Cze┼Ť─ç!

To ju┼╝ trzecie wydanie newslettera, które pisz─Ö w do┼Ť─ç nietypowych warunkach. Mój urlop nadal trwa, a ja siedz─Ö w┼éa┼Ťnie z tabletem na parkingu w pewnym znanym w┼éoskim mie┼Ťcie. Urlop, czy nie urlop, newsletter musi by─ç.

Nie b─Öd─Ö si─Ö rozpisywa┼é, bo pora ju┼╝ i┼Ť─ç spa─ç (pisz─Ö te s┼éowa po pó┼énocy), a Tobie ┼╝ycz─Ö przyjemnej lektury i ma┼éo stresuj─ůcego pi─ůtku.

 

ÔŚó #unknownews ÔŚú

  1. Omijanie technik utrudniaj─ůcych debugowanie JavaScriptu
    https://www.nullpt.rs/evading-anti-debugging-techniques
    INFO: Kiedy zajmujesz si─Ö debugowaniem kodu napisanego i rozpowszechnianego przez osoby trzecie, na twojej drodze mog─ů pojawi─ç si─Ö podst─Öpne pu┼éapki, które uniemo┼╝liwi─ů dzia┼éanie zwyk┼éych technik. Co dalej? Wy┼é─ůczy─ç punkty zatrzymania w DevTools? U┼╝y─ç proxy? A mo┼╝e przekompilowa─ç ca┼é─ů przegl─ůdark─Ö? ;)

  2. Metodologia testowania konfiguracji Kubernetes
    https://securitycafe.ro/2023/02/27/a-complete-kubernetes-config-review-methodology/
    INFO: Istnieje wiele aspektów konfiguracji Kubernetes, które trzeba wzi─ů─ç pod uwag─Ö przy´┐╝ pentestach i przegl─ůdzie´┐╝ konfiguracji. Ten artyku┼é zawiera spis mniej oczywistych rzeczy na które warto rzuci─ç okiem.

  3. Obsługa spacji w skryptach shellowych = piekło programisty?
    https://blog.plover.com/Unix/whitespace.html
    INFO: Ka┼╝dy, kto próbowa┼é napisa─ç skrypt operuj─ůcy na plikach np. w Bashu, wcze┼Ťniej, czy pó┼║nej natkn─ů┼é si─Ö na problemy z obs┼éug─ů plików ze spacjami w nazwie. My┼Ťlisz, ┼╝e wystarczy odpowiednie zmienne wrzuci─ç w cudzys┼éów i gotowe? No to masz racj─Ö... tylko ten cudzys┼éów trzeba niekiedy zastosowa─ç np. trzykrotnie.

  4. Cztery popularne problemy z obs┼éug─ů czasu w PostgreSQL
    https://korban.net/posts/postgres/2017-09-29-four-levels-of-time-handling-in-database/
    INFO: Obliczanie ró┼╝nic mi─Ödzy datami, obs┼éuga stref czasowych, ┼Ťledzenie zmian danyc w czasie itp. To wszystko popularne operacje przy których mo┼╝na jednak zaliczy─ç wpadk─Ö. Dowiedz si─Ö, jak jej unikn─ů─ç.

  5. Na czym polega "SMS Traffic Pumping Fraud" i jak si─Ö zabezpieczy─ç?
    https://support.twilio.com/hc/en-us/articles/8360406023067-SMS-Traffic-Pumping-Fraud
    INFO: Posiadasz w swojej aplikacji opcj─Ö przypominania has┼éa na SMS? a mo┼╝e wysy┼éasz kod autoryzacyjny tym kana┼éem komunikacji? a mo┼╝e u┼╝ytkownik SMS-em otrzymuje linka do pobrania aplikacji? Nie ma znaczenie do czego u┼╝ywasz SMS-ów, je┼Ťli tylko odpowiednio nie zabezpieczysz swojej aplikacji, to sko┼äczysz z ogromnym rachunkiem za us┼éug─Ö wysy┼éki wiadomo┼Ťci, a oszu┼Ťci zrobi─ů sobie z Twojej aplikacji ┼║ród┼éo zarobku. Z artyku┼éu dowiesz si─Ö, jak si─Ö przed tym oszustwem broni─ç.

