Cześć!

To już kolejne wydanie newslettera redagowane w dość nietypowych warunkach. Tym razem przegląd subiektywnie najciekawszych znalezisk z branży IT składam nad jednym z mazurskich jezior, ale już niebawem wracam do normalnej pracy. Zmęczyłem się tym urlopowaniem ;)

Jeszcze przez miesiąc możesz zgarnąć wejściówkę na szkolenie AI Devs w atrakcyjnej cenie. Jeśli na poważnie chcesz zająć się tematyką wdrażania sztucznej inteligencji w projektach IT, to jest to szkolenie dla Ciebie - koniecznie zobacz agendę.

https://aidevs.pl/?ref=unknowNews

Zapraszam do lektury dzisiejszego wydania.

 

◢ #unknownews ◣

  1. Każdy może uzyskać dostęp do danych z usuniętych i do prywatnych repozytoriów na GitHub
    https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github
    INFO: Odkryto poważną lukę bezpieczeństwa w systemie GitHub, nazwaną Cross Fork Object Reference (CFOR), która umożliwia dostęp do danych z usuniętych forków, usuniętych repozytoriów, a nawet prywatnych repozytoriów. Artykuł demonstruje, jak poprzez znajomość hasha commita można uzyskać dostęp do wrażliwych danych, które teoretycznie powinny być niedostępne, co stanowi ogromne zagrożenie dla organizacji korzystających z GitHub. Autorzy podkreślają, że problem ten wynika z celowej architektury GitHub, ale większość użytkowników nie jest świadoma tych mechanizmów, co może prowadzić do niezamierzonego ujawnienia poufnych informacji, np. kluczy API.

  2. Bazy wektorowe - szybkie wprowadzenie do pracy z nimi (film, 15m)
    https://youtu.be/vcZK6B61teY
    INFO: Skrajnie skondensowany wstęp do pracy z bazami wektorowymi na przykładzie Qdranta. Jak stworzyć bazę, jak nakarmić ją własnymi danymi i jak odpytywać o konkretne dane z użyciem języka naturalnego. Film prezentuje korzystanie z dwóch API - tego od OpenAI (do generowania samych wektorów) i tego natywnego, od Qdranta.

  3. CTF od Wiz - oszukaj AI i zdobądź bilet za darmo
    https://promptairlines.com/
    INFO: To gra online, w której rozmawiasz z chatbotem pracującym w liniach lotniczych. Twoim zadaniem jest zmuszenie go do sprzedania (ofiarowania) ci biletu za darmo. Oczywiście, aby to osiągnąć, trzeba posłużyć się technikami prompt injection.

  4. Wyciek sekretów przez skompilowany plik Pythona
    https://jfrog.com/blog/leaked-pypi-secret-token-revealed-in-binary-preventing-suppy-chain-attack/
    INFO: Interesujący przypadek wycieku tokena dostępowego do repozytoriów GitHuba, Pythona, PyPI i Python Software Foundation został wykryty przez zespół JFrog w publicznym kontenerze Docker, co mogło potencjalnie prowadzić do katastrofalnego "ataku na łańcuch dostaw". Zobacz, jak namierzono wyciek i jak zareagowała na niego dotknięta wyciekiem organizacja.

  5. Metody omijania mechanizmów antyphishingowych - jak to działa?
    https://posts.specterops.io/like-shooting-phish-in-a-barrel-926c1905bb4b
    INFO: Jak ominąć mechanizmy ochrony przed phishingiem, takie jak crawlery linków, tego dowiesz się z artykułu. Autor przedstawia różne techniki obejścia tych zabezpieczeń. Omawia metody takie jak wykorzystanie CAPTCHA, wielokrotne przekierowania, wykrywanie botów poprzez fingerprinting przeglądarki, blokowanie ASN czy wykorzystanie alertów JavaScript, podkreślając jednocześnie wady samych crawlerów linków. Interesująca lektura, zwłaszcza dla ludzi z branży cybersecurity.

  6. Techniki ucieczki z kontenerów w środowiskach chmurowych
    https://unit42.paloaltonetworks.com/container-escape-techniques/
    INFO: Artykuł omawia techniki ucieczki z kontenerów, ich potencjalne skutki i pokazuje, jak wykrywać takie techniki ataku.

  7. Jak Google obsługuje JavaScript w procesie indeksowania stron?
    https://vercel.com/blog/how-google-handles-javascript-throughout-the-indexing-process
    INFO: Czy Google może renderować stronę z JavaScriptem? Czy traktuje różnie strony z dużą ilością JavaScriptu? Odpowiedzi na te pytania są kluczowe dla optymalizacji stron pod kątem wyszukiwarek. Artykuł przedstawia wyniki badań, które miały na celu wyjaśnić, jak Google obsługuje JavaScript w procesie indeksowania.

