Blog


Cum instalăm Disk Cleanup pe Windows 2008 R2

Din motive necunoscute, Microsoft a decis să nu mai instaleze Disk Cleanup implicit cu Windows Server 2008 R2, varianta Full.

Cu toate acestea, utilitarul este pe disk, într-un feature numit Desktop Experience, care din păcate, odată activat, adaugă și alte chestii, nenecesare pe Windows Server, cum ar fi Ink Services, Media Player și altele, ceea ce rezultă în mai mult spațiu ocupat pe partiția sistem și eventuală expunere dpdv securitate.

Din fericire, putem instala Disk Cleanup fără a instala Desktop Experience. Iată cum:
Căutăm următoarele fișiere și le copiem în locațiile de mai jos:

  1. C:\Windows\winsxs\amd64_microsoft-windows-cleanmgr_31bf3856ad364e35_6.1.7600.16385_none_c9392808773cd7da\cleanmgr.exe -> %SYSTEMDRIVE%\Windows\System32\
  2. C:\Windows\winsxs\amd64_microsoft-windows-cleanmgr.resources_31bf3856ad364e35_6.1.7600.16385_en-us_b9cb6194b257cc63\cleanmgr.exe.mui -> %SYSTEMDRIVE%\Windows\System32\en-US

Apoi lansăm Disk Cleanup cu comanda
cleanmgr.exe


Reînoirea certificatului pe Exchange 2010 și 2013

Exchange-Certificate-ExpiredDacă aveți un server Exchange on premises, periodic trebuie să reînoiți certificatul pentru servicii ca SMTP, OWA, IMAP, POP.

Certificatul poate fi de mai multe tipuri:

  • Self-signed (default după o nouă instalare)
  • semnat de o CA internă
  • semnat de o CA comercială

În oricare situație, e bine să reînoiți certificatul cu câteva zile înainte ca el să expire, pentru ca utilizatorii să aibă acces neîntrerupt la server.

Comenzile PowerShell cu care puteți efectua reînoirea sunt:

  • Get-ExchangeCertificate
  • New-ExchangeCertificate

Noi vă putem ajuta atât cu achiziția unui certificat public (recunoscut de browsere și clienții de e-mail de pe PC, Mac și smartphone), cât și cu reînoirea efectivă a acestuia pe serverul Exchange pentru a preveni întreruperea serviciului. Folosiți formularul de contact din dreapta.

 

 


Cam câte comenzi preia eMag pe minut?

emagVăzând că numărul de comandă alocat de eMag pare să aibă un format de număr incrementat și nu aleator, m-am gândit să fac un calcul rapid pentru a determina câte comenzi preia cel mai mare magazin online românesc în fiecare minut. Cu scop de informare.

Așa arată datele:

emag orders per minute

 

 

 

 

De unde rezultă o medie de cam 10 comenzi pe minut, de-a lungul mai multor perioade, inclusiv Black Friday și cea dinaintea Craciunului. Desigur, calculele au sens doar daca eMag incrementează numărul de comandă cu 1 și nu cu orice altceva. Nu știu cât e coșul mediu, dar dacă pun un 250 lei, rezultă vânzări de:

250 lei * 10 comenzi pe minut * 60 minute * 16 ore pe zi * 365 zile pe an ~= 880 mil lei vanzări pe an, care nu e departe de cei 834 mil lei declarați pe 2013.

 

Deja din momentul în care ai început să citești acest post, eMag a mai preluat 10 comenzi 🙂

 


Rezultate campanie audit securitate web (iulie 2014)

Iată că după o lună de muncă, putem publica rezultatele campaniei de evaluare a securității website-urilor din România (în curând vom publica și detalii mai amănunțite).

 

Cere o cotație pentru evaluarea securității pe site-ul tău aici:




Please leave this field empty.

 

 


Keep Me Logged In sau Remember Password? Care e mai sigur?

keep me logged inMulte din site-urile internet pe care trebuie să ne autentificăm cu user și parolă, ne intreabă:

  1. Keep Me Logged In? sau Ține-mă minte – adică dacă site-ul să ne țină minte sesiunea o perioadă de timp, astfel incât data viitoare când accesăm site-ul de pe același calculator / tabletă / smartphone, fără să ne mai ceară user și parolă
  2. Save Password? sau Memorează parola – adică dacă browser-ul ne oferă (dacă site-ul nu i-a spus să nu o facă) să memoreze combinația user și parolă pe o perioadă nelimitată, astfel încât la vizite ulterioare ale site-ului să ne autocompleteze câmpurile de utilizator și parolă. Da, site-ul poate cere browser-ului să nu ofere memorarea parolei pentru a spori securitatea conturilor utilizatorilor.