  6. SweepAI - Junior Developer bazuj─ůcy na AI?
    https://github.com/sweepai/sweep
    INFO: Wyobra┼║ sobie, ┼╝e masz w teamie juniora, który nas┼éuchuje na proste zg┼éoszenia (issues) na GItHubie i po prostu wykonuje je, dodaj─ůc do repozytorium nowe pull requesty. Tak w┼éa┼Ťnie dzia┼éa Sweep. Ma wersj─Ö darmow─ů. Je┼Ťli chcesz pracowa─ç na GPT 3.5, to nie masz limitu issues. Je┼Ťli chcesz przenie┼Ť─ç si─Ö na GPT-4, to niestety na wersji darmowej mo┼╝esz wykona─ç tylko 5 zada┼ä na miesi─ůc.

  7. Przegl─ůd metod i narz─Ödzi do scrapowania tre┼Ťci webowych
    https://nerdleveltech.com/web-scraping-learn-how-to-use-tools-and-techniques/
    INFO: Chcesz pobiera─ç automatycznie tre┼Ťci z innych stron np. w celu analizy danych? Niekiedy mo┼╝e to by─ç skomplikowane i mo┼╝e wymaga─ç specjalistycznych technik lub narz─Ödzi przeznaczonych do tego celu. Ten poradnik mo┼╝e podsun─ů─ç Ci kilka nowych pomys┼éów zwi─ůzanych ze scrapingiem tre┼Ťci.

  8. OWASP TOP10 dla modeli j─Özykowych (LLM) ju┼╝ jest!
    https://owasp.org/www-project-top-10-for-large-language-model-applications/assets/PDF/OWASP-Top-10-for-LLMs-2023-v1_0.pdf
    INFO: Prawdopodobnie kojarzysz s┼éynne zestawienie TOP10 od OWASPA zwi─ůzane z podatno┼Ťciami webowymi. Od kilku miesi─Öcy opracowywany by┼é podobny raport dla LLM-ów. Oficjalna wersja 1.0 zosta┼éa w┼éa┼Ťnie upubliczniona. Zdecydowanie warto rzuci─ç okiem je┼Ťli tworzysz systemy wspierane przez AI i modele j─Özykowe.

  9. Zmar┼é Bram Moolenaar - twórca edytora VIM
    https://www.theregister.com/2023/08/07/bram_moolenaar_obituary/
    INFO: Jego edytor tekstu (ulepszona wersja VI) to aplikacja instalowana domy┼Ťlnie w wi─Ökszo┼Ťci dystrybucji Linuxa/Unixa. Jednak Bram poza prac─ů nad edytorem, mocno udziela┼é si─Ö w pracy charytatywnej, a sam Vim (od 1995 roku) by┼é oprogramowaniem Charityware. Wi─Öcej w artykule.

  10. Wpis blogowy zawieraj─ůcy wszystkie tagi HTML-a
    https://www.patrickweaver.net/blog/a-blog-post-with-every-html-element/
    INFO: To nie jest lista tagów, a ich omówienie wraz z przyk┼éadami u┼╝ycia. Przydatne dla osób dopiero ucz─ůcych si─Ö HTML-a (aby np. rozró┼╝ni─ç UL od OL, czy DT/DL/DD od siebie). Bardziej zaawansowanym frontendowcom przyda si─Ö do usystematyzowania swojej wiedzy.

  11. Ciekawe zaburzenia w ChatGPT (zapis sesji)
    https://chat.openai.com/share/f5341665-7f08-4fca-9639-04201363506e
    INFO: To pe┼éen zapis rozmowy jednego z u┼╝ytkowników z chatem. Trzeba przyzna─ç, ┼╝e chat mocno odp┼éyn─ů┼é. Ciekawi mnie tylko, co by┼éo´┐╝ wyzwalaczem tego zachowania.

  12. (Nie)bezpiecze┼ästwo tokenów przechowywanych w VS Code
    https://cycode.com/blog/exposing-vscode-secrets/
    INFO: Okazuje si─Ö, ┼╝e "Secure token storage" wcale nie jest taki bezpieczny. Odpowiednio przygotowane rozszerzenie na mo┼╝liwo┼Ť─ç przeprowadzenia ataku kradzie┼╝y tokenu.

  13. Jak znane startupy B2B wpad┼éy na swój pierwotny pomys┼é na produkt?
    https://www.lennysnewsletter.com/p/how-the-most-successful-b2b-startups
    INFO: Bardzo rozbudowany artyku┼é z analiz─ů kilkunastu znanych marek i ich produktów. Okazuje si─Ö, ┼╝e nie ka┼╝dy startup zaczyna┼é od rozwi─ůzywania super pal─ůcego problemu. Ciekawa lektura.

