Cześć!

To już trzecie wydanie newslettera, które piszę w dość nietypowych warunkach. Mój urlop nadal trwa, a ja siedzę właśnie z tabletem na parkingu w pewnym znanym włoskim mieście. Urlop, czy nie urlop, newsletter musi być.

Nie będę się rozpisywał, bo pora już iść spać (piszę te słowa po północy), a Tobie życzę przyjemnej lektury i mało stresującego piątku.

 

◢ #unknownews ◣

  1. Omijanie technik utrudniających debugowanie JavaScriptu
    https://www.nullpt.rs/evading-anti-debugging-techniques
    INFO: Kiedy zajmujesz się debugowaniem kodu napisanego i rozpowszechnianego przez osoby trzecie, na twojej drodze mogą pojawić się podstępne pułapki, które uniemożliwią działanie zwykłych technik. Co dalej? Wyłączyć punkty zatrzymania w DevTools? Użyć proxy? A może przekompilować całą przeglądarkę? ;)

  2. Metodologia testowania konfiguracji Kubernetes
    https://securitycafe.ro/2023/02/27/a-complete-kubernetes-config-review-methodology/
    INFO: Istnieje wiele aspektów konfiguracji Kubernetes, które trzeba wziąć pod uwagę przy pentestach i przeglądzie konfiguracji. Ten artykuł zawiera spis mniej oczywistych rzeczy na które warto rzucić okiem.

  3. Obsługa spacji w skryptach shellowych = piekło programisty?
    https://blog.plover.com/Unix/whitespace.html
    INFO: Każdy, kto próbował napisać skrypt operujący na plikach np. w Bashu, wcześniej, czy późnej natknął się na problemy z obsługą plików ze spacjami w nazwie. Myślisz, że wystarczy odpowiednie zmienne wrzucić w cudzysłów i gotowe? No to masz rację... tylko ten cudzysłów trzeba niekiedy zastosować np. trzykrotnie.

  4. Cztery popularne problemy z obsługą czasu w PostgreSQL
    https://korban.net/posts/postgres/2017-09-29-four-levels-of-time-handling-in-database/
    INFO: Obliczanie różnic między datami, obsługa stref czasowych, śledzenie zmian danyc w czasie itp. To wszystko popularne operacje przy których można jednak zaliczyć wpadkę. Dowiedz się, jak jej uniknąć.

  5. Na czym polega "SMS Traffic Pumping Fraud" i jak się zabezpieczyć?
    https://support.twilio.com/hc/en-us/articles/8360406023067-SMS-Traffic-Pumping-Fraud
    INFO: Posiadasz w swojej aplikacji opcję przypominania hasła na SMS? a może wysyłasz kod autoryzacyjny tym kanałem komunikacji? a może użytkownik SMS-em otrzymuje linka do pobrania aplikacji? Nie ma znaczenie do czego używasz SMS-ów, jeśli tylko odpowiednio nie zabezpieczysz swojej aplikacji, to skończysz z ogromnym rachunkiem za usługę wysyłki wiadomości, a oszuści zrobią sobie z Twojej aplikacji źródło zarobku. Z artykułu dowiesz się, jak się przed tym oszustwem bronić.

  6. SweepAI - Junior Developer bazujący na AI?
    https://github.com/sweepai/sweep
    INFO: Wyobraź sobie, że masz w teamie juniora, który nasłuchuje na proste zgłoszenia (issues) na GItHubie i po prostu wykonuje je, dodając do repozytorium nowe pull requesty. Tak właśnie działa Sweep. Ma wersję darmową. Jeśli chcesz pracować na GPT 3.5, to nie masz limitu issues. Jeśli chcesz przenieść się na GPT-4, to niestety na wersji darmowej możesz wykonać tylko 5 zadań na miesiąc.

  7. Przegląd metod i narzędzi do scrapowania treści webowych
    https://nerdleveltech.com/web-scraping-learn-how-to-use-tools-and-techniques/
    INFO: Chcesz pobierać automatycznie treści z innych stron np. w celu analizy danych? Niekiedy może to być skomplikowane i może wymagać specjalistycznych technik lub narzędzi przeznaczonych do tego celu. Ten poradnik może podsunąć Ci kilka nowych pomysłów związanych ze scrapingiem treści.

  8. OWASP TOP10 dla modeli językowych (LLM) już jest!
    https://owasp.org/www-project-top-10-for-large-language-model-applications/assets/PDF/OWASP-Top-10-for-LLMs-2023-v1_0.pdf
    INFO: Prawdopodobnie kojarzysz słynne zestawienie TOP10 od OWASPA związane z podatnościami webowymi. Od kilku miesięcy opracowywany był podobny raport dla LLM-ów. Oficjalna wersja 1.0 została właśnie upubliczniona. Zdecydowanie warto rzucić okiem jeśli tworzysz systemy wspierane przez AI i modele językowe.

