Test oraz Bug Bounty Tips & Tricks #2 – Google Analytics oraz Adsense ID

10/11/2019 w Pen Test Możliwość komentowania 1001 Pen Test oraz Bug Bounty Tips & Tricks #2 – Google Analytics oraz Adsense ID została wyłączona

P

odczas wyszukiwania domen lub subdomen należących do tej samej firmy możemy wykorzystać fakt, że często współdzieloną one ten sam Google Analytics ID lub AdSense ID. Wystarczy pobrać ze źródła strony HTML kod identyfikujący danego klienta. Na przykład dla GA będzie to:

curl -L https://pentest.target | egrep 'UA-[0-9]+'
_gaq.push(['_setAccount', 'UA-12345678-22']);

Tak pozyskany kod możemy wykorzystać na stronie site-overview.com (zmieniając tylko ostatni człon URL) lub dnslyrics.com w celu uzyskania informacji mówiącej nam jakie jeszcze inne domeny / subdomeny są pod niego podpięte. To samo tyczy się AdSense ID. Korzystając z site-overview najlepiej jeszcze wyniki przeszukać pod kątem wprowadzonego ID, ponieważ wyniki mogą być nadmiarowe. Warto również zwrócić na wartość liczby po ostatnim myślniku: -22 – oznacza to, że jest to 22’ga usługa powiązana z kontem UA-12345678.

Więcej informacji: Hussein Daher

TCP BBR – nowy algorytm kontroli przeciążenia od Google

23/07/2017 w Administracja Możliwość komentowania TCP BBR – nowy algorytm kontroli przeciążenia od Google została wyłączona

B

ottleneck Bandwidth and RTT, czyli BBR jest nowym algorytmem kontroli przeciążenia TCP od firmy Google. Został on przetestowany w jego centrach danych, jak i frontowych serwerach takich stron jak: Google.com oraz YouTube.com. Dąży on do optymalizacji zarówno przepustowości, jak i opóźnienia – RTT. Jak wspomina samo Google po wprowadzeniu tego mechanizmu do swojej usługi publicznej chmury obliczeniowej, uzyskał średnio od 4%14% większą przepustowość sieciową. Pierwsze publiczne wydanie BBR nastąpiło we wrześniu 2016 roku. Do jego użycia wymagane jest posiadanie jądra w wersji 4.9 lub wyższej, w przeciwnym wypadku wymagane jest nałożenie łatki i rekompilacja jądra.
[ czytaj całość… ]

Narzędzie do Content Security Policy od Google

12/10/2016 w Bezpieczeństwo Możliwość komentowania Narzędzie do Content Security Policy od Google została wyłączona

G

oogle wydało narzędzie o nazwie CSP Evaluator. Jak sama nazwa wskazuje służy ono do oceny przyjętej polityki CSP (ang. Content Security Policy). Pozwala na wskazanie błędnych konfiguracji oraz stwierdzenie, czy przyjęte reguły są w stanie powstrzymać ataki XSS, Clickjacking i inne złośliwe skrypty. Aktualnie XSS jest najczęściej wybieranym wektorem ataku na aplikacje webowe.
[ czytaj całość… ]

Hosting statycznych stron i treści w Google Drive

26/12/2013 w Techblog Możliwość komentowania Hosting statycznych stron i treści w Google Drive została wyłączona

G

oogle Drive umożliwia nie tylko przechowywanie zdjęć i innych dokumentów, ale również statycznych stron HTML, plików JavaScript oraz CSS. W tym celu wystarczy:

  • Stworzyć nowy folder i udostępnić go jako publiczny,
  • Wgrać do tego folderu pliki HTML, JS, CSS,
  • Zaznaczyć wybrany plik HTML i wybrać z menu Więcej: Otwórz za pomocą: Przeglądarka Dysku Google
  • W otworzonej zakładce z przeglądarką ponownie kliknąć Pogląd i skopiować URL

Tak otrzymany URL: https://googledrive.com/host/1B4SBiW70ZQreMzZtbktoQ1k0VHM/static.html (gdzie host to nazwa udostępnionego folderu) możemy wkleić w kod innej strony – plik static.html zamienić na np. static.css itd. – wykorzystując infrastrukturę Google do celów hostingowych małych i prostych plików.

Więcej informacji: Host webpages on Google Drive

Poprawa odpytywania serwerów DNS

13/09/2012 w Administracja Możliwość komentowania Poprawa odpytywania serwerów DNS została wyłączona

S

ystemy linuksowe wyposażone są w lokalny resolver, który jest odpowiedzialny za tłumaczenie żądań programów o informacje o hostach w zapytania dla serwerów DNS oraz przekształcanie ich odpowiedzi w informacje dla tychże programów. Od wersji BIND 8.2 możemy dodać kilka nowych opcji do reslover’a, które teoretycznie mogą poprawić nam czasy odpowiedzi i wykorzystanie więcej niż jednego serwera DNS. Poniżej znajduje się przykładowy plik konfiguracyjny /etc/resolv.conf, który zawiera wpisy:
[ czytaj całość… ]

Akceleracja sprzętowa w Google Chrome

19/05/2011 w Techblog Możliwość komentowania Akceleracja sprzętowa w Google Chrome została wyłączona

G

oogle Chrome posiada możliwość uruchomienia akceleracji GPU, czyli pełne wykorzystanie możliwości karty graficznej podczas oglądania stron internetowych i aplikacji na nich umieszczonych. Na przykład przeprowadzając test w serwisie FishTank bez aktywnej akceleracji GPU, a na procesorze Intel(R) Xeon(R) 5130 @ 2.00GHz i rozmiarze okna 1280 x 909 uzyskano następujące wyniki:
[ czytaj całość… ]

Szukanie blogów w domenie .edu oraz .gov za pomocą Google

09/05/2011 w Pen Test Możliwość komentowania Szukanie blogów w domenie .edu oraz .gov za pomocą Google została wyłączona

W

celu wyszukania blogów w domenie .edu lub .gov za pomocą wyszukiwarki Google – wystarczy w pole wyszukiwania wpisać:

site:.edu inurl:blog "post a comment"
site:.gov inurl:blog "post a comment"

[ czytaj całość… ]

9 mitów bezpieczeństwa stron internetowych dla początkujących

17/03/2011 w Bezpieczeństwo Możliwość komentowania 9 mitów bezpieczeństwa stron internetowych dla początkujących została wyłączona

I

gnorancja to błogosławieństwo – nawet w czasach Web 2.0 – istnieją niezliczone mity krążące wokół użytkowników Internetu, dotyczące bezpieczeństwa aplikacji Webowych. Niektóre z starych, ale jarych (np. użytkownik zawsze będzie wiedział kiedy wirus lub koń trojański zaatakuje jego komputer) tworzą to coraz nowsze mity obracające się wokół wyszukiwarki Google, sieci społecznościowych i przeglądarek internetowych. Przewaga krążących informacji na temat bezpieczeństwa Web 2.0 potrafi trochę namieszać w ogólnym, naszym pojęciu o tej technologii. Oto kilka informacji mających na celu próbę wyprostowania niektórych z największych nieporozumień dotyczących bezpieczeństwa aplikacji Webowych.
[ czytaj całość… ]