Care din cele două ajută mai mult și care e mai sigur?

În primul rând e important să înțelegem că ambele metode stochează ceva pe calculatorul nostru pentru a ne facilita vizitele ulterioare. Asta înseamnă că daca altcineva are acces la calculator cu userul și browser-ul cu care am folosit oricare din cele două variante, va obține acces în contul nostru. De aceea e bine să protejăm contul cu parolă.

Diferența majoră dintre cele două metode este că in cazul primei, se pot monta atacuri de tip Cross-Site Scripting (CSS) sau Cross-Site Request Forgery (CSRF), prin care să se fure identitatea sau să se efectueze cereri în numele utilizatorului, fără a avea acces fizic la calculator, totul prin intermediul browser-ului. Condiția este ca site-ul să aibă vulnerabilități de tip XSS sau CSRF, ceea ce e foarte probabil.

Prima metodă, de obicei implementată sub forma unei bife de tip “Keep Me Logged In” sau “Remember Me”, folosește așa numitul cookie, care nu e altceva decât un string de caractere asociat unui domeniu (ex: ideacity.ro) și stocat in browser pe o perioadă de timp ce poate fi limitată sau nelimitată.

A doua metodă, de obicei implementată printr-o întrebare pusă de browser utilizatorului când apasă butonul Login, salvează perechea utilizator + parolă in registry sau direct pe disk, criptat.

Băncile, folosesc de obicei pe site-urile de internet banking metode mai complexe decât banala pereche utilizator și parolă, protejându-ne de furtul identității atât prin browser cât și având acces local.

În concluzie, câteva recomandări:

  1. Nu folosim niciuna din metode pe calculatorul altcuiva;
  2. Pe site-urile accesate rar, e suficient să folosim a doua metodă (Save Password);
  3. Pe site-urile folosite frecvent dar care nu gestionează informații sensibile (ex: internet banking, webmail), putem folosi ambele variante, pentru scurtarea timpului de acces la site, fiind conștienți că ni se poate fura identitatea chiar și de la distanță prin browser.

Dacă aveți un site, il puteți inscrie gratuit și confidențial în campania de evaluare a securității site-urilor web.

 


Am un blog. Ce probleme de securitate ar putea avea?

E o întrebare pe care am primit-o în nenumărate rânduri și pe bună dreptate. Până la urmă majoritatea blogurilor nu acceptă plată cu cardul și nici măcar nu colectează date personale. De ce-ar fi interesante pentru hackeri?

Fără să intrăm în prea multe detalii, lucrurile stau cam așa:

Resursa cea mai importantă pe care un blog o reprezintă pentru un hacker sunt vizitatorii site-ului. Și nu neapărat prin adresele de e-mail și adresele site-urilor acestora, ci prin faptul că îi pot folosi pentru generare de trafic pe alte site-uri și pentru distribuire de malware. Unul din mecanismele prin care un hacker se poate folosi de un blog e ăsta: hackerul creaza un link special către blog, sau postează un comentariu cu cod JavaScript fie pe site-ul targetat fie pe un alt site. Când un vizitator legitim accesează link-ul sau doar deschide pagina special concepută, se execută cod JavaScript în browser-ul utilizatorului sub legitimitatea site-ului atacat.

Unii ar mai putea spune că folosesc o platformă ca Wordpres, Drupal sau SharePoint care nu au vulnerabilități în cele mai noi versiuni. Problema în acest caz e că de multe ori, peste platformă se mai adaugă diverse plugin-uri sau se fac alte customizări, ambele putând introduce vulnerabilități.

Ca recapitulare, pe un blog cu vulnerabilități se pot:

  1. targeta vizitatorii cu malware
  2. targeta alte site-uri
  3. extrage datele utilizatorilor
  4. schimba postările, paginile

Așadar, profită de campania noastră și verifică-ți blog-ul.

Iar dacă ți se pare util, dă mai departe.