  9. Zmarł Bram Moolenaar - twórca edytora VIM
    https://www.theregister.com/2023/08/07/bram_moolenaar_obituary/
    INFO: Jego edytor tekstu (ulepszona wersja VI) to aplikacja instalowana domyślnie w większości dystrybucji Linuxa/Unixa. Jednak Bram poza pracą nad edytorem, mocno udzielał się w pracy charytatywnej, a sam Vim (od 1995 roku) był oprogramowaniem Charityware. Więcej w artykule.

  10. Wpis blogowy zawierający wszystkie tagi HTML-a
    https://www.patrickweaver.net/blog/a-blog-post-with-every-html-element/
    INFO: To nie jest lista tagów, a ich omówienie wraz z przykładami użycia. Przydatne dla osób dopiero uczących się HTML-a (aby np. rozróżnić UL od OL, czy DT/DL/DD od siebie). Bardziej zaawansowanym frontendowcom przyda się do usystematyzowania swojej wiedzy.

  11. Ciekawe zaburzenia w ChatGPT (zapis sesji)
    https://chat.openai.com/share/f5341665-7f08-4fca-9639-04201363506e
    INFO: To pełen zapis rozmowy jednego z użytkowników z chatem. Trzeba przyznać, że chat mocno odpłynął. Ciekawi mnie tylko, co było wyzwalaczem tego zachowania.

  12. (Nie)bezpieczeństwo tokenów przechowywanych w VS Code
    https://cycode.com/blog/exposing-vscode-secrets/
    INFO: Okazuje się, że "Secure token storage" wcale nie jest taki bezpieczny. Odpowiednio przygotowane rozszerzenie na możliwość przeprowadzenia ataku kradzieży tokenu.

  13. Jak znane startupy B2B wpadły na swój pierwotny pomysł na produkt?
    https://www.lennysnewsletter.com/p/how-the-most-successful-b2b-startups
    INFO: Bardzo rozbudowany artykuł z analizą kilkunastu znanych marek i ich produktów. Okazuje się, że nie każdy startup zaczynał od rozwiązywania super palącego problemu. Ciekawa lektura.

  14. Lista 9 aplikacji bazujących na AI, które mogą przydać się programiście
    https://alex-omeyer.medium.com/9-ai-tools-every-software-developer-needs-to-try-1a3f888b52e
    INFO: Narzędzia do refactoringu kodu, do tworzenia dokumentacji, do tworzenia testów i wiele innych. Istnieje szansa, że znajdziesz tu coś, czego nie znasz i przyda Ci się to w codziennej pracy.

  15. Naucz się logiki w JavaScript, rozwiązując zestaw zagadek
    https://www.mathsuniverse.com/tixy
    INFO: Zadanie w każdym przykładzie polega na narysowaniu wzoru podanego jako przykład za pomocą podanych w nagłówku zmiennych (nie zawsze wszystkich - niekiedy tylko jednej). Zmienne łącz w wyrażenia logiczne i zaliczaj kolejne etapy. Zdecydowanie polecam przechodzić etapy kolejno, aby zaznajomić się z mechaniką zadań.

  16. AI potrafi podsłuchać (dosłownie) Twoje hasło
    https://www.bleepingcomputer.com/news/security/new-acoustic-attack-steals-data-from-keystrokes-with-95-percent-accuracy/
    INFO: Idea rozpoznawania wpisywanego hasła na podstawie dźwięków klawiatury nie jest nowa. Ma już wiele lat. Jednak dopiero wraz z mocnym rozwojem sztucznej inteligencji dopracowano skuteczność tej metody do niemal 95%.

  17. Hackerom udało się odblokować płatne funkcje w Tesli
    https://electrek.co/2023/08/03/hackers-manage-unlock-tesla-software-locked-features/
    INFO: Samochody Tesli mają wiele płatnych funkcji (podgrzewane siedzenia, pełny autopilot, super przyspieszenie itp.), które aktywowane są softwarowo po opłaceniu abonamentu powiązanego z wybraną funkcją. Hackerzy opracowali esploatacyjne umożliwiającego bezpłatne odblokowanie tych funkcji.

  18. Jak używać składni JSX bez potrzeby użycia Reacta?
    https://chriscoyier.net/2023/08/07/jsx-without-react/
    INFO: Jeśli lubisz składnie templatów JSX, a jednocześnie nie chcesz i nie potrzebujesz dodawać do swojego projektu całego Reacta, to NakedJSX jest dla Ciebie.

  19. Praca z Heap Snapshotami, czyli wyższy poziom web scrapingu
    https://www.adriancooney.ie/blog/web-scraping-via-javascript-heap-snapshots
    INFO: Puppeteer potrafi oprować na zrzutach pamięci uruchomionej aplikacji, a Twoja aplikacja może te zrzuty parsować. Niekiedy to jedyna metoda na dobranie się do treści strony, której autor bardzo utrudnia (celowo lub przez pisanie beznadziejnego kodu) jej prasowanie.

