Jak przywrócić iPhone'a z kopii zapasowej iCloud? Przeczytaj ten post i naucz się dwóch prostych metod przywracania z kopii zapasowej iCloud, bez resetowania. Jak uzyskać dostęp do zdjęć iCloud na różne sposoby. Jak uzyskać dostęp do zdjęć iCloud na telefonie iPhone, komputerze Mac, komputerze PC lub w Internecie?
Jak zacząć korzystać z poczty w komórce? Korzystanie z poczty mobilnej w INTERIA.PL możesz rozpocząć od zaraz! Wystarczy, że posiadasz konto pocztowe w INTERIA.PL oraz skonfigurowany do połączenia z internetem telefon komórkowy lub inne urządzenie mobilne, np. palmtop.
Logowanie dwustopniowe. Czym jest logowanie dwustopniowe? Do czego służy aplikacja 1login od WP? Jak włączyć i wyłączyć logowanie dwustopniowe? Jak włączyć logowanie kodem? Nie mogę zeskanować kodu QR.
Hasła do aplikacji zewnętrznej (jak utworzyć, jak usunąć) Jak utworzyć kolejne konto 1login od WP? Jak zmienić dane konta (imię i nazwisko, data urodzenia, płeć, zdjęcie profilowe) Jak usunąć konto 1login od WP? Nie mogę zalogować się do poczty po włączeniu 1login od WP. Czym jest 1login od WP?
. Wielu użytkowników telefonów i urządzeń z Androidem uważa, że oficjalna aplikacja Gmail firmy Google, która jest dostępna bezpłatnie w Google Play Market, zapewnia opcję „Wyloguj się”. Niestety, jeśli używasz konta Gmail na telefonie z Androidem i z jakiegoś powodu chcesz się z niego wylogować, nie znajdziesz tego w aplikacji Gmail na telefonie. Masz wiele pytań dotyczących wylogowania się z poczty Gmail na telefonach z Androidem? Na szczęście wśród ustawień telefonu znajduje się opcja, która pozwala użytkownikom na dokonywanie płatności z Gmaila w bardzo łatwy sposób za pomocą zaledwie kilku dotknięć. Jakie są kroki, aby wylogować się z Gmaila w systemie Android? Przejdź do „Ustawienia” w telefonie, a następnie zejdź w dół i kliknij opcję „Konta”. Kliknij i wybierz opcję „google”, a następnie kliknij trzy kropki powyżej i wybierz „usuń konto”, a pojawi się kolejne menu, kliknij i wybierz „usuń konto”. Wkrótce zostaniesz wylogowany z konta Gmail na telefonie z Androidem. Pamiętaj, że po wylogowaniu zostaniesz wylogowany ze wszystkich kont Google. Mamy nadzieję, że artykuł przyniesie Ci korzyści, jeśli masz pytanie lub jakiś problem, uwzględnij go w komentarzach.
Wylogowywanie się z poczty jest bardzo ważne, w szczególności jeżeli korzystasz z niej na komputerze lub innym urządzeniu do którego mają dostęp również inne osoby. Samo zamknięcie karty w przeglądarce lub samej przeglądarki nie gwarantuje, że osoba która będzie korzystać z komputera po Tobie nie będzie mogła przeglądać Twoich maili. Kliknięcie przycisku Wyloguj przed zamknięciem strony poczty da Ci pewność, że Twojej korespondencji nie przeczyta nikt niepowołany. Aby wylogować się z poczty kliknij w prawym górnym rogu w ikonkę avatara, a następnie wybierz "Wyloguj":
