Archive for 31 lipca 2019

Jakiś czas temu tłumaczyłem…

Jakiś czas temu tłumaczyłem błąd CSRF, który może prowadzić do nieświadomego wykonania akcji przez zalogowanego użytkownika.
Wtedy jako rozwiązanie podałem używanie dodatkowego pola z losową wartością.
Ale czy ruch twórców przeglądarki Google Chrome może doprowadzić do końca tego rodzaju podatności?

Planowane jest bowiem ustawienie flagi SameSite=Lax dla wszystkich ciasteczek.
W wersji Strict przeglądarka nie dołączy ciasteczka do żądania, które pochodzi z innej domeny.
Jeżeli więc złośliwy formularz znajduje się na innej domenie niż atakowana strona – przeglądarka sama zadba o nasze bezpieczeństwo.

Jest jedno ale. Z punktu widzenia przeglądarki, kliknięcie w link na stronie to nic innego jako wykonanie żądania GET do innej domeny.
Jeżeli jakaś strona zawiera odnośnik do Facebooka, nawet jeżeli jesteśmy na nim zalogowani, po kliknięciu w link nasze ciasteczko nie zostanie wysłane.
Czyli witryna nie będzie wiedziała że my to my.

Stąd też dodatkowa wartość Lax, która ma rozwiązać ten problem.
Wtedy, przeglądarka dołączy ciasteczko pomimo braku zgodności domeny, jeżeli żądanie wykonane zostało przy pomocy bezpiecznej metody oraz o ile doprowadziło do zmiany adresu URL w pasku przeglądarki.
Po co ten drugi warunek?

Teoretycznie ma chronić naszą prywatność i ograniczyć liczbę ciasteczek, które śledzą użytkownika.
One to bowiem zazwyczaj przesyłane są podczas pobierania małych obrazków z różnych serwerów.
Wyświetlenie obrazka nie prowadzi jednak do zmiany adresu w pasku przeglądarki.

Przeczytaj więcej o bezpieczeństwie ciasteczek.
Lub posłuchaj jako podcast na Google i Apple Podcasts oraz Spotify i Anchor.
Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security

taplam sie w gratisach,…

taplam sie w gratisach, pływam w luksusach

#januszebiznesu #allegro #biznes

Teściowe stoją kilka godzin w…

Teściowe stoją kilka godzin w kolejce aby złożyć wniosek na rekompensatę za podwyżki prądu. 4 dni temu dostali o tym informację. Firma dziś zamknięta z tego powodu. Tak się traktuje przedsiębiorców ale przynajmniej na dziec dajom xD
#pis #polityka #bekazpisu #socjalizm #komunizm
#dzialalnoscgospodarcza #firma #energetyka #energia #podatki #prad #prawo #biznes #wlasnafirma

W dzisiejszym #lejektresci…

W dzisiejszym #lejektresci sporo psychologii. Które media społecznościowe mają najgorszy wpływ na zdrowie psychiczne? Jak sprawić, aby produkty były lepiej postrzegane przez konsumentów? Dodatkowo sporo wiedzy pomagającej w… życiu ogólnie.

1) O tym jak dobry marketing zmienia nasze postrzeganie produktu.
Wydaje nam się, że czyste auto lepiej się prowadzi.
Lepiej działają leki przeciwbólowe, których markę znamy.
Ludzie wierzą, że jeśli produkt robi tylko jedną rzecz to robi ją lepiej od wielozadaniowych konkurentów – w ten sposób Google wygrało z Yahoo.
Fryderyk II Wielki chciał zwiększyć konsumpcję ziemniaków. Zaczął je serwować na królewskich ucztach, a strażnikom kazał pilnować jego upraw. Widzący to ludzie uznali je za coś bardzo cennego i wartościowego, a następnie sami zaczęli hodować ziemniaki.
https://www.referralcandy.com/blog/rory-sutherland-marketing-examples/

2) Które media społecznościowe najgorzej wpływają na zdrowie psychiczne?
Najgorzej wypada Instagram, najlepiej YT.
https://www.psychalive.org/worst-mental-health-instagram-facebook-youtube/

