Riddle napisał(a):
Jak "wykradniesz" te loginy i hasła, to i tak z nimi nie zrobisz nic, czego teraz nie możesz. nie zyskasz żadnych dodatkowych informacji, nie przybędzie Ci wiedzy od tego.
Bo to nie jest jedyny problem tej strony, która teoretycznie powinna chronić zamieszczone tam treści przed dostępem osób postronnych.
uczony2 napisał(a):
Riddle napisał(a):
Jak "wykradniesz" te loginy i hasła, to i tak z nimi nie zrobisz nic, czego teraz nie możesz. nie zyskasz żadnych dodatkowych informacji, nie przybędzie Ci wiedzy od tego.
Bo to nie jest jedyny problem tej strony, która teoretycznie powinna chronić zamieszczone tam treści przed dostępem osób postronnych.
Powtarzam. Jedyny fuckup tej strony, na razie, według mnie, to jest to że upubliczniła pliki .pdf i inne rzeczy które @cerrato wyczaił, i tyle.
Możesz śmieszkować z niskiej jakości tej strony, ale to raczej nic nie wnosi.
Riddle napisał(a):
To co tam widzisz na tej storny w tym JS'ie, to nie są żadne dane logowania. To jest po prostu tablica stringów którą sobie ktoś tam wpisał.
Zgodnie z informacją na stronie to są dane logowania: na stronie jest napisane: Przejscie do następnej strony wymaga zalogowania się!
Edit: przeczytałem Twoje posty w wątku w którym broniłeś cichego fingerprintingu (Ukryty w serwisie 4programmers.net fingerprinter po cichu zbiera szczegółowe informacje o komputerach użytkowników serwisu), więc Twoje próby usprawiedliwienia sprawdzania haseł po stronie klienta już mnie nie dziwią :-P
wartek01 napisał(a):
Jednak biorąc się za cyberbezpieczeństwo wypadałoby umieć zadbać o własną infrastrukturę.
Indywidualne stron internetowe dydaktyków sprzed kilkunastu lat to nie jest infrastruktura sieciowa.
Są do tego narzędzia jak np. skanery podatności, jest OWASP, są pentesty.
xD
To jakby dealer luksusowych samochodów jeździł jakimś starym gruchotem.
Nie. To tak, jakby firma sprzedająca luksusowe samochodowych miała pracownika, który dwadzieścia lat temu kupił sobie używanego Golfa i do teraz go nie wyrzucił.
Tu chodzi o łączenie kierunku cyberbezpieczeństwo ze stanem ich własnej infrastruktury.
Adres http://www.if.pw.edu.pl/~zebra jednoznacznie mówi, że to jest poza siecią WEiTI.
Znalazłeś sobie losową stronkę sprzed zdaje się piętnastu lat, w dodatku na serwerze innego wydziału i tłumaczysz, że ówczesny stan "ich własnej infrastruktury" odpowiada tej stronce.
A jeśli strona ma rzeczywiście 15 lat, to współczuję studentom tego technologicznego skansenu.
To ja tobie współczuję umiejętności czytania ze zrozumieniem.
To jest stronka już nie używana, stworzona w jakimś prostym narzędziu dla studentów, żeby było skąd ściągać materiały i sprawdzać wyniki z kolokwiów. Stworzył to człowiek, który nie miał z szeroko rozwiniętym web developmentem nic wspólnego. To było za czasów papierowych indeksów.
Rozumiem, że jeśli na rozmowie o pracę ktoś spyta się ciebie o kod sprzed kilkunastu lat, ty im go pokażesz i powiedzą "eee, panie, nie ma lambd, ani nawet RESTów" to powiesz "ma pan rację, nie potrafię pisać w nowszych technologiach"?