  14. Lista 9 aplikacji bazuj─ůcych na AI, które mog─ů przyda─ç si─Ö programi┼Ťcie
    https://alex-omeyer.medium.com/9-ai-tools-every-software-developer-needs-to-try-1a3f888b52e
    INFO: Narz─Ödzia do refactoringu kodu, do tworzenia dokumentacji, do tworzenia testów i wiele innych. Istnieje szansa, ┼╝e znajdziesz tu co┼Ť, czego nie znasz i przyda Ci si─Ö to w codziennej pracy.

  15. Naucz si─Ö logiki w JavaScript, rozwi─ůzuj─ůc zestaw zagadek
    https://www.mathsuniverse.com/tixy
    INFO: Zadanie w ka┼╝dym przyk┼éadzie polega na narysowaniu wzoru podanego jako przyk┼éad za pomoc─ů podanych w nag┼éówku zmiennych (nie zawsze wszystkich - niekiedy tylko jednej). Zmienne ┼é─ůcz w wyra┼╝enia logiczne i zaliczaj kolejne etapy. Zdecydowanie polecam przechodzi─ç etapy kolejno, aby zaznajomi─ç si─Ö z mechanik─ů zada┼ä.

  16. AI potrafi podsłuchać (dosłownie) Twoje hasło
    https://www.bleepingcomputer.com/news/security/new-acoustic-attack-steals-data-from-keystrokes-with-95-percent-accuracy/
    INFO: Idea rozpoznawania wpisywanego has┼éa na podstawie d┼║wi─Öków klawiatury nie jest nowa. Ma ju┼╝ wiele lat. Jednak dopiero wraz z mocnym rozwojem sztucznej inteligencji dopracowano skuteczno┼Ť─ç tej metody do niemal 95%.

  17. Hackerom udało się odblokować płatne funkcje w Tesli
    https://electrek.co/2023/08/03/hackers-manage-unlock-tesla-software-locked-features/
    INFO: Samochody Tesli maj─ů wiele p┼éatnych funkcji (podgrzewane siedzenia, pe┼ény autopilot, super przyspieszenie itp.), które aktywowane s─ů softwarowo po op┼éaceniu abonamentu powi─ůzanego z wybran─ů funkcj─ů. Hackerzy opracowali esploatacyjne umo┼╝liwiaj─ůcego bezp┼éatne odblokowanie tych funkcji.

  18. Jak używać składni JSX bez potrzeby użycia Reacta?
    https://chriscoyier.net/2023/08/07/jsx-without-react/
    INFO: Je┼Ťli lubisz sk┼éadnie templatów JSX, a jednocze┼Ťnie nie chcesz i nie potrzebujesz dodawa─ç do swojego projektu ca┼éego Reacta, to NakedJSX jest dla Ciebie.

  19. Praca z Heap Snapshotami, czyli wy┼╝szy poziom web scrapingu
    https://www.adriancooney.ie/blog/web-scraping-via-javascript-heap-snapshots
    INFO: Puppeteer potrafi oprowa─ç na zrzutach pami─Öci uruchomionej aplikacji, a Twoja aplikacja mo┼╝e te zrzuty parsowa─ç. Niekiedy to jedyna metoda na dobranie si─Ö do tre┼Ťci strony, której autor bardzo utrudnia (celowo lub przez pisanie beznadziejnego kodu) jej prasowanie.

  20. CyberAlerty Niebezpiecznika b─Öd─ů teraz dodatkowo dost─Öpne w... GaduGadu
    https://gadu-gadu.pl/2023/08/10/wlacz-w-gg-alert-niebezpiecznika-o-zagrozeniach/
    INFO: Cyberalerty to darmowa us┼éuga, która powiadomi Ci─Ö o nowych globalnych cyberatakach na terenie naszego kraju (nowe phishingi, oszustwa, wycieki danych itp.). Mo┼╝na je otrzymywa─ç mailowo, przez dedykowan─ů aplikacj─Ö, a od wczoraj tak┼╝e i na GaduGadu (tak, ten komunikator nadal istnieje).

  21. Automatycznie generowowane ataki prompt injection
    https://www.schneier.com/blog/archives/2023/07/automatically-finding-prompt-injection-attacks.html
    INFO: Modele j─Özykowe takie jak GPT-3.5, czy spora cz─Ö┼Ť─ç otwarto┼║ród┼éowych modeli, przewa┼╝nie nie odpowiadaj─ů na pytania nielegalne lub mog─ůce komu┼Ť zaszkodzi─ç. Oczywi┼Ťcie istniej─ů metody obchodzenia tych zabezpiecze┼ä (np. DAN), ale wymagaj─ů one bardzo d┼éugiego zapytania i odgrywania ról. Okazuje si─Ö jednak, ┼╝e niemal ka┼╝dy prompt mo┼╝na 'rozbroi─ç' u┼╝ywaj─ůc dodatkowych kilkuset znaków w zapytaniu. W pierwszym akapicie artyku┼éu jest link do badania, które zg┼é─Öbia temat.