3) Wątek na Twitterze z polecanymi artykułami
Różne dziedziny, każdy znajdzie coś interesującego dla siebie.
https://mobile.twitter.com/JamesClear/status/1154066001937534977

4) 84 sztuczki psychologiczne
Przydatne w marketingu, biznesie, projektowaniu produktów.
Kiedy coś posiadamy lub przetestujemy, postrzegamy to za bardziej wartościowe.
Efekt Ikea – jeśli włożyliśmy w coś wysiłek nadajemy temu wyższą wartość.
https://www.mobilespoon.net/2019/04/collection-cognitive-biases-how-to-use.html

5) Źródła wiedzy dla przedsiębiorców
Zestawienie najlepszych artykułów, książek, wywiadów. Niektóre pojawiały się w Lejku, a kolejne dodaję w dzisiejszym (7).
https://leoncoe.substack.com/p/how-to-compete-and-win

10) Autor artykułu przypadkowo wymyślił i rozpowszechnił nowe święto – Dzień Ananasa
https://startupandrew.com/posts/how-i-started-pineapple-day-holiday/

Dodatkowe 4 linki dostępne na grupie FB.

***
Jak śledzić kolejne zestawienia?
Facebook *** Mirkolista *** RSS *** albo tag – #lejektresci

#marketing #marketinginternetowy #biznes #rozwojosobisty #socialmedia #startup

Witam mireczków! Cóż to był…

Witam mireczków! Cóż to był za miesiąc zarabiania! #dawisekzarabia <- Nowy tag do obserwowania!
W tym miesiącu zarobiłem: 277zł. Uwaga! #rozdajo na dole!

Chcecie zacząć zarabiać? Warto wiedzieć, że w weekendy/święta jest bardzo mało ankiet, także jak chcecie dorobić sobie w weekend to nie róbcie sobie zbyt dużych nadziei, bądźcie cierpliwi i dajcie sobie więcej czasu! Istotne jest też to, że im dłużej jesteście to tym więcej ankiet macie.

Na tych stronach zarabiałem:
Opinie.pl – W lipcu zarobiłem około 17 złotych! Nie jest to zła kwota, po prostu po jakimś czasie się uzbiera, na tym portalu spędzam chyba najmniej czasu :D.

pokaż spoiler Bez reflinka: http://opinie.pl

Klub Kantar – W tym miesiącu zarobiłem około 35 zlotych przelewem lub jeśli ktoś wolałby jakieś vouchery do empika to mógłby mieć je za ponad 45 złotych. Fajny portal, jeden z moich ulubionych.

Surveyo24.pl – Zarobiłem około 15 złotych, ale szczerze mówiąc – portal polecam. Gdybym wchodził na niego częściej to mógłbym pewnie nawet 30 złotych wyciągnąć, bardzo go lubię, ale to dalej nie jest mój top!

pokaż spoiler http://surveyo24.com

Clixsense.com – portal po angielsku, ale wszystkie ankiety po polsku. Zdecydowanie najlepszy portal – mimo, że ten miesiąc był delikatnie słabszy to dostałem łącznie około 56 złotych, a robiłem bardzo mało, ponieważ w wakacje mam o wiele więcej zajęć niż w roku szkolnym. O dziwo!

pokaż spoiler http://clixsense.com

I-say.com – Strona bez reflinka, zarobiłem około 16zł, ale mimo wszystko stronę lubię. Mały zysk, ale na stronie też się mało robi, wystarczy wejść dwa razy dziennie i jak się pojawi ankieta – wypełnić.

Prolific – Brak reflinka. Strona bardzo fajna, zarobiłem na niej około 58zł. Najlepiej płacąca strona, ale minusem jest to, że ankiety szybko schodzą, warto mieć otwartą zakładkę i zerkać co jakiś czas. Normalnie wyścig szczurów.