Oskar Zwierzchowski oraz Grzegorz Stachowiak poinformowali nas o poważnych błędach bezpieczeństwa dotyczących niektórych serwisów Grupy o2. Według nich, potencjalny atakujący może nie tylko podmienić treści na dowolnym serwisie o2 (np. pudelku, czy stronie głównej portalu), ale co gorsza uzyskać dostęp do treści e-maili większości użytkowników o2. Przedstawiciele portalu nie zgadzają się, że wszystkie błędy są krytyczne. 3 błędy z kilku Oskar i Grzegorz w e-mailu do Niebezpiecznika opisali 3 błędy spośród kilku, które znaleźli w serwisach Grupy o2. Według nich błędy umożliwiają dodawanie/modyfikowanie treści na serwisach o2 oraz przechwytywanie treści e-maili osób korzystających z “Głębokie ukrycie” plików konfiguracyjnych. Pliki PHP z klasami i definiujące stałe (w tym nazwę bazy, hasło do bazy, itp) znajdują się w tzw. “głębokim ukryciu“. Programiści nadali im rozszerzenia .lib, które nie są interpretowane przez moduł PHP, a zatem odwołanie się do takiego pliku pokazuje jego zawartość (kod PHP). Rys. 1. Pudelek - hasło do bazy MySQL Podobny błąd przydarzył się swego czasu serwisowi — tam jednak programiści umieścili część plików (te z danymi dostępowymi do bazy) poza obszarem pracy webservera. W przypadku o2, pliki te dostępne są dla każdego, kto zna ich URL. SQL injection w adserwerze o2 SQL injection w adserverze o2 pozwala na nieautoryzowany dostęp do bazy danych. Jak twierdzą Oskar i Grzegorz, informacje, które się w niej znajdują umożliwiają potencjalnemu atakującemu na dostęp do CMS-a o2 (system zarządzania treścią) — ten z kolei stanowi podstawę funkcjonowania dużej liczby portalowych serwisów. Stored XSS na Jeśli użytkownik korzystający z poczty o2 przez stronę WWW otworzy odpowiednio spreparowanego e-maila, atakujący może przechwycić zwartość jego skrzynki lub przejąć jego sesję (brak flagi HTTP Only na ciasteczku sesyjnym) albo przekierować na inną stronę internetową. Rys. 2. XSS w poczcie o2 pozwala na przejęcie zawartości skrzynki ofiary Oskar i Grzegorz zademonstrowali atak na założonym przez nas koncie na o2. Przejęli naszą skrzynkę i poprawnie przekazali nam treść e-maila, którego umieściliśmy w skrzynce. Dodatkowo, Oskar i Grzegorz twierdzą, że w kodzie serwisu znajduje się jeszcze jeden błąd programistyczny, pozwalający na nieautoryzowany dostęp do skrzynek pocztowych większości użytkowników serwisu. Błąd ten, w przeciwieństwe do ukazanego wyżej XSS-a, nie wymaga żadnej akcji ze strony użytkownika (nie trzeba otworzyć żadnej wiadomości). Zmiana hasła w tym przypadku nic nie da — błąd musi zostać usunięty przez developerów o2. Mam konto na o2, jak żyć drogi Niebezpieczniku, jak żyć? Jeśli posiadacie konto na o2, wedle zapewnień Oskara i Grzegorza nie powinniście wpadać w panikę — obaj twierdzą, że działają w dobrej wierze; powstrzymali się przed uzyskaniem dostępu do danych użytkowników i chcą jak najszybszego załatania błędów (co oczywiście nie oznacza, że zmiana hasła do o2 to głupi pomysł — na te błędy mogły niezależnie natknąć się inne osoby, które nie mają tak czystych intencji jak Oskar i Grzegorz ;) Zdziwiło nas jednak, że w/w błędami bezpieczeństwa Oskar i Grzegorz piszą do nas, a nie bezpośrednio do serwisu o2. Zapytaliśmy więc, dlaczego? Oto odpowiedź: Próbowaliśmy kiedyś poinformować grupę o2 o błędach które znaleźliśmy w roku (chyba) 2009, jednak nasze wiadomości zostały zignorowane. Na początku 2011 roku otrzymaliśmy odpowiedz na kolejne zgłoszenie o zagrożeniach po 14 dniach, a informacja o tym, iż błędów może być znacznie więcej została ponownie zignorowana. Dlatego przesłaliśmy to Wam, oraz mamy nadzieje, że sprawa zostanie potraktowana bardziej poważnie. I rzeczywiście, na wysłany przez nas opis błędów zaregowano prawie natychmiastowo… jednak jakość obsługi incydentu delikatnie