  22. Linkwarden - samohostowalna aplikacja do kolekcjonowania linków
    https://linkwarden.app/
    INFO: Je┼Ťli szukasz serwisu dzi─Öki któremu mo┼╝esz zachowa─ç do poczytania na pó┼║niej (jak w Pocket/Instapeper) znalezione artyku┼éu, to ta aplikacja jest dla Ciebie. Umo┼╝liwia ona nie tylko zapisanie linka, dodanie do niego notatek, tytu┼éu itp, ale tak┼╝e zachowanie jego zawarto┼Ťci (np. jako zrzutu kodu, czy screenshota). Na stronie masz niby cennik, ale wersja do samodzielnego hostowanie jest bezp┼éatna.

  23. U┼╝ywasz aplikacji NightOwl na Macu? To j─ů usu┼ä!
    https://robins.one/notes/uninstall-the-nightowl-app-now.html
    INFO: To aplikacja do automatycznej zmiany trybu Darkmode/Lightmode, kupionaa ´┐╝przez firm─Ö, która mocno zmieni┼éa jej polityk─Ö prywatno┼Ťci. Obecnie u┼╝ytkownicy aplikacji s─ů cz─Ö┼Ťci─ů czego┼Ť na wzór botnetu.

  24. Co si─Ö dzieje w systemie, gdy python wy┼Ťwietla "Hello World" na Linuksie?
    https://jvns.ca/blog/2023/08/03/behind--hello-world/
    INFO: Analiza procesu wy┼Ťwietlania tekstu. Od interpretacji polecenia, przez odnalezienie w┼éa┼Ťciwego interpretera, wywo┼éanie odpowiedniego syscalla itp. Co┼Ť dla osób, które chc─ů lepiej pozna─ç jak dzia┼éa system Linux.

  25. Numbr - inteligentny kalkulator i notatnik (WEB / rozszerzenie)
    https://numbr.dev/
    INFO: Mo┼╝e dzia┼éa─ç jako aplikacja webowa lub jako rozszerzenie do Chrome. Umo┼╝liwia definiowanie zmiennych i u┼╝ywanie ich w pó┼║niejszych obliczeniach oraz tworzenie notatek. Pobiera na ┼╝ywo kursy walut (tak┼╝e crypto). Przyk┼éady u┼╝ycia mo┼╝na zobaczy─ç na animacji na stronie g┼éównej projektu.

  26. Pure functions na przyk┼éadach - czym s─ů i jak dzia┼éaj─ů?
    https://devszczepaniak.pl/pure-functions
    INFO: Czym ró┼╝ni si─Ö funkcja 'pure' od klasycznej 'impure'? Dlaczego mia┼éby┼Ť korzysta─ç z tych pierwszych je┼Ťli ich tworzenie to dodatkowy narzut pracy? jakie daj─ů benefity? Po┼╝yteczna wiedza nie tylko do u┼╝ycia w pracy, ale tak┼╝e do przygotowania si─Ö np. na rozmow─Ö o prac─Ö.

  27. Typst - czyżby skrajnie prosty w obsłudze następca LateXa?
    https://typst.app/
    INFO: Aplikacja online pozwalaj─ůca skupi─ç si─Ö na tworzeniu tre┼Ťci, a jej wygl─ůd zostanie dopasowany do naszych potrzeb. Mo┼╝na pracowa─ç nad jednym dokumentem w wiele osób. Obecnie aplikacja jest w fazie darmowej, publicznej bety.

 

Do┼é─ůcz do grona patronów, dzi─Öki którym powstaje ten newsletter :)

 

Zobacz poprzednie wydania newslettera:

 

Lubisz czyta─ç mój Newsletter? Podziel si─Ö nim prosz─Ö ze znajomymi ÔČç´ŞĆ 

Facebook Twitter Linkedin

Wersja webowa aktualnego wydania

 

Do zobaczenia za tydzie┼ä  ­čĹő

 

Jakub Mrugalski

pozdrawiam

Jakub 'unknow' Mrugalski

https://mrugalski.pl

Facebook Instagram YouTube Twitter Linkedin

Je┼Ťli nie chcesz wi─Öcej otrzymywa─ç ode mnie wiadomo┼Ťci, zawsze mo┼╝esz si─Ö wypisa─ç.

Zapisz si─Ö na ten newsletter!