Studentswatch – W tym miesiącu zarobiłem około 30zł – ankiet nie jest jakoś dużo, ale można zarobić jakieś fajne pieniądze. Ważne – warto podać, że mieszkacie na wsi, ponieważ mają duży brak na takich ankieterów!

pokaż spoiler http://studentswatch.pl

LifePoints – na stronie zarobiłem 25 złotych, wbijałem średnio dwa razy dziennie – jak się pojawiła ankieta to wypełniałem, jak nie to nie.

Poznaj.to – na tej stronie dopiero co konto założyłem, ale już wiem, że mi się podoba. Kolejna z stron na których zysk nie będzie jakiś wielki, ale warto na niej mieć konto.

pokaż spoiler http://poznaj.to

I teraz coś bardzo nowego! Gra! Jeśli graliście w plemiona lub coś tego typu to wam się na pewno spodoba!
MyProfitLand – Nic nie musicie wpłacać (chociaż możecie, żeby szybciej brać z tego profit). Na stronie rozwijacie swoją firmę i również pracujecie u innych graczy. Gra strategiczna, nie będę mówić ile zarabiam, bo mam zamiar każdy zarobek inwestować w dalszą grę, aby potem mieć w miare pasywny zarobek. Nawet jeśli by się na tej grze nic nie zarabiało to i tak bym grał! Po założeniu konta bardzo polecam ten poradnik – https://zarabiam.com/showthread.php?tid=158168

pokaż spoiler http://myprofitland.com

No i obiecane rozdajo! Ten miesiąc był bardzo średni pod względem zarobku, dlatego aby sierpień był lepszy rozdaję muchy z zalando! Nie są jakieś drogie, ale liczy się gest :). Jeśli komuś się nie podobają to może wybrać coś o podobnej kwocie.
Aby wygrać muchę wystarczy zaplusować wpis i mieć konto starsze od tego posta! Jak już ktoś wygra to podeślę linka do wszystkich much spośród których może wybrać swoją! Każdy znajdzie coś dla siebie!

[ #ankiety #zarabianiewinternecie #zarobek #zarobki #zarabianie #internet #paypal #biznes #pieniadze ]

#ekonomia #biznes…

#ekonomia #biznes #januszebiznesu
Nie zaczynaj inwestycji przed zebraniem potrzebnych środków

Hej miraski to ja P O G R O M…

Hej miraski to ja P O G R O M C A O L X otwieram nowy tag #pogromcaolx zapraszam do obserwowania NIE czarnolistowania czy zakopowywania. Moze i to nie jest janusz ale i tak śmieszy.
#olx #bekazpodludzi #biznes #heheszki a do tego wołam osoby plusujące ten wpis wpisior
( ͡° ͜ʖ ͡°)

„Bomba logiczna” w Excelu….

„Bomba logiczna” w Excelu. Specjalnie wprowadzał błędy, żeby zarabiać na „łatkach”.

https://sekurak.pl/bomba-logiczna-w-excelu-specjalnie-wprowadzal-bledy-zeby-zarabiac-na-latkach/

#sekurak #programowanie #biznes #bezpieczenstwo

Dzisiejszy #lejektresci jest…

Dzisiejszy #lejektresci jest w całości poświęcony wymyślaniu nazwy.

*** Szukanie nazwy ***

1) https://makernames.com/
2) http://www.naminum.com/
3) https://leandomainsearch.com/
4) https://wordoid.com/
5) http://www.hipsterbusiness.name/
6) https://en.wikipedia.org/wiki/Category:Words_and_phrases_by_language
7) https://i-generate.net/GeneratorOnline

*** Sprawdzanie dostępności ***

8) https://www.namecheckr.com/
9) https://thenameapp.com/
10) https://domainr.com/

11) Znaki towarowe na świecie
https://www.trademarkia.com/

12) Znaki towarowe w Polsce
https://grab.uprp.pl/PrzedmiotyChronione/Strony%20witryny/Wyszukiwanie%20proste.aspx

*** Szybkie tworzenie identyfikacji wizualnej ***

13) https://brandbuilder.ai/new

*** Artykuł o wymyślaniu nazwy ***

14) https://growthbadger.com/blog-names/

***
Jak śledzić kolejne zestawienia?
Facebook *** Mirkolista *** RSS *** albo tag – #lejektresci

#marketing #marketinginternetowy #biznes #startup

Czasami aby przeprowadzić…

Czasami aby przeprowadzić atak na użytkownika musimy przekonać go do wykonania pewnej czynności. #od0dopentestera
Tak jest w przypadku self XSS, kiedy to ofiara musi samodzielnie otworzyć konsolę deweloperską przeglądarki (w przypadku Chrome przy użyciu F12) a następnie wkleić tam kod #javascript otrzymany od atakującego.

