Menadżery haseł

O bezpieczeństwie haseł powiedziano już bardzo wiele, było, że powinny być skomplikowane i trudne do złamania, było też słynne porównanie haseł do majtek (na polski: "Hasła są jak majtki. Nie zostawiaj na widoku, zmieniaj często i nie pożyczaj obcym.").

Jest też jedna z mądrości na ten temat mówiąca, że najbezpieczniejsze hasło, to takie którego nie pamiętamy. Wiadomo: nie podamy go niezaufanym ludziom i nie zapiszemy na karteczce przyklejonej do monitora. Ale jak używać hasła, którego nie pamiętamy? Tutaj z pomocą przychodzą nam managery haseł. W tym wpisie skupię się na jednym z nich - KeePass Password Safe.

Jest to swego rodzaju sejf na hasła (jak zresztą widać w nazwie). Cała istota tego rozwiązania polega na tym, że wymyślamy tylko jedno super bezpieczne hasło, którym zabezpieczamy bazę programu, a reszty haseł nie musimy pamiętać, co ma też takie plusy, że do każdego serwisu możemy mieć inne hasło i nie martwić się o to, czy ktoś nie trzyma ich w plaintexcie (czysty tekst, bez szyfrowania*).

Jednak, by zalogować się do jakiegoś serwisu musimy mieć program przy sobie. Twórcy pomyśleli też i o tym. Program jest portable, tj. nie instaluje się w systemie przez co możemy go nosić na pendrive'ie. Aplikacja jest też dostępna w języku polskim oraz powstały jej wersje m. in. na systemy Windows, Linux i Mac OS.

Oczywiście bardzo dużą wagę przyłożono do bezpieczeństwa danych trzymanych w programie. Program korzysta z mocnych i bezpiecznych algorytmów szyfrujących takich jak AES i Twofish oraz haszujących SHA-256. Dodatkowo KeePass nawet po uruchomieniu i otworzeniu bazy danych, hasła trzyma zaszyfrowane w swoim procesie w pamięci, chroniąc je przed wykradnięciem.

Skoro nie musimy pamiętać ustawianych haseł, program został wyposażony także w generator losowych haseł (możemy ustawić znaki które maja się w nich znaleźć [litery, cyfry, znaki specjalne itd]).  Przy wpisywaniu hasła w programie, podaje on siłę hasła w bitach i pokazuje obrazkowo.

KeePass został też wyposażony w różne funkcje zwiększajace bezpieczeństwo już po otwarciu bazy z hasłami (nie tylko szyfrowanie danych w pamięci, wspomniane powyżej).  To m. in. możliwość ustawienia po jakim czasie ma się blokować obszar roboczy programu. Możemy też nakazać blokować się mu na przykład po przełaczeniu użytkownika lub nawet po zminimalizowaniu okna. Aby go odblokować musimy podać nasze hasło główne. Możemy też ustawić czas po jakim schowek systemowy ma być czyszczony z hasła skopiowanego z programu (domyślnie 12 sek.).

Ponadto w opcjach mamy dostępna zakładkę "Polityka", w której możemy ustalić co możemy robić po otworzeniu bazy haseł. Można np. zabronić uruchamiania wtyczek do programu lub zmiany klucza głównego. Dostępne jest kilkanaście opcji.

Biorąc pod uwagę te wszystkie zalety uważam, że ten zajmujący zaledwie 3.5MB pakiet powinien zagościć na pendrive'ach i dyskach wielu osób. Program KeePass Password Safe można pobrać stąd.

* wiem, powinienem napisać hashowania zamiast szyfrowania, ale użyłem tego terminu jako bardziej zrozumiałego dla osób niezaawansowanych.

Tak tego nie róbcie…

Krótki wpis zainspirowany moją własną, osobistą głupotą. Znalazłem to przerabiając fragment skryptu pisanego nie tak dawno temu. Dlaczego zrobiłem to w ten sposób? No cóż - głupota i wygoda klawisza ctrl+d w notepadzie++.