@uczony2: https://incydent.cert.pl/#!/lang=pl,entityType=notObligatedEntity,easyIncidentType=vulnerability - zgłoś incydent. Chyba, że nie chodzi Ci o bezpieczeństwo, a bicie piany na forum.
wartek01 napisał(a):
Są do tego narzędzia jak np. skanery podatności, jest OWASP, są pentesty.
xD
Co xD?
Akurat Politechnice Warszawskiej gruntowny audyt by się przydał, Niebezpiecznika nie czytasz, czy co?:
Nie. To tak, jakby firma sprzedająca luksusowe samochodowych miała pracownika, który dwadzieścia lat temu kupił sobie używanego Golfa i do teraz go nie wyrzucił.
Jakby ten pracownik parkował na reprezentacyjnym parkingu pracodawcy wśród oferowanych na sprzedaż luksusowych samochodów, to byłby to pewien problem wizerunkowy.
A jeszcze większy problem byłby, gdyby zamiast służbowym samochodem pracownik samowolnie jeździł do klientów swoim zardzewiałym gruchotem bez biegu wstecznego, a właściciel firmy miał to w poważaniu.
Tu chodzi o łączenie kierunku cyberbezpieczeństwo ze stanem ich własnej infrastruktury.
Adres http://www.if.pw.edu.pl/~zebra jednoznacznie mówi, że to jest poza siecią WEiTI.
Napisałem przecież wcześniej, że chodzi o Wydział Fizyki, więc czego chcesz?
Czytasz ze zrozumieniem, czy "pobieżnie"?
Poza tym domena pw.edu.pl jednoznacznie wskazuje, że chodzi o tę samą uczelnię.
Czepiasz się dla samego czepiania się?
Znalazłeś sobie losową stronkę sprzed zdaje się piętnastu lat,
Nie sprzed 15 lat, tylko jest 2022, a strona działa tak jak działała 15 lat temu.
w dodatku na serwerze innego wydziału
No i co z tego, że innego wydziału, jak uczelnia ta sama?
i tłumaczysz, że ówczesny stan "ich własnej infrastruktury" odpowiada tej stronce.
Tłumaczę Ci, że jest 2022, a strona od 15 lat (czy ilu tam) sprawdza hasła po stronie klienta.
To ja tobie współczuję umiejętności czytania ze zrozumieniem.
Chyba jednak nie w tę stronę powinny być skierowane te gratulacje, patrz wyżej.
To jest stronka już nie używana,
Skąd wniosek, że nie jest używana?
Stworzył to człowiek, który nie miał z szeroko rozwiniętym web developmentem nic wspólnego. To było za czasów papierowych indeksów.
A więc wziął się za to ktoś, kto nie ma w tym obszarze kompetencji. Jak to świadczy o organizacji tej organizacji? Chyba niezbyt dobrze.
Rozumiem, że jeśli na rozmowie o pracę ktoś spyta się ciebie o kod sprzed kilkunastu lat, ty im go pokażesz i powiedzą "eee, panie, nie ma lambd, ani nawet RESTów" to powiesz "ma pan rację, nie potrafię pisać w nowszych technologiach"?
Ja nie mam na produkcji oprogramowania nieaktualizowanego od 15 lat.
yarel napisał(a):
@uczony2: https://incydent.cert.pl/#!/lang=pl,entityType=notObligatedEntity,easyIncidentType=vulnerability - zgłoś incydent. Chyba, że nie chodzi Ci o bezpieczeństwo, a bicie piany na forum.
Moge sobie zgłaszać incydenty, ale betonu w ten sposób nie przebiję.
Jeden serwis może nawet poprawią, ale na ogólny poziom organizacji to nie wpłynie.
uczony2 napisał(a):]
Akurat Politechnice Warszawskiej gruntowny audyt by się przydał, Niebezpiecznika nie czytasz, czy co?:
Nie ma to ŻADNEGO związku z tym, że wyszukiwanie stron założonych kilkanaście lat temu nie ma żadnego związku z poziomem dydaktyki teraz.