Innym przykładem są błędy w obsługiwaniu niektórych nagłówków przesyłanych przez przeglądarkę, chociażby User-agent, czyli informacji na temat wersji programu, której aktualnie używamy.
Ten nagłówek jest doklejany do każdego żądania automatycznie i użytkownik nie może go w prosty sposób zmienić.
Czasami zdarza się, że treść tego nagłówka wyświetlana jest stronach bez odpowiedniej weryfikacji.
To może prowadzić do ataków typu XSS, kiedy to na stronie wykonywany jest nieautoryzowany kod #js.

W przeszłości błędy tego rodzaju nie były traktowane poważnie.
Aby je wykorzystać użytkownik musiał bowiem zainstalować dodatkowe rozszerzenie, które umożliwiało by mu zmianę konkretnego nagłówka.
I tu do gry wchodzi Web Cache Poisoning.
Wygenerowanie niektórych podstron jest mocnym obciążeniem dla serwera a ich treść nie zmienia się zbyt często.
Aby więc zoptymalizować wykorzystywanie zasobów korzysta się z pamięci podręcznej.
Wygenerowaną treść strony zapisuje się w pamięci i w przypadku kolejnych żądań nie trzeba ponownie wykonywać skomplikowanych zapytań do bazy danych a jedynie wyświetlić zapisaną wcześniej treść.

Serwer musi jakoś rozpoznawać czy może wykorzystać zawartość cache czy też musi wygenerować stronę na nowo.
Robi to na podstawie tak zwanych cache keys.
W najprostszym przypadku może to być treść parametrów przekazywanych przez przeglądarkę.
Jeżeli wysłano takie same parametry – wyświetlamy zawartość z pamięci podręcznej.
Jeżeli zmieniła się przynajmniej jedna wartość – musimy wygenerować stronę na nowo.

Atakujący może wykorzystać ten mechanizm do zapisania swojej wersji konkretnej podstrony.
Jak? Wysyłając żądanie z odpowiednio zmodyfikowanym nagłówkiem user-agent zawierającym odpowiedni kod JS.
Żądanie to przesyłane jest pod unikalny adres.
Dzięki temu serwer stwierdzi, że jest to nowa strona i zapisze ją w swojej pamięci razem ze zmodyfikowanym nagłówkiem.
Teraz wystarczy już tylko przekonać ofiarę do odwiedzenia tak spreparowanej podstrony.
Wtedy to serwer pobierze wcześniej zapisaną, złośliwą wersję i wyświetli ją nieświadomemu użytkownikowi.
W taki sposób możliwe jest wykorzystanie błędów, które jeszcze parę chwil temu wydawały się mało ciekawe.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Podcast dostępny na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #webdev #security

5 lat po uwolnieniu rynku…

5 lat po uwolnieniu rynku wynoszenia w kosmos przez chiński rząd Hyperbola 1 firmy iSpace ma szansę zostać pierwszą prywatną chińską rakietą nośną, która umieści ładunek na orbicie.

Link do znaleziska: Hyperbola 1 – pierwsza prywatna rakieta orbitalna Chin przed historycznym lotem

Interesujące? Dziękuję Ci za wykop!

#kosmos #chiny #azja #biznes #ciekawostki #spacex #gruparatowaniapoziomu #satelity #historia #startyrakiet #rakiety #eksploracjakomosu #elonmusk #kosmiczneinfo #geopolityka #wolnyrynek #spacex #liganauki

Jaki #biznes założyć mając 3k…

Jaki #biznes założyć mając 3k na zainwestowanie?

