- Microsoft Excel topic
- Crypto Trade
- Súlyos adatvédelmi botrányba kerülhet a ChatGPT az EU-ban
- MinDig TV
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Rendszergazda topic
- Mindenki AI-t akar, már 2025-re is eladták a HBM chipeket
- Proxmox VE
- Kapnak egy rakás reklámot a Roblox játékosai
- ArchiCAD és Artlantis topik
Új hozzászólás Aktív témák
-
Snoop-y
veterán
Szeretem a hasonlo felhivasokat: ha feltorod adunk ennyit meg annyit de csak akkor ha igy vagy ugy.
Ami lehet celszeru is ha egy bizonyos felulet vagy alkalmazas hibajat keresik.
Ok szabaly szerint nem jar a figuranak semmi.Masreszrol amit talalt az olyan szintu szarvashiba, hogy megkerdojelezi az egesz ceg letjogosultsagat. ( elvegre azt hirdetik, hogy naluk biztonsagban vannak az adataid )
1. Intranet site elerheto kivulrol? Eleve google hogy listazta ki? A DNS szerverben az Intranet oldalakat nem hirdetjuk kifele!
2. Miert vannak egy intranet site-on forraskodok meg belepesi adatokat tartalmazo fileok?
Ha vannak miert nem MD5 vagy egyeb hashelt formaban?Kb olyan hibat vetettek, mintha egy hazat vedenenk:
Elol szogesdrot, vizesarok krokodilokkal 24 oras orseg kommandosok. Hatulrol meg a cseledbejaro ajtajara fel van akasztva a kulcs. Es amikor kiderul a helyett hogy megkoszonnek hogy valaki nem kiabalva hozza a vilag tudomasara, hogy dilettans barmok gyulekezete a ceg megprobaljak lekoptatni az illetot.
Es ha ezt nem ismertek fel akkor ott komoly gondok vannak
Szoval en a hir vegen szerettem volna latni azt is, hogy ujra auditaljak az IT sec policy-t is es nem csak azt, hogy befoltoztuk az adott biztonsagi rest. Ilyen hibak utan nagyon konnyen elkepzelheto, hogy egyeb komoly hianyossagok is vannak.[ Szerkesztve ]
New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need
-
Snoop-y
veterán
Ne vigyek floppyn nem is ezt mondjuk de az intranet es a fejlesztoi kornyezet kicsit maskepp kezelendo:
Az adott rendszerhez tartozo forraskodott fejlesztesi dokumentumokat nem taroljuk az intraneten hanem csak elkulonitett fejlesztoi kornyezetben amihez a vallalaton belul dolgozonak aki elerheti az intranetet semmi koze nincs es nem is szabad lennie. Ha nem igy van akkor ez egy Fraud lehetoseg.
Ezert szoktak kialakitani kulonbozo rendszereket nalunk pl igy mukodik:
A fejleszto nem tud belenyulkalni az eles rendszerbe minden valtoztatast eloszor a fejlesztoi kornyezetben majd a teszt kornyezetben hajtanak vegre elesbe allitas elott. Ha mindenki happy akkor a jovahagyott release pack-et az uzemeltetes helyezi elesbe. ( ok nem tudnak az adott packagbe belenyulni viszont csak ok tudjak elesiteni jovahagyas utan ).
Kulonben hogyan tudnad auditalni, hogy ki mibe nyulkal bele ha nem lehet lepesenkent beazonositani mindent es mindenkit a rendszerben? Es ebbe beletartoznak a valallaton beluli rendszer kornyezetek is az azokhoz tartozo biztonsagi szintekkel.
Milyen IT policy van a Prezi-nel? Sirnom kell basszus...
Na most ha egy atlag user eleve be tud menni az intranetre (
) Miert er el fejlesztoi anyagokat repository-t anyamkinjat? Guest-kent mindent lehet? Eleve, hogy az Intranetet domaines user/pass paros nelkul elerte. Ezert kulon jo pont jar! 
Cegen belul itt miert nincs adatvedelem? Ez ujabb lyuk a rendszeren es ujabb Fraud lehetoseg.New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need
-
Snoop-y
veterán
Akkor nem is kell ezek szerint semmit vedeni ami belso halo?
Nalunk pl a fejlesztoi kornyezet virtualis gepeken van es RDP-n lehet rajuk belepni a megadott ip-rol.
Csak erzekeltetni szerettem volna ezzel a peldaval hogy kulonosebb erofeszites nelkul meg lehet neheziteni a nemkivanatos szemelyek dolgat...New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need
-
Snoop-y
veterán
Nem mondtad. Viszont degradaltad az intraneten beluli szegregalast mert hat ugysem lehet megvedeni.
A peldamban azt boncolgatom, hogy a Prezinel az intranet egyenlonek tunik ( a betoro blog alapjan) egy szabalyozatlan nagy adathalmazzal.