  8. Przegląd nowości technologicznych z lipca - od Fireship (film, 9m)
    https://youtu.be/l0e9i8zXcIs?si=V3tk1E75adeo7utV
    INFO: YouTuber Fireship w swoim specyficznym, humorystycznym stylu omawia głośne wydarzenia z branży IT, które miały miejsce w lipcu. Jest coś o AI od Google, o zmianach w NodeJS, o błędach w procesorach Intela i o kilku innych ważnych wydarzeniach. Łącznie omówił kilkanaście newsów.

  9. Zatrudnianie i zarządzanie inżynierami z pasją
    https://newsletter.posthog.com/p/hiring-and-managing-cracked-engineers
    INFO: Zbiór cennych wskazówek dotyczących pracy z wyjątkowo utalentowanymi inżynierami, określanymi jako "cracked engineers". Artykuł definiuje cechy charakterystyczne, które pozwolą Ci łatwiej wytypować takich pracowników (albo samemu się do nich zaliczyć). Artykuł przedstawia sześć kluczowych strategii efektywnego zarządzania takimi ludźmi, podkreślając znaczenie entuzjazmu, autonomii i tworzenia odpowiedniego środowiska pracy. Lektura zdecydowanie dla osób na liderskich stanowiskach.

  10. Zarządzanie ludźmi osiągającymi niewystarczające wyniki w pracy
    https://jackdanger.com/managing-underperformers/
    INFO: Zarządzanie pracownikami o niskiej wydajności to niezłe wyzwanie dla menedżerów. Artykuł wyróżnia dwa główne typy niskiej wydajności: odmowę dostosowania się do celów firmy oraz niezdolność do wykonywania zadań, przedstawiając przy tym konkretne strategie radzenia sobie z każdym z nich.

  11. Sztuka pisania promptów - 13 dobrych rad
    https://frontbackgeek.com/prompt-writing-essentials-guide/
    INFO: W świecie sztucznej inteligencji i uczenia maszynowego umiejętność pisania promptów stała się czymś kluczowym. W tym artykule znajdziesz zbiór kilkunastu porad, które pozwolą Ci tworzyć lepsze zapytania i lepiej zrozumieć, jak porozumiewać się z modelami językowymi.

  12. Sztuczna inteligencja zwiększa obciążenie pracą i nie spełnia oczekiwań menadżerów?
    https://www.forbes.com/sites/bryanrobinson/2024/07/23/employees-report-ai-increased-workload/
    INFO: Nowe badanie przeprowadzone na 2500 pracownikach i menedżerach na całym świecie ujawnia, że wdrożenie sztucznej inteligencji w miejscu pracy przynosi nieoczekiwane rezultaty. Wbrew oczekiwaniom kadry zarządzającej, 77% pracowników korzystających z AI twierdzi, że technologia ta zwiększyła ich obciążenie pracą i utrudniła osiągnięcie oczekiwanego wzrostu produktywności. Badanie wskazuje na rozbieżność między optymistycznymi oczekiwaniami menedżerów a rzeczywistymi doświadczeniami pracowników, podkreślając potrzebę lepszego zrozumienia i wdrożenia AI w środowisku pracy.

  13. Jak wdrożyć sprytną politykę obsługi długu technologicznego?
    https://zaidesanton.substack.com/p/how-to-implement-20-for-tech-debt-
    INFO: Artykuł omawia koncepcję przeznaczania 20% czasu pracy na spłatę długu technicznego w zespołach programistycznych. Autor przedstawia praktyczne wskazówki, jak wdrożyć taką zasadę, podkreślając przy okazji, jak ważne znaczenie ma systematyczne praktykowanie tej zasady. W artykule znajdziesz konkretne sugestie skutecznych działań, które można wprowadzić w celu zmniejszania długu technologicznego.

  14. Jak lepiej zrozumieć i zapamiętać złożone zagadnienia?
    https://learnhowtolearn.org/how-to-understand-and-retain-any-concept-10x-better/
    INFO: Autor prezentuje innowacyjną technikę nauki, która obiecuje dziesięciokrotnie lepsze zrozumienie i zapamiętywanie dowolnego materiału. Metoda ta opiera się na prostym, ale niezwykle skutecznym podejściu do przyswajania wiedzy. Artykuł zawiera praktyczne wskazówki, jak wdrożyć tę technikę w codziennym życiu.