#firma #wlasnafirma #dzialalnoscgospodarcza

Mirki, co mnie akcja dziś…

Mirki, co mnie akcja dziś spotkała z Klientem. Pan ma u mnie dwie stronki, w połowie miesiąca kończyła się ważność domeny. Faktura wystawiona na początku miesiąca. Oczywiście nie została opłacona w terminie (tak jak i poprzednie, ta sama historia od paru lat z tym Panem).
W związku z tym nie opłaciłem domeny i jest ona w trakcie tzw. wygaszania. Czyli jeszcze nie można jej przejąć, ale domena już nie działa w przeglądarce. Jeżeli w ciągu 14 dni się jej nie opłaci, to wpada ona do sprzedaży i każdy może sobie ją zarejestrować.
Pan chyba nie był tego świadomy, bo nic się nie odzywał (a najczęściej Klienci budzą się tego samego dnia, gdy ich strona przestanie działać), dlatego w dobrej wierze wysłałem dziś SMS w celu przypomnienia tematu.
Odpowiedź załączam.

W komentarzu dalsza część rozmowy.

#zalesie #rakcontent #informatyka #biznes

Przy jednej z ulic #chojnice…

Przy jednej z ulic #chojnice siedzi chłopiec i sprzedaje rysunki za 1zł. Całkiem dobrze mu idzie ta sprzedaż, ma zadatki na przedsiębiorcę ( ͡º ͜ʖ͡º)
#czujedobrzeczlowiek #biznes

Dobrze prawi! Polać mu ( ͡°…

Dobrze prawi! Polać mu ( ͡° ͜ʖ ͡°)

#logikarozowychpaskow #logikaniebieskichpaskow #biznes #heheszki

„Jak wynika z raportu…

„Jak wynika z raportu Polskiego Funduszu Rozwoju (PFR), polska branża meblarska zajmuje czwarte miejsce na świecie pod względem eksportu mebli. Do 2020 r. możemy jednak być numerem jeden w Europie i wyprzedzić takie kraje, jak Niemcy czy Włochy. Już teraz eksportujemy więcej mebli niż, m.in. Stany Zjednoczone, Meksyk czy Wietnam”

Co więcej, nasze meble są oparta niemal w 100% na krajowym kapitale.

„Polska trzeci rok z rzędu liderem eksportu stolarki okiennej w Unii
Łączna produkcja stolarki budowlanej w polskich zakładach wzrosła w 2017 roku o prawie 6 proc. i sięgnęła 23,4 mln sztuk. Natomiast w ciągu ostatnich czterech lat liczba okien i drzwi wyprodukowanych w polskich fabrykach zwiększyła się o 24 proc. – wynika z danych Centrum Analiz Branżowych. Eksperci prognozują, że w przyszłym roku rynek urośnie ok. 5 proc., a eksport nawet o 9–10 proc. Wzrosty w branży stolarskiej to głównie zasługa eksportu, w którym największy, 25-proc. udział ma Grupa VELUX.”

Teraz liderem jest już 5 rok 😉

Nowy tag, w którym dla odmiany, będę wrzucał posty chwalące Polskę. Ogromna jest liczba wpisów, które szkalują nasz kraj. Przyda się wrzucać ekonomiczne ciekawostki.