Jakby ten pracownik parkował na reprezentacyjnym parkingu pracodawcy wśród oferowanych na sprzedaż luksusowych samochodów, to byłby to pewien problem wizerunkowy.
Ta strona nie jest "na reprezentacyjnym" miejscu, ponieważ co najwyżej możesz odgrzebać ją przy dobrych lotach w archiwum lub jakichś starych newsach.
Napisałem przecież wcześniej, że chodzi o Wydział Fizyki, więc czego chcesz?
Tego, żebyś przestał mylić wydziały.
Poza tym domena pw.edu.pl jednoznacznie wskazuje, że chodzi o tę samą uczelnię.
Czepiasz się dla samego czepiania się?
Nie masz zielonego pojęcia, jak działają uczelnie i wydziały, i nawet nie poświęciłeś trzydziestu sekund na sprawdzanie tego.
Wydziały mają własnych adminów, którzy zarządzają oddzielnymi infrastrukturami sieciowymi. Tak samo jak umiejętność czytania ze zrozumieniem
Nie sprzed 15 lat, tylko jest 2022, a strona działa tak jak działała 15 lat temu.
Tak. Strona stworzona piętnaście lat temu, na potrzeby indywidualnego dydaktyka.
Tłumaczę Ci, że jest 2022, a strona od 15 lat (czy ilu tam) sprawdza hasła po stronie klienta.
No sprawdza. I nikt z niej nie korzysta.
Skąd wniosek, że nie jest używana?
Ja wiem, że jest nieużywana. Teraz pytanie do ciebie - skąd wiesz, że jest używana? Gdzie znalazłeś link do tej strony i kto oficjalnie ją polecił? Wykładowca wysłał i kazał stworzyć hasło?
A więc wziął się za to ktoś, kto nie ma w tym obszarze kompetencji. Jak to świadczy o organizacji tej organizacji? Chyba niezbyt dobrze.
No tak. Kompetencje dydaktyka Wydziału Fizyki w kwestii cyberbezpieczeństwa piętnaście lat temu nie były wysokie. Nikt temu nie przeczy.
Natomiast twierdzenie, że WEiTI w jakiś sposób odpowiada za tę stronę jest po prostu głupie.
Na obronę uczelni można powiedzieć że ludzie którzy tam wykładają nie klepią zazwyczaj tych stronek uczelni, ani nie utrzymują infry
Ale co do całej reszty, no to po prostu smutna rzeczywistość.
https://niebezpiecznik.pl/post/wyciek-danych-z-politechniki-warszawskiej-nazwiska-dane-kontaktowe-oceny/
https://niebezpiecznik.pl/post/kolejny-wyciek-danych-studentow-z-politechniki-warszawskiej/
https://niebezpiecznik.pl/post/uodo-ruszyl-z-postepowaniem-ws-politechniki-warszawskiej/
https://niebezpiecznik.pl/post/osoba-ktora-ujawnila-wyciek-z-politechniki-warszawskiej-krytykuje-uczelnie-i-przedstawia-nowe-informacje/
https://niebezpiecznik.pl/post/wyciek-z-politechniki-warszawskiej-czy-panienskie-matek-naprawde-wyciekly/
https://niebezpiecznik.pl/post/wyciek-z-politechniki-warszawskiej-moglo-byc-wiecej-niz-jedno-wlamanie/
https://niebezpiecznik.pl/post/wyciek-danych-z-politechniki-warszawskiej-nazwiska-dane-kontaktowe-oceny/
https://niebezpiecznik.pl/post/uwaga-studenci-politechniki-warszawskiej-eiti/
1a2b3c4d5e napisał(a):
Na obronę uczelni można powiedzieć że ludzie którzy tam wykładają nie klepią zazwyczaj tych stronek uczelni, ani nie utrzymują infry
Bo nie umieją ;-P
Nie potrzeba zbyt wiele, aby stworzyć czytelną stronę.
https://motherfuckingwebsite.com/