 

 


Mai mult de 90% din site-uri aveau cel puțin o problemă gravă de securitate

În urma evaluării unui lot de website-uri importante din online-ul românesc, am constatat că peste 90% din ele aveau cel puțin o problemă gravă de securitate, cum ar fi SQL Injection sau Cross Site Scripting (XSS).

Aceste vulnerabilități permit oricui, de oriunde din internet să:

  • descarce date personale ale utilizatorilor sau alte informații confidențiale;
  • forțeze autentificarea cu date fictive;
  • ofere malware către utilizatorii legitimi ai site-ului tău;
  • modifice parțial sau total conținutul site-ului;
  • redirecteze utilizatorii către alte site-uri.

Lista din păcate nu se oprește aici iar astfel de atacuri se întâmplă zilnic în internet. E suficient să cauți după “XSS” sau “SQL Injection” pe Twitter sau Google News Search pentru a vedea că sunt la ordinea zilei.

De aceea ne-am decis să lansăm o nouă campanie de informare și de identificare de vulnerabilități ale site-urilor web .ro prin care să reevaluăm starea acestora.

Dacă ai un site web pe care vrei să-l incluzi în campanie, poți să o faci aici. După ce îl verificăm, îți trimitem un scurt raport cu vulnerabilitățile importante identificate și impactul acestora.

Cât costă? Pe parcursul campaniei îți oferim acest serviciu gratuit și fără nicio obligație. Trebuie doar să înscrii site-ul în campanie până la 30 iunie 2014.

Numărul de website-uri ce vor fi verificate în campanie este limitat și te vom informa în cazul în care s-a depășit acest prag.

În tot acest timp și pe o perioadă nelimitată, faptul că ai înscris site-ul în campanie și că am identificat sau nu breșe de securitate rămâne absolut confidențial.

Poți înscrie site-ul tău aici. Perioada de înscriere gratuită a luat sfârșit la 30 iunie. Dacă ai inscris site-ul în campanie, vei primi raportul până la 31 iulie. Tot până atunci, vom posta aici rezultatele.

Campania de evaluarea securității site-urilor s-a finalizat! Vezi rezultatele.

 

 


Excel, Word si PowerPoint pe iPad, chiar de la Microsoft. Cum le puteti instala in varianta completa (creare si editare)

Pe scurt:

  1. faceti un cont gratuit de Office 365 Midsize Business (25 useri pentru 30 zile)
  2. Instalati aplicatiile Word, Excel si PowerPoint din AppStore si le activati cu contul creat mai sus
Microsoft a lansat ieri mult asteptatele versiuni de Word, Excel si PowerPoint pentru iPad. E un pas important facut de Microsoft in directia software-ului ca serviciu (SaaS). Noutatea consta in deschiderea platformei de colaborare online, Office 365, total catre in mod discutabil cea mai populara tableta ce a erodat puternic vanzarile de PC-uri din ultimii ani. Chiar daca Office 365 putea fi accesat si pana acum prin intermediul browser-ului, odata cu aparitia aplicatiilor dedicate apare si posibilitatea de a lucra in mod deconectat, performante mai bune precum simulte functii nedisponibile in varianta din browser, numita in instantierile ei: Excel Online, Word Online si PowerPoint Online.

 

Cu toate ca aplicatiile se pot descarca gratuit din AppStore, fara conectarea unui cont de Office 365 ce are asociat un pachet corespunzator, fisierele Word, Excel si PowerPoint pot fi doar vizualizate. Numai dupa activarea aplicatiilor cu un cont de Office 365 aveti acces la functiile de editare si creare.
Variantele de Office 365 care ofera acces complet la Excel, Word si PowerPoint pentru iPad sunt: Office 365 pentru acasa Premium, Office 365 pentru firme mici Premium, Office 365 ProPlus, Plan E3 si Plan E4, Plan Midsize Business (max 300 useri).
Pentru a incerca gratuit timp de 30 zile, va puteti crea gratuit un cont direct la Microsoft. Dupa 30 zile, pretul este 9.84 EUR / user / luna pentru primul an. In afara de Office pe iPad, pe 5 Mac-uri sau PC-uri, serviciul include si e-mail (50 GB) cu contacte si calendare partajate, documente (25 GB), site public si site-uri de echipa, precum si apeluri audio/video si videoconferinte cu pana la 250 participanti.
Apoi descarcati aplicatiile Word, Excel si PowerPoint din AppStore si le activati cu contul creat mai sus.