Screen jest spory tak więc zamieszczam go pod tym linkiem. Tak się tego nie robi ;) Wszystko wyjaśnione na screenie, więc w tym miejscu kończę wpis.

Tak więc w bulu żałuję błędu i kurczowo trzymam się nadzieji, że w przyszłości będę mądrzejszy :)

PS: Może i Wam zdarzyły się podobne pomyłki?

Koniec świata w 2012?

Wpis tym razem o tematyce czysto życiowej. Już chyba każdy słyszał o rzekomo przepowiedzianym przez majów końcu świata mającym nastąpić w 2012 roku.

Nie mam się za osobę szczególnie przesądną, ale obserwując ostatnie wydarzenia dochodzę do pewnych przemyśleń. Dla mnie zaczyna to wyglądać tak jakby ktoś uparcie tworzył atmosferę nadchodzącej apokalipsy. Zacznę może od początku:

  • 11 stycznia – powodzie i lawiny błotne w Brazylii
  • 12 stycznia - obalono rząd w Libanie
  • 13 stycznia - fala kulminacyjna powodzi stulecia w Australii
  • 14 stycznia - Ben Ali, prezydent Tunezji zostaje obalony
  • 24 stycznia - zamach na lotnisku w Moskwie - ginie kilkadziesiąt osób
  • 25 stycznia - początek protestów w Egipcie
  • 3 lutego - przydzielenie ostatniej puli adresów IPv4 (taki internetowy akcent w apokalipsie :D)
  • 11 lutego - Hosni Mubarak obalony - kolejny bastion dyktatury padł
  • środek lutego - rozkręcają się inne protesty, m. in. w Algierii, Libii, Jemenie itd.
  • 8 marca – co najmniej 25 osób zginęło w zamachu bombowym w Fajsalabadzie
  • 11 marca - koszmarne trzęsienie Ziemi w Japonii. 2 pociągi znikają z powierzchni Ziemi, zaginął także statek, a w wyniku tsunami domy spływają do rzek. Zagrożenie skażeniem radioaktywnym po wybuchu w elektrowni.

Wnioski do wyciągnięcia pozostawiam Wam. Szykujecie już zapasy na dwudziesty pierwszy grudnia 2012, czy traktujecie to jako zbieg okoliczności? :P

Dlaczego HTML5 nic nie zmieni?

Od dłuższego już czasu w internecie występuje ogromne poruszenie pracami nad nową, piątą, wersją HTML-a. Sam też byłem i w sumie po części nadal jestem jego entuzjastą. Miło byłoby gdyby istniał standard pozbawiony wszelkich archaizmów, który wymuszałby poprawne pisanie stron na webmasterach, a internet zmieniłby się w jedną wielką cyfrową sielankę...

Nie no. Oczywiście przesadzam, ale w tym wpisie chciałbym przestawić Wam prosty powód, dla którego tak naprawdę wejście w życie HTML-a 5 niewiele zmieni.

Co z tego, że specyfikacja zabrania używania HTML-a do opisu wyglądu strony (czyli znaczniki takie jak font itd...), że zabrania używania ramek, skoro przeglądarki nadal to wszystko obsługują.

Jako "materiał dowodowy" do tego wpisu posłuży ta prosta strona. Polecam zajrzenie w jej kod. Jest tam sieczka najgorszych znaczników z HTML4 tj. font, center, iframe...

I teraz stawiam główne pytanie: Co z tego, że specyfikacja HTML5 wymusza np. stosowanie wyłącznie CSS-a do opisu wyglądu strony, skoro przeglądarki internetowe tego nie robią?

Już teraz mamy takie przykłady: twórcy wielkich portali szczycą się, że ich strony używają HTML5. Szkoda tylko, że w większości używanie tego standardu kończy się wraz z sekcją head.

Marzy mi się, żeby przeglądarki podchodziły tak rygorystycznie do parsowania HTML-a, jak do XML-a lub jak parser do parsowania PHP. Żeby browser widząc stronę z błędem wyświetlał komunikat na ekranie. Myślę, że dopiero to zmobilizowałoby porządnie "webmasterów" do tworzenia stron zgodnych ze standardami.

