Każdy z nas dla wygody, albo raczej przez lenistwo, stara się nie używać zbyt skomplikowanych haseł. Zwykle też korzystamy z tego samego hasła do większości kont online w internecie. Jeśli zdarzyło nam się tworzyć proste, krótkie i do tego łatwe do przewidzenia hasła, np. w oparciu o datę urodzenia lub inne tego typu informacji, to przydałoby się nieco popracować nad zabezpieczeniami tych poufnych danych, tak by nie były proste do odgadnięcia czy też i złamania.

Jakiś czas temu opisywałem jak podejść do pisania reguł dla udev'a . W tamtym przypadku wykorzystywana reguła składała się tak naprawdę z dwóch mniejszych, z których jedna miała ustawioną zmienną ACTION na add , z kolei zaś druga na remove i w ten oto sposób pierwsza z nich była aplikowana podczas podłączania określonego urządzenia do komputera, a druga przy jego odłączaniu. Okazuje się jednak, że dwie reguły nie są konieczne w przypadku gdy mają one dotyczyć tego samego sprzętu i możemy zamiast nich stworzyć jedną regułę, która będzie stosowana zarówno przy podłączaniu jak i odłączeniu danego urządzenia.

Pendrive to jedno z cenniejszych urządzeń w obecnych czasach. Jest mały, poręczny i potrafi przechować parę set GiB danych, oraz jako że nie ma części ruchomych, można nie obchodzić się z nim jak z jajkiem i to bez ryzyka utraty danych. Często wykorzystuje się go jako środek transportu na krótkie odległości między kilkoma maszynami, gdzie z pewnych powodów nie można pociągnąć kabla sieciowego, nie wspominając przy tym o wifi. Systemy live wręcz nie mogą się bez nich obejść. Jesteśmy w sumie uzależnieni od tych małych urządzeń tak bardzo, że dostrzegamy to dopiero w chwili gdy, któryś pendrive zaczyna odmawiać posłuszeństwa.

Czy zadawaliście sobie kiedyś pytanie na temat tego jaka jest dokładna data instalacji aktualnie używanego przez was systemu operacyjnego? To chyba powinna być jedna z podstawowych danych, do których użytkownik powinien mieć swobodny dostęp, by wiedział kiedy instalował swój system. Jednak w przypadku linux'a z jakiegoś powodu ciężko jest ten fakt ustalić. Postaramy się zatem ocenić możliwie dokładnie to kiedy proces instalacji linux'a mógł mieć miejsce.

Jak możemy przeczytać pod tym linkiem , zróżnicowanie pod względem zapisu większych liczb jak i części dziesiętnych różni się w zależności od kraju. Jedne do oddzielania od siebie tysięcy wykorzystują kropki, inne zaś przecinki i vice versa w przypadku części niecałkowitej. Nie będę tutaj się rozpisywał na temat wyższości kropki nad przecinkiem, bo problem dotyczy zupełnie czegoś innego, mianowicie, tego jak system interpretuje znaki pochodzące z klawiatury numerycznej.

Bardzo ciężko spotkać wypasioną klawiaturę, po której podłączeniu wszystkie przyciski będą funkcjonować jak należy, a to z tego względu, że nie do końca są one wykrywane przez nasz system. Zwykle są to klawisze multimedialne lub inne niestandardowe przyciski, które nie pasują do układu 104 klawiszy. W większości przypadków odpowiednie skonfigurowanie modelu klawiatury powinno rozwiązać nasze problemy. Nie zawsze jednak posiadany przez nas model jest do wyboru. Czasami nawet i jego wskazanie nie pomaga i najzwyczajniej w świecie niektóre klawisze po prostu nie zostaną wykryte przez system.

Ciasteczka w WordPresie są bardzo ważne, bo wykorzystuje się je w procesie uwierzytelniania logujących się i powracających użytkowników. Domyślnie czas ważności generowanych ciasteczek to 2 dni, chyba, że człowiek zaznaczy opcję "Pamiętaj" w formularzu logowania, wtedy ten okres ważności ulega przedłużeniu do 14 dni. Chodzi o to, że w przypadku gdyby ciasteczka nie posiadały terminu ważności, to jeśli ktoś by wszedł w ich posiadanie, to mógłby się zalogować w serwisie bez większych problemów, a tego przecież nie chcemy. Są jednak sytuacje, w których 2 czy nawet 14 dni, to ździebko za mało (lub za dużo) i w tym wpisie postaramy się dostosować żywotność ciasteczek, tak by odpowiadała naszym upodobaniom.

Jest kilka rzeczy, które mogą zdradzić dane logowania do serwisu WordPressa. Nie będę tutaj opisywał tej najbardziej oczywistej, czyli posługiwania się loginem bezpośrednio na blogu, tylko skupię się na nieco bardziej chytrej opcji, która zakłada odpytywanie formularza logowania w celu ustalenia, które loginy są dostępne w bazie danych. To tak jak grać w statki i strzelać na oślep, aż w końcu się trafi w któryś z nich, a skąd wiemy, że trafiliśmy? Po zwracanej odpowiedzi od drugiego gracza. I podobnie jest w przypadku formularza logowania WordPressa, z tym, że jeśli chodzi o strony www, to mamy nieco zawężone pole strzału, bo administrator/użytkownik zwykle wybiera niezbyt skomplikowany login często kojarzący się z pewnymi elementami jego życia, a gdy potencjalny atakujący ustali taki login, to będzie w stanie dokonać ataku Brute Force na hasło do tego konta.

Mając już zainstalowanego i wstępnie skonfigurowanego WordPress'a, przydałoby się zadbać prawa dostępu do jego plików jak i również ograniczyć nieco dostęp do samej bazy danych, tak by możliwie najmniejsze uprawnienia zostały nadane, co poprawi znacznie bezpieczeństwo naszej witryny. Jeśli opanowaliśmy już operowanie na instalacji WordPress'a przy pomocy skryptu wp-cli , to możemy bez wahania dokręcić śrubę naszemu serwisowi. Jeśli nie zaznajomiliśmy się jeszcze z powyższym narzędziem, to ograniczenie praw może spowodować problemy z aktualizacją rdzennych plików WordPress'a, jak i instalacją/konfiguracją jego pluginów czy motywów.

WordPress stara się dbać o bezpieczeństwo swoich użytkowników najlepiej jak potrafi. Dowodem na to mogą być unikalne klucze i sole uwierzytelniające (Authentication Unique Keys and Salts) wprowadzone w wersji 2.5 oraz nieco rozbudowane w wersji 2.7. Ten mechanizm nie wykorzystuje sesji PHP do śledzenia np. statusu zalogowania, tylko zaprzęga do tego celu ciasteczka, by utrudnić (albo raczej uniemożliwić) potencjalnemu atakującemu dostęp do witryny. Bez tych kluczy i soli jesteśmy w stanie przewidzieć wszystkie składowe hasha danego ciasteczka, dlatego też powinniśmy pokusić się o ich implementację na swojej stronie. Niemniej jednak, na necie jest bardzo dużo niskiej jakości informacji na temat działania mechanizmu walidacji ciasteczek, a artykuły, które potrafią go opisać w szerszym stopniu, są już lekko nieaktualne, bo zmienia się on praktycznie z każdą nową wersją WordPressa. Zanim jednak przejdziemy do samych kluczy/soli, powinniśmy się zaznajomić ze sposobem w jaki WordPress generuje i sprawdza wspomniane ciasteczka, na podstawie których to autoryzowane są działania użytkowników naszego bloga.