#polskajestzajebista #gospodarka #ekonomia #polska #biznes

Pamietam jak kiedyś…

Pamietam jak kiedyś studiowałem z takimi nerdami, każdy się uczył na egzaminy, zdawali na 5 wszystko, pupilki wykładowcy. Mieli odpowiedzi albo jakieś informacje to się nie dzielili bo wyścig szczurów o stypendium xD Ja zawsze na luzie do wszystkiego podchodziłem. Trochę na ściągach, zwłaszcza jakieś gówno-przedmioty i uczyłem się tylko tego, co mogło mi się przydać. Niektóre rzeczy na 3 byle zdać i do przodu. Zawsze ich dupsko piekło jak udało mi się zdać bez uczenia się, a oni cała noc zakuwali i gówno xD Już na studiach zacząłem praktyki w zawodzie, po inżynierce normalnie, potem druga praca i doświadczenie. Po roku wystartowałem z własnym biznesem i nie chwaląc się zarabiam więcej niż wykopek #programista15k ( ͡° ͜ʖ ͡°) Wszystko to nie dlatego, że miałem mega wiedzę i 5 na studiach tylko dlatego że potrafiłem z ludźmi rozmawiać i się zaprzyjaźnić. Kontakty w biznesie są najważniejsze.
Oni mega kujony, same 5, ale jak mieli się odezwać głośno i wyjść przed szereg to się jąkali xD
Teraz wyskoczył mi jakiś post jednego z nich na fejsie i sobie wystalkowałem pare osób z dawnych lat. Niektórzy w ogóle nie pracują w zawodzie (jakiś kierownik na myjni, inny fotograf xD). Największy cwaniaczek-jąkała i zarozumialec robi dla Janusza za 4k może. Śmiać mi się z nich chce bardzo xD
Każdy myślał, że nauka i papier da im złote góry – a dała wielkie nic.
Bycie bystrym i zaradnym > bycie kujonem i ciężka praca
#takaprawda #biznes #studbaza #praca #niepopularnaopinia i #chwalesie #sukces xD

Dwa darmowe ebooki,…

Dwa darmowe ebooki, zakładanie agencji marketingowej, strategie działające na Pintereście. To wszystko w spóźnionym #lejektresci.

1) Marketing Full Stack Starter Pack
Darmowy ebook od Brand24 z narzędziami i podstawami marketingu dla różnych kanałów.
https://brand24.pl/e-book-marketing-full-stack-starter-pack/

2) Shape Up
Darmowy ebook od Basecamp’a opisujący w jaki sposób tworzą nowe projekty w 6-cio tygodniowych cyklach.
https://basecamp.com/shapeup

3) Tworzenie agencji marketingu internetowego zarabiającej $8k/msc
Dwie częśći, obie w formie artykułu lub wideo.
Cz.1
https://www.reddit.com/r/Entrepreneur/comments/cap86r/digital_marketing_agency_making_consistent_8k_per/
https://www.youtube.com/watch?v=45rEiVP8MD0
Cz.2
https://www.reddit.com/r/Entrepreneur/comments/cb3ntv/digital_marketing_agency_pt_2_cold_calling_no/
https://www.youtube.com/watch?v=FCiNz-HpKzs

4) Jak formatować maile, aby nie wpadały do spamu.
Używanie współdzielonego IP, unikanie emoji, animowanych GIFów, HTML. Upraszczanie jak tylko się da dopóki domena nie nabierze wiarygodności.
Testowałem w tym tygodniu w swoim newsletterze i nie poprawiło to CTR, spróbuję jeszcze raz za tydzień.
https://matterapp.com/blog/how-email-deliverability-almost-killed-matter-what-brought-us-back-to-life/

5) Najlepsze strategie działające na Pintereście.
Krótkie wideo, używanie Pinterest Tag, wykorzystywanie trendów sezonowych (2gi link), zdjęcia w proporcjach 2:3, do 20 hasztagów, wykorzystywanie aktualnych trendów (3ci link).
https://buffer.com/resources/the-best-new-pinterest-marketing-strategies-working-today
https://business.pinterest.com/sub/business/business-infographic-download/pinterest-possibilites-planner-2018.pdf
https://business.pinterest.com/en/insights

10) Jak w Pokemony grają profesjonaliści
https://twitter.com/RampCapitalLLC/status/1150095477133729793

Dodatkowe 5 linków dostępne na grupie FB.

***
Jak śledzić kolejne zestawienia?
Facebook *** Mirkolista *** RSS *** albo tag – #lejektresci
#marketing #marketinginternetowy #biznes #rozwojosobisty #socialmedia

Ehh trzeba było jednak iść w…

Ehh trzeba było jednak iść w ulotki…

#biznes #heheszki

#kapitalizm #socjalizm…

#kapitalizm #socjalizm #biznes #januszebiznesu #polityka #pieniadze #historia #praca