Strona z DTD HTML-a piątego z działającymi frame'ami, to nie jest moje marzenie... Wygląda na to, że twórcy stron będą mogli tworzyć sieczkę, z którą będą męczyć się przeglądarki. Zmieni się tylko ilość błędów w walidatorze, o którego istnieniu większość normalnych użytkowników nie ma pojęcia (a szkoda)...

Write i readln, czyli nauka Pascala w szkole

Tak, w dzisiejszym jakże pamiętnym dniu zaczęliśmy w szkole, na lekcjach informatyki... pisać w Pascalu. Cieszy mnie tutaj bardzo postawa naszego nauczyciela, że to, czego będziemy się uczyć dzisiaj na lekcji, to "absolutne podstawy podstaw". Przynajmniej nie owijał w bawełnę, że będziemy się uczyć super fajnych rzeczy jak np. tworzenia gier multiplayer z grafiką 3D, a Pascal to język bardzo popularny z ogromnymi możliwościami.

Tutaj zaczęliśmy od prostego polecenia wymawianego przez naszego nauczyciela jako "wrajt" z twardym "w" na początku (może ja jestem przewrażliwiony, ale po dwóch lekcjach słuchania "wrajt" miałem dość). Potem pojawiła się informacja o komendzie "readln" i cała klasa jak urzeczona wpatrywała się w program który nie znikał po ułamku sekundy.

Pan stwierdził, że do kompilatora "mówimy" prawie zwykłym angielskim - write, begin, end... na co od jednej z koleżanek padło pytanie

A jak napiszę sing to zaśpiewa?

I tutaj czas na troszkę krytyki:
1) Nauczyciel uparcie twierdził, że Turbo Pascal jest językiem programowania i to właśnie w nim piszemy (nie chodziło mu bynajmniej o kompilator).
2) Pewne zdanie wypowiedziane na początku lekcji uznałem za lekko przekłamane.

Tak jak napisałem na tablicy, słowo "var" służy do deklarowania zmiennych, ale o tym powiem później, bo one są przydatne tylko w "pewnych przypadkach".

Jako dodatkowe komendy poznaliśmy zaledwie gotoxy (które za chwilę uparcie cała klasa zaczęła wymawiać jako botoksy "gotoksy" oraz textcolor (no tak, czym byłby program komputerowy w oczach większości uczniów, bez sweet kolorowych napisów). Nie było nawet słowa o if'ach, pobieraniu danych od użytkownika, czy jak już pisałem, o zmiennych.

Potem jako kombinację tych wszystkich magicznych funkcji mieliśmy wyświetlić ramkę złożoną ze znaków specjalnych ╝, ═ itd., w której mieliśmy zawrzeć podstawowe informacje o sobie. Oczywiście wszystko musiało być kolorowe... Największe poruszenie zrobiło się gdy pan na jakiś czas wyszedł z klasy, a uczniowie zgromadzili się wokół jednego komputera, którego właściciel wykombinował "jak zrobić ramkę tak, żeby się nie rozjeżdżała". Jeden kolega został nawet prawie pobity, gdy nie chciał pożyczyć pendrive'a, aby było szybciej (nie dał się :P)

Wszyscy zaczęli szybko krążyć pomiędzy komputerem "geniusza", a swoimi, aby przepisać jak najwięcej kodu i nikt z nich nie wpadł na to, że wystarczy zmienić drugi parametr w funkcji gotoxy, aby ustawić kursor linijkę niżej.

I tak oto podczas tych 90 minut informatyki (2 lekcje pod rząd), prawie cała grupa zarobiła po szóstce :P

Poradnik pisania gier MMO via WWW cz. 2

Witam Cię serdecznie w drugiej części mojego poradnika pisania gier MMORPG na przeglądarki internetowe. Jeśli przez cały poprzedni rozdział przebrnąłeś z pozytywnymi odpowiedziami, to teraz przyszedł czas na wybór odpowiedniego silnika do gry.

Osób lekko bardziej zaawansowanych moja odpowiedź na pewno nie zdziwi: stwórz własny engine. Dlaczego?