Erre irtam azt hogy intranet es intranet kozott is van kulonbseg.
Ha nalunk elerned kivulrol fennakadnal a domain szuron
meg kb 3-4 masik eleg eros policyn.
Es akkor meg csak a nyitott atlag user intranetet latod az RDP-s fejlesztoi kornyezetet nem. Amit amugy sem lehet pl nalunk VPN-rol belepve elerni csak es kizarolag meghatarozott telephelyrol.Remelem igy vilagosabbra sikerult a mondandom.
New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need
-
Snoop-y
veterán
Igen lehet egy kis cegnel akik kenyersutessel foglalkoznak. De ahol eredetileg arra szakosodnak, hogy egy rendszert fejlesztenek amiben sensitive adatokat tarolnak hat nekem ez tobb sebbol verzik.
A fejlesztok felelosek annak a rendszernek az uzemelteteseert amiben dolgoznak?
Hogyan tortenik a jogosultsagok adminisztralasa? Szerintem ez egy szep kaosz, a melohelyen mindenki boldog mert kb mindent lehet. ( ismerem a fejlesztoket mindent szeretnenek elerni mindenhonnan:
meg akkor lusta vagyok osszekapcsolom ezt egy kicsit azzal mert hat akkor latom a mobilomrol sufnigepemrol otthon meg akkor felhuzunk mar valami irc-t is ( ide barmit behelyettesithetsz ), mert hat igy meg kenyelmesebb.Szerintem ez siman penz sporolas. Kitalaltak egy hulyeseget ami kifele jol eladhato de melysegeiben vizsgalva egy atlathatatlan kaoszt eredmenyez.
Az IT policy meghatarozasa amugy sem rendszergazdai feladat az egy kulon szakma. Nekik a policy betartatasa a feladatuk.
Miert vannak osszemosva itt ezek a munkakorok? Hogyan tud megfelelo dontest hozni egy fejleszto ha a sajat kis "szemetdombjan" atallit valamit? Honnan tudja milyen kapcsolodo kovetkezmenyei lehetnek annak amit engedelyez?Nekem ez rendkivul amator es abszolute nem biztonsagos megoldasnak tunik. maga a Fraud mennyorszag ( lehet, hogy a munkambol adodoan latom igy de szerintem nem kell kulonosebb logika ennek meglatasahoz )
New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need
-
Snoop-y
veterán
Igen de ha nincs jogosultsaga ahhoz hogy idiota legyen akkor nem tud csinalni semmit,
Amugy az talalt, hogy eleg burokratikus rendszerben dolgozom. De hat ez van. Sensitive adatok vedelmevel foglalkozom valamint rendszer jogosultsagok vizsgalataval. Raadasul finance teruleten.
Ha en nem tudok valamit megmagyarazni valaki mit miert csinalt a vallalatnal akkor pl megallithatjak a ceg ertekpapir kereskedelmet az amerikai tozsden. Valoszinu lilara rugdosnak meg az unokaim segget is...Amugy meg nem latom a kulonbseget ha valaki azzal jon de hat az finance.
A prezihez feltoltott adatok nem ernek semmit ezek szerint? Azokat nem kell vedeni es a leheto legminimalisabbra csokkenteni a visszaelesek lehetoseget?[ Szerkesztve ]
New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need
-
a hangsuly azon volt , hogy ne plain text-ben taroljak.
) Miert er el fejlesztoi anyagokat repository-t anyamkinjat? Guest-kent mindent lehet? Eleve, hogy az Intranetet domaines user/pass paros nelkul elerte. Ezert kulon jo pont jar! 
Új hozzászólás Aktív témák
it Egy biztonsági szakember a cég pénzjutalommal kecsegtető hibakereső programja miatt kezdett gyenge pontokat keresni a Prezin. Talált is egy jó nagyot, de a folyamat innen nem úgy alakult, ahogy várta.
- Anglia - élmények, tapasztalatok
- Konzolokról KULTURÁLT módon
- BestBuy ruhás topik
- Milyen billentyűzetet vegyek?
- 3D nyomtatás
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Kihívás a középkategóriában: teszten a Radeon RX 7600 XT
- NVIDIA GeForce RTX 4080 /4080S / 4090 (AD103 / 102)
- Microsoft Excel topic
- Fujifilm X
- További aktív témák...
- 1151 V2 CPU-k / I5-8500 / I5-8400 / BESZÁMÍTOK!
- Intel i5-10400 hatmagos processzor + doboz + gyári új hűtő
- Nintendo Switch játékok (ง '-' )ง Budapest Nyugatinál
- Fekete Sony PlayStation 5 Cover (Lemezes változat)
- Samsung Galaxy S23 Ultra 5G 256GB Dual SIM Phantom Black Gyárilag független Csere/beszámítás is!