  20. CyberAlerty Niebezpiecznika będą teraz dodatkowo dostępne w... GaduGadu
    https://gadu-gadu.pl/2023/08/10/wlacz-w-gg-alert-niebezpiecznika-o-zagrozeniach/
    INFO: Cyberalerty to darmowa usługa, która powiadomi Cię o nowych globalnych cyberatakach na terenie naszego kraju (nowe phishingi, oszustwa, wycieki danych itp.). Można je otrzymywać mailowo, przez dedykowaną aplikację, a od wczoraj także i na GaduGadu (tak, ten komunikator nadal istnieje).

  21. Automatycznie generowowane ataki prompt injection
    https://www.schneier.com/blog/archives/2023/07/automatically-finding-prompt-injection-attacks.html
    INFO: Modele językowe takie jak GPT-3.5, czy spora część otwartoźródłowych modeli, przeważnie nie odpowiadają na pytania nielegalne lub mogące komuś zaszkodzić. Oczywiście istnieją metody obchodzenia tych zabezpieczeń (np. DAN), ale wymagają one bardzo długiego zapytania i odgrywania ról. Okazuje się jednak, że niemal każdy prompt można 'rozbroić' używając dodatkowych kilkuset znaków w zapytaniu. W pierwszym akapicie artykułu jest link do badania, które zgłębia temat.

  22. Linkwarden - samohostowalna aplikacja do kolekcjonowania linków
    https://linkwarden.app/
    INFO: Jeśli szukasz serwisu dzięki któremu możesz zachować do poczytania na później (jak w Pocket/Instapeper) znalezione artykułu, to ta aplikacja jest dla Ciebie. Umożliwia ona nie tylko zapisanie linka, dodanie do niego notatek, tytułu itp, ale także zachowanie jego zawartości (np. jako zrzutu kodu, czy screenshota). Na stronie masz niby cennik, ale wersja do samodzielnego hostowanie jest bezpłatna.

  23. Używasz aplikacji NightOwl na Macu? To ją usuń!
    https://robins.one/notes/uninstall-the-nightowl-app-now.html
    INFO: To aplikacja do automatycznej zmiany trybu Darkmode/Lightmode, kupionaa przez firmę, która mocno zmieniła jej politykę prywatności. Obecnie użytkownicy aplikacji są częścią czegoś na wzór botnetu.

  24. Co się dzieje w systemie, gdy python wyświetla "Hello World" na Linuksie?
    https://jvns.ca/blog/2023/08/03/behind--hello-world/
    INFO: Analiza procesu wyświetlania tekstu. Od interpretacji polecenia, przez odnalezienie właściwego interpretera, wywołanie odpowiedniego syscalla itp. Coś dla osób, które chcą lepiej poznać jak działa system Linux.

  25. Numbr - inteligentny kalkulator i notatnik (WEB / rozszerzenie)
    https://numbr.dev/
    INFO: Może działać jako aplikacja webowa lub jako rozszerzenie do Chrome. Umożliwia definiowanie zmiennych i używanie ich w późniejszych obliczeniach oraz tworzenie notatek. Pobiera na żywo kursy walut (także crypto). Przykłady użycia można zobaczyć na animacji na stronie głównej projektu.

  26. Pure functions na przykładach - czym są i jak działają?
    https://devszczepaniak.pl/pure-functions
    INFO: Czym różni się funkcja 'pure' od klasycznej 'impure'? Dlaczego miałbyś korzystać z tych pierwszych jeśli ich tworzenie to dodatkowy narzut pracy? jakie dają benefity? Pożyteczna wiedza nie tylko do użycia w pracy, ale także do przygotowania się np. na rozmowę o pracę.

  27. Typst - czyżby skrajnie prosty w obsłudze następca LateXa?
    https://typst.app/
    INFO: Aplikacja online pozwalająca skupić się na tworzeniu treści, a jej wygląd zostanie dopasowany do naszych potrzeb. Można pracować nad jednym dokumentem w wiele osób. Obecnie aplikacja jest w fazie darmowej, publicznej bety.

 

Dołącz do grona patronów, dzięki którym powstaje ten newsletter :)

 

Zobacz poprzednie wydania newslettera:

 

Lubisz czytać mój Newsletter? Podziel się nim proszę ze znajomymi ⬇️ 

Facebook Twitter Linkedin

Wersja webowa aktualnego wydania

 

Do zobaczenia za tydzień  👋

 

Jakub Mrugalski

pozdrawiam

Jakub 'unknow' Mrugalski

https://mrugalski.pl

Facebook Instagram YouTube Twitter Linkedin

Jeśli nie chcesz więcej otrzymywać ode mnie wiadomości, zawsze możesz się wypisać.

Zapisz się na ten newsletter!