Czytaj dalej

Spam Story cz. 2

Uwaga, ten wpis pisany jest w formie, którą nie każdy czytelnik może uznać za normalną. Jeśli po jego przeczytaniu wystąpią dziwne objawy - niezwłocznie skonsultuj się z lekarzem lub farmaceutą.

Pierwsza część Spam Story
sobak.pl, około miesiąca później...Sobak wstrząśnięty wydarzeniami ostatnich czasów schronił się w bezpiecznej w jego mniemaniu domenie sobak.pl.
Wiódł spokojne i błogie życie bloggera. Tam jednak też dotarli...
(zaciemnienie ekranu, szybkie rozjaśnienie)

Pierwszy cios był związany z Wikileaks. Sobak przez chwilę nawet poczuł się dumny, że tak ważne i ogólnoświatowe wydarzenia jak ataki na ten serwis dotarły i do jego bastionu.

i am a big fan of wikileaks and love it to the core.....[url=http://wikileaks.org]us sucks[/url]

Dwa kolejne komentarze dotyczyły hazardu

obstruct disrespectful the walk-on at the all mod [url=http://www.bestbodog.com]bodog casino[/url] , with in [url=http://www.freeamericancasino.com]casino games[/url] and free-born [url=http://www.yourcasinousa.com]casino bonus[/url]. you can also join poker rooms at [url=http://www.bestbodog.com]bodog poker[/url]
[url=http://www.liveinternetcasino.com]Casino Spielen[/url] and [url=http://www.casinogameluck.com]Online Casino Spiele[/url] at the report the age in in extra of German casinos exchange looking for DE players.

obstruct disrespectful the walk-on at the all mod [url=http://www.bestbodog.com]bodog casino[/url] , with in [url=http://www.freeamericancasino.com]casino games[/url] and free-born [url=http://www.yourcasinousa.com]casino bonus[/url]. you can also join poker rooms at [url=http://www.bestbodog.com]bodog poker[/url]
[url=http://www.liveinternetcasino.com]Casino Spielen[/url] and [url=http://www.casinogameluck.com]Online Casino Spiele[/url] at the report the age in in extra of German casinos exchange looking for DE players.

Wy też odnosicie jakieś takie dziwne wrażenie, że one są jakoś dziwnie podobne?

Spam inszy
Druga część wpisu będzie dotyczyć spamu... świadomego na który sami się godzimy. Mowa tutaj o mailach od Facebooka. Pewnego dnia otrzymałem wiadomość, że ktoś wstawił tam zdjęcie, na którym zostałem oznaczony. Potem poszło już lawinowo.

spam-facebookTyle to wiadomości dostałem przez dwa dni. Potem przyszły jeszcze z cztery nieumieszczone na tym screenie. Po tym doświadczeniu wyłączyłem opcję powiadamiania o nowych komentarzach do zdjęć, na których zostałem oznaczony.

Epilog
I tutaj historia niespodziewanie się kończy. Sobak poznaje Akismeta, który w ciągu niespełna pół miesiąca blokuje 31 spammerskich komentarzy.

Spamerzy mogą nadal wysyłać swoje konstruktywne wypowiedzi, Sobak nie musi ich usuwać. Nic tylko powiedzieć
Wszyscy żyli długo i szczęśliwie...

NetBeans i Sourceforge – pierwsze wrażenia

W pierwszej kolejności przepraszam za bardzo długą przerwę w publikowaniu wpisów i obiecuję, że postaram się to nadrobić.

W ostatnim czasie byłem pochłonięty realizacją mojego nowego projektu - CMSa. Powiem tylko krótko, że CMS to taki fajny rodzaj projektu gdzie programista zbiera wszystkie umiejętności i łączy w jedną całość. O CMSie napiszę więcej już niedługo.

Przy okazji pisania tego sporego jak na moje standardy skryptu postanowiłem się przestawić na jakieś IDE (Zintegrowane Środowisko Programistyczne). Wybór padł na NetBeans...
Czytaj dalej