  15. Jak Postgres przechowuje dane na dysku?
    https://drew.silcock.dev/blog/how-postgres-stores-data-on-disk/
    INFO: W artykule autor szczegółowo wyjaśnia, w jaki sposób PostgreSQL przechowuje dane na dysku, omawiając przy tym strukturę katalogów, plików i stron (pages) używanych przez bazę danych. Autor wyjaśnia także koncepcje, takie jak sterta (heap), strony danych oraz mechanizm MVCC (Multiversion Concurrency Control). Omawiane zagadnienia zawierają użyteczne i praktyczne przykłady. Lektura dla ludzi lubiących bardzo dogłębnie poznawać zasadę działania każdej technologii.

  16. Raport o bezpieczeństwie aplikacji internetowych - od Cloudflare
    https://blog.cloudflare.com/application-security-report-2024-update
    INFO: Firma Cloudflare przedstawia przegląd stanu bezpieczeństwa aplikacji internetowych w 2024 roku, zwracając uwagę na trendy w branży security. Najpopularniejszy wektor ataku to nadal ataki DDoS. Jakieś 7% całego ruchu webowego jest wyłapywane przez wszelkiego rodzaju systemy bezpieczeństwa jako złośliwe zapytania. Ogromna część (ponad 60%) dynamicznego ruchu webowego to zapytania API. Te i inne ciekawostki znajdziesz w raporcie.

  17. Wykorzystanie LLM-ów przy wyszukiwaniu błędów w oprogramowaniu
    https://engineering.razorpay.com/secure-code-reviewer-copilot-e4f575f42591
    INFO: Firma Razorpay opowiada o swoim doświadczeniu z integracją modeli językowych z wewnętrznym procesem code review, aby zwiększyć tym samym bezpieczeństwo swoich aplikacji. Zobacz, jak LLM-y mogą pomóc w wykrywaniu luk w zabezpieczeniach i podnieść bezpieczeństwo aplikacji.

  18. Jak Digital Service Act (DSA) zmienia Internet i co to oznacza dla Ciebie?
    https://webmetric.com/wiedza/inna-perspektywa/jak-digital-service-act-zmienia-internet-i-co-to-znaczy-dla-kazdego-kto-dziala-w-sieci/
    INFO: Nowy unijny przepis, czyli Digital Services Act (DSA), mocno miesza w internetowym świecie, wszystko oczywiście dla naszego bezpieczeństwa. DSA każe platformom internetowym wziąć się do roboty - muszą szybko kasować nielegalne treści, pokazać, jak działają ich algorytmy polecające treści, i lepiej chronić dzieciaki online. Artykuł dokładnie tłumaczy, o co chodzi w DSA, jak to wpłynie na różne firmy i zwykłych ludzi w necie.

  19. Ankieta deweloperów Stack Overflow 2024 - omówienie
    https://survey.stackoverflow.co/2024/
    INFO: Omówienie wyników corocznego badania od Stack Overflow. Jakie języki są najpopularniejsze, z jakich baz korzystają programiści, jak bardzo angażują w swoją pracę sztuczną inteligencję, co ich najbardziej wkurza i cieszy w pracy. Tego i wielu innych rzeczy dowiesz się z omówienia wyników ankiety.

  20. Wykrywacz fałszywych pamięci Flash (karty/pendrive)
    https://fight-flash-fraud.readthedocs.io/en/latest/introduction.html
    INFO: Kupiłeś w azjatyckim sklepie za grosze pamięć flash mającą 4 TB, ale jakimś cudem nie możesz na nią wrzucić nawet pliku 4 GB? Prawdopodobnie ktoś majstrował przy tej pamięci i zmienił sposób, w jaki wykrywana jest ona w systemie. Ta aplikacja potrafi po pierwsze wykryć takie oszustwo, a po drugie potrafi nadpisać zmodyfikowane wartości pamięci flash, sprawiając, że da się z niej normalnie korzystać.

  21. Jak usunąć elementy z tablic w JavaScript (9 sposobów)
    https://jsdev.space/howto/remove-from-array/
    INFO: Niby prosta operacja, a jednak usuwanie elementów z tablicy w JS może sprawiać pewne problemy. Artykuł przedstawia aż dziewięć różnych metod na wykonanie tej operacji - od popularnych jak pop() i shift(), przez bardziej zaawansowane jak splice() i filter(), aż po te mniej znane techniki wykorzystujące operatory delete czy pętle.

  22. Tekst dynamicznie dopasowany do szerokości - CSS
    https://kizu.dev/fit-to-width/
    INFO: Artykuł przedstawia innowacyjne rozwiązanie problemu dopasowywania tekstu do szerokości kontenera w CSS, wykorzystując nową właściwość text-wrap: balance. Autor szczegółowo omawia różne scenariusze zastosowania tej techniki, pokazując, jak można ją wykorzystać do poprawy czytelności tekstu na stronach.

