luq techblog

o tworzeniu słów kilka…

Ukrywanie plików dla innych serwerów… 7 maja 2010

Filed under: Ajax,JS,PHP,Security,Web — Łukasz @ 09:31
Tags: ,

Wczoraj, na forum.php.pl pojawiło się pytanie dotyczące tego jak ukryć dane z pliku *.js, tak żeby user nie mógł ich podejrzeć. Oczywiście odpowiedzią na te pytanie, jest krótkie „nie da się”, ale można zrobić kilka rzeczy aby utrudnić podejrzenie pliku czy uniemożliwić użycie go na innym serwerze, w sposób:

 

<script type="text/javascript" src="http://www.example.com/file.js"></script>

 

O tym właśnie jest ten wpis.

 

(more…)

 

CaptchaBreak ver 0.1.1

Filed under: PHP,Security — Łukasz @ 08:06
Tags: , ,

Z małym poślizgiem, bo miałem już to wczoraj zrobić, chciałem opublikować moją, lekko ulepszoną, klasę do łamania prostych captch, nowością jest możliwość ustawienia czy tekst (literki) są czarne czy białe, oraz obsługa znaków od ASCII 48 do z ASCII 122 – co daje nam cyfry, litery małe i duże + teoretycznie kilkanaście innych znaków, ale te raczej nie są stosowne w captchach.

 

Link do wpisu nt. pierwszej wersji: click

 

Download CaptchaBreak ver 0.1.1

 

Ajax md5() 28 marca 2010

Filed under: Ajax,JS,Security,Web — Łukasz @ 11:19
Tags: , , , , ,

Dziś coś na temat bezpieczeństwa. Pomysł na ten wpis zrodził się dziś rano, gdy wchodząc na forum.php.pl zobaczyłem temat w którym, ktoś potrzebował użyć PHP`owej funkcji pack() po stronie klienta. W odpowiedzi rzucono mu linka http://phpjs.org/functions/pack:880. Szczerze powiedziawszy spotkałem się z tą stroną pierwszy raz i się miło zaskoczyłem. Strona phpjs.org to próba przeportowania funkcji występujących w PHP na język JS. Aktualnie progres tego zadania liczony jest na 81.7% czyli sporo… Dobra ale ja nie o tym chciałem, może kiedy indziej napiszę coś o phpjs… Jakiś czas temu widziałem także, na czyimś blogu, pomysł na liczenie md5 po stronie klienta (szkoda, że nie mam linka a jednak znalazłem http://necro.nomicon.pl/2009/01/24/making-of-javascript-botnet). Ogólnie chodzi o to, aby potencjalny user czytając wpis na blogu, liczył hashe md5() z kolejnych niewyliczonych stringów, następnie wynik zapisywał z powrotem do bazy,wszystko działało oczywiście w oparciu o technologie Ajax, bez świadomości czytającego co jego komputer właśnie robi. W ten sposób obciążamy liczeniem maszyny osób serfujących po internacie, natomiast nam pozostaje jedynie magazynowanie wyników tych operacji. Ten wpis jest próbą skonstruowania czegoś podobnego. Czy się udało? Co z tego wyszło? Czytaj dalej :)

 
(more…)

 

(nie)Captcha – jak złamać captche a jak napisać swoją. 28 stycznia 2010

Filed under: PHP,Programowanie,Security,Web — Łukasz @ 00:56
Tags: , ,

Dziś tematem będą, ponownie już na moim blogu, – captche, czyli obrazki z kodem, który ma nas zabezpieczyć przed wypełnianiem formularza przez boty przeglądarek (rejestracją konta na serwisie, wysłaniem SMS`a z darmowej bramki etc.) ale również jest to zabezpieczenie przed automatyzacją pewnych operacji (np. wspomniane już właśnie wysyłanie SMS`ów, zresztą pisałem nt. Orange captcha). Pomysł wyprowadzano w życie już dawno i bardzo dużo serwisów z takiego rozwiązania korzysta. Również stronki domowe pisane przez zapaleńców często taki cuda mają (przy skomentowaniu artykułu np.). Jest to naturalne, bo pomysł jest ciekawy i fajny, są jeszcze inne sposoby ale nie o tym chciałem tu pisać.

 

Bardzo ważnym, nie tylko w dziedzinie informatyki/programowania, jest robienie wszystkiego z głową, a niektórzy zapominają o tym. Generowana captcha z zasady ma bronić nas przed zapycham korzystania z usług naszego serwisu przez boty przeglądarkowe, jest to jedyna ich funkcja. Natomiast bardzo często można się spotkać z „niby captchami” które właściwie nic z captcha nie mają wspólnego.

 
(more…)