Mensajes

Código (javascript) [Seleccionar] Expandir

document.getElementById("elemento").focus()

La pregunta aqui es que hacia un empleado con los discos duros y por que no estaban cifrados.

Respecto al tema he publicado una nueva entrada en mi blog referente a dibujar emojis en un canvas html5

Dibujar emojis en canvas html5

Al final se deja un link a las imágenes que generan distintos Navegadores y las diferencias ahi estan, algunas muy notorias y otras muy puntuales, pero entre todos se puede obtener diferencias. Minimo para identificar a el navegador en caso de que mande el user-agent falseado.

El post tiene un boton para que generen su propia imagen y la puedan comparar contra las existentes.

Saludos!

Si realizas consultas DNS buscando cual IP "tiene"  google en ese momento veras que de cuando en cuando la consulta te devuelve distintos resultados resto para equilibrar las cargas que tienen sus servidores por lo tanto es posible que muchas veces la IP que se te devuelva no este bloqueada. Si esto es asi lo ideal seria averiguar cual es esa IP que no esta bloqueada y agregarla localmente al archivo /etc/hosts para que siempre que entres a google pidas sobre esa IP..

Saludos!

La v3 es totalmente transparente, el usuario no tiene que darle click a nada.

Siempre queda la opción de montar tu propio server, la idea sería bloquear los sitios con un black list y para todo lo demas fordwardear la petion a opendns o google.

Viendo las opciones creo que mejor montare mi propio servidor DNS.... naaaa OpenDNS es buena opcion, pero si ofrecen bloquear publicidad? Nunca he visto esa opcion, generalmente y por facilidad uso el de google por ser facil de aprender sin embargo y si encuentro uno que bloquee la publicidad lo usuaria y me lo aprendería...

En el router de la casa tengo el el archivo /etc/hosts con toda la publicidad bloqueada utilizando: https://someonewhocares.org/hosts/

Si, de hecho se puede validar muchas cosas de cada pagina, solo que si un mismo cliente hace mucha peticiones de recaptcha puede que le bajen el score, sin embargo tengo entendido que google "apreden" cual es el uso "normal" que se le da a cada pagina.

En el primer post aparece como usarlo en el back end

En el link que publique, viene los codigos para implementarlo de manera generica aqui ahora pego el script:

Código (javascript) [Seleccionar] Expandir


   grecaptcha.ready(function() {
     grecaptcha.execute('SITE KEY HERE, THIS VALUE IS PUBLIC', {action: '/login'}).then(function(token) {
       $.ajax({
         type: "POST",
         url: "/path/to/form/backend/",
         data: {
           ...//mas datos
           action: "/login",
           reCAPTCHA_Token: token,
         },
         success: function( data, textStatus, jQxhr ){
           ...
         },
         error: function( jqXhr, textStatus, errorThrown ){
           ...
         }
       });
     });
   });


En teoria solo tendrias que modificar el action de cada llamada a grecaptcha.execute y el action que le mandas por ajax a tu sever, ya el servidor se tiene que validar que el action coincida tanto el que le mandas con ajax como el que responde google en el backend

podrias tener un action distinto para cada formulario distinto y validarlo del lado del server.

Saludos!

No lo digo exactamente por eso, en un pasado ya ha tenido bugs esa función:

https://bugs.php.net/bug.php?id=70014

El segundo parámetro no es exactamente un parámetro para forzar el uso de una fuente criptográfica segura sino para revisar si el resultado fue así. No dudo que no sea una función valida hoy en día, después de que se parcho correctamente... pero si hay sistemas que pueden acabar usando la forma insegura preferiría que se usara la otra función.

Tienes toda la razon hace unas cuantas versiones del PHP tenia bugs la funcion de openssl... pero ahora ya en las mas recientes no tiene, y efectivamente random_bytes tiene mejor source de random segun disponga el sistema operativo. 

Voy a actualizar el codigo de ejemplo.

Saludos!

[rdrand]

Es mejor usar simétrica para este tipo de tareas no hay nada mejor. Y a parte es super ligera.

Si es mas rapida la simetrica y pues es la que ejemplifico en el codigo.

Asegurate que la función este usando un fuente cristalográfica fuerte. ... Así que no estoy completamente seguro como lo hace /dev/urandom (si es que acaso necesita esos bits exactamente para entropia o si genera en base a una entropia menor).

random_bytes es una mejor opción si se tiene acceso a la función, al menos te quitas la posibilidad de usar una fuente no suficientemente "fuerte".

Segun la documentacion de random_bytes

Código [Seleccionar] Expandir

On Linux, the » getrandom(2) syscall will be used if available.
On other platforms, /dev/urandom will be used.

Si vemos en getrandom(2)
http://man7.org/linux/man-pages/man2/getrandom.2.html

Código [Seleccionar] Expandir


By default, getrandom() draws entropy from the urandom source (i.e., the same source as the /dev/urandom device).  This behavior can be changed via the flags argument.


El unico parametro de random_bytes  es la cantidad de bytes y segun su documentacion

Código [Seleccionar] Expandir


Return Values:
Returns a string containing the requested number of cryptographically secure random bytes.


En cambio openssl_random_pseudo_bytes

Si se puede espeficiar el flag de crypto_strong

Código [Seleccionar] Expandir

If passed into the function, this will hold a boolean value that determines if the algorithm used was "cryptographically strong", e.g., safe for usage with GPG, passwords, etc. TRUE if it did, otherwise FALSE

En general para el ejemplo que postee es igual si el source es random o urandom. Ya si nos ponemos paranoicos podrias leer bytes directamente de /dev/random

En sistemas como FreeBSD a partir de su version 11 /dev/random y /dev/urandom son exactamente el mismo device y nunca se queda sin entropia.

En sistemas como Linux no me he puesto a ver el codigo del kernel, solo me he fijado si openssl tiene forma de utilizar por defecto el RNG que tiene el hardware de intel lo cual si esta activado por defecto y si esta:

Código [Seleccionar] Expandir

openssl engine

Salida:

Código [Seleccionar] Expandir


(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support


Y que tambien el Kernel lo tenga habilitado:

Código [Seleccionar] Expandir

less /proc/cpuinfo

flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc cpuid aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 sdbg fma cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm abm cpuid_fault epb invpcid_single pti ssbd ibrs ibpb stibp tpr_shadow vnmi flexpriority ept vpid ept_ad fsgsbase tsc_adjust bmi1 avx2 smep bmi2 erms invpcid xsaveopt dtherm ida arat pln pts md_clear flush_l1d

Para el ejemplo didactico cualquiera de las 2 funciones que se use esta bien, openssl_random_pseudo_bytes o random_bytes. Ya si nos ponemos paranoicos es otra cosa.

Saludos!