  23. Sztuczki terminalowe - kompilacja jednolinijkowców
    https://github.com/onceupon/Bash-Oneliner
    INFO: Zbiór przydatnych poleceń i sztuczek terminalowych do przetwarzania danych i obsługi systemu Linux. Są to tzw. jednolinijkowce, które mogą przydać Ci się w codziennej pracy, a przy okazji mogą podnieść skilla związanego z pracą w terminalu.

  24. Projektowanie bazy danych na przykładzie Google Calendar
    https://kb.databasedesignbook.com/posts/google-calendar/
    INFO: To kolejny artykuł z serii związanej z projektowaniem oprogramowania. Tym razem autor stara się zaprojektować bazę danych pod projekt zbliżony do Google Kalendarza. To dobry materiał dla osób zainteresowanych inżynierią oprogramowania i projektowaniem baz danych.

  25. Audapolis - edytor audio z automatyczną transkrypcją tekstu
    https://github.com/bugbakery/audapolis
    INFO: To otwartoźródłowa aplikacja bardzo podobna do komercyjnego Descript. Jeśli edytujesz plik dźwiękowy z mową ludzką (np. wykład), to widzisz jego transkrypcję. Usuwając słowa z transkrypcji, usuwasz je także z pliku dźwiękowego. Można więc żartobliwie powiedzieć, że jest to tekstowy edytor dźwiękowy.

  26. Google NIE będzie blokować zewnętrznych cookiesów w Chrome
    https://stackdiary.com/google-will-not-phase-out-tracking-cookies-in-chrome-after-all/
    INFO: Firma Google niespodziewanie zmieniła swoje plany dotyczące blokowania ciasteczek stron trzecich w przeglądarce. Miało to podnieść bezpieczeństwo użytkowników i mocno ograniczyć możliwość śledzenia. Jednak, zamiast całkowitej blokady takich ciastek, Google zamierza dać użytkownikom możliwość wyboru, czy chcą zezwolić na ich stosowanie, jednocześnie kontynuując prace nad alternatywnym rozwiązaniem, czyli Privacy Sandbox. To ważna decyzja, zwłaszcza dla branży reklamowej. Ciekawi mnie tylko, jak ta zgoda będzie przez użytkowników wyrażana i czy aby nie będzie to kolejne wkurzające pytanie przy wchodzeniu na każdą stronę.

LINKI TYLKO DLA PATRONÓW

  1. Pytania rekrutacyjne dla działów Red Team
    https://uw7.org/un_1c7cfd075ef37/0000000000000000000000000000000000000000
    INFO: Obszerny spis pytań i tematów związanych z działaniami zespołów Red Team, obejmujący szeroki zakres zagadnień od absolutnych podstaw, przez ataki na systemy Windows, aż po zaawansowane techniki omijania zabezpieczeń. Materiał może służyć zarówno jako przewodnik do przygotowania się do rozmów kwalifikacyjnych w zespołach Red Team, jak i jako zbiór tematów do poszerzania swoich kompetencji.

  2. Wstęp do tworzenia exploitów - poradnik
    https://uw7.org/un_58620ef142d09/0000000000000000000000000000000000000000
    INFO: Poradnik przedstawia kompleksową ścieżkę nauki dla osób zainteresowanych wykorzystywaniem luk w zabezpieczeniach oprogramowania, ze szczególnym uwzględnieniem exploitacji binarnej. Autor szczegółowo omawia wymagane umiejętności, linkuje do materiałów dodatkowych oraz podaje kolejność ich przerabiania, koncentrując się na takich tematach jak programowanie w C, asembler x86-64, podstawy Linuxa oraz wprowadza kilka zaawansowanych technik ataku na aplikacje. Warto podążyć za linkami, ponieważ zawierają one między innymi zadania, których wykonanie zdecydowanie zwiększy Twoje zrozumienie tematu.

 

Dołącz do grona patronów, dzięki którym powstaje ten newsletter :)

 

Zobacz poprzednie wydania newslettera:

 

Lubisz czytać mój Newsletter? Podziel się nim proszę ze znajomymi ⬇️ 

Facebook Twitter Linkedin

Wersja webowa aktualnego wydania

 

Do zobaczenia za tydzień  👋

 

Jakub Mrugalski

pozdrawiam

Jakub 'unknow' Mrugalski

https://mrugalski.pl

Facebook Instagram YouTube Twitter Linkedin

Jeśli nie chcesz więcej otrzymywać ode mnie wiadomości, zawsze możesz się wypisać.