mówiąc pozostawiała wiele do życzenia… Co na to o2? O2, nie do końca zgadza się z opinią Grzegorza i Oskara co do wagi błędów… Przedstawiciele o2 najpierw nie byli w stanie na podstawie naszego opisu błędu dotrzeć do danych dostępowych do bazy, a po nakierowaniu na odpowiedni plik (patrz rys. 1.), mieli problem z jego odczytaniem — co nas akurat nie zdziwiło — najprawdopodobniej developerzy Pudelka byli szybsi i zdążyli już wprowadzić odpowiednie zabezpieczenia. Przedstawiciel o2 celnie zauważył, że nawet jeśli plik zawierałby hasło, to “i tak nie ma możliwości jego wykorzystania z sieci publicznej“. To prawda, ale jak zauważa Grzegorz Stachowiak, dostęp do bazy MySQL Pudelka mógłby być możliwy z każdego wewnętrznego serwera grupy o2, o ile atakującemu udałoby się uzyskać dostęp do jakiegokolwiek serwisu grupy o2 (O2 nie zgadza się z tą tezą, patrz aktualizacja na końcu posta). Odnosząc się do znalezionego przez Oskara i Grzegorza SQL injection, Grupa o2 oświadczyła, że błąd dotyczy starej, niewykorzystywanej już wersji aplikacji. Zapewniono nas także, że zostanie ona przekierowana na “używaną od długiego już czasu wersję aplikacji, która jest wolna od takich błędów“. Należy mieć nadzieję, że o2 rozpatrzyło następującą sytuację, często towarzyszącą migracjom bazy: zawartość “starej” bazy koresponduje z nową, co ułatwia eskalację ataku. Jak dodaje Grzegorz Stachowiak: Możemy udowodnić, że można bez problemu uzyskać dostęp do kont użytkowników AdServera jak i nowych kampanii reklamowych. Jednak musimy mieć pisemną zgodę na ingerencję i ewentualny dostęp do baz danych grupy o2. W innym przypadku musielibyśmy popełnić przestępstwoz Art. 267 kk, czego nie zrobimy. Jeśli zaś chodzi o strored XSS-a, przedstawiciele o2 stwierdzili, że na podstawie przesłanych przez nas danych zespołowi programistów nie udało się odtworzyć błędu (i mieli prawo tak stwierdzić, powody w akutualizacji poniżej). Koniec końców, XSS (pomimo naszych, jak się okazało nieprecyzyjnych wskazówek) został poprawnie zidentyfikowany i załatany. Oskar Zwierzchowski nagrał wideo ukazujące atak (jak wyglądał on po stronie ofiary możecie zobaczyć na rys. nr 2): Aktualizacja W wyniku dalszych kontaktów z o2 udało się wyjaśnić problem komunikacyjny. Redakcja Niebezpiecznika nie pozostaje tu bez winy. Na podstawie przekazanych przez Grzegorza i Oskara informacji błędnie zasugerowaliśmy o2, że XSS znajduje się w polu temat, a nie polu from. Niemniej jednak przesłana przez nas zawartość nagłówka wywołująca XSS-a umożliwiła pracownikom o2 namierzenie poprawnego nagłówka i załatanie błędu, o czym serwis o2 niestety nas nie poinformował. Za niezamierzone zamieszanie przepraszamy i czytelników i Grupę o2. Dodatkowo, grupa o2 przesłała również oświadczenie, że dane bazy znalezione przez Grzegorza i Oskara “dotyczyły “localhost”, czyli bazy na lokalnym komputerze programisty — bazy testowej, a nie pudelkowej“. Ponadto przedstawiciele o2 twierdzą, że nieprawdą jest iż aby podpiąć się do bazy wystarczy włamać się do jakiegokolwiek serwisu grupy o2. “Sieć serwisów grupy o2 nie jest połączona w jedną” — czytamy w oświadczeniu. Gdybyście w przyszłości znaleźli jakiś błąd i z jakiegoś powodu nie chcieli się kontaktować bezpośrednio z “ofiarą”, zapraszamy do kontaktu — tutaj jest nasz klucz GPG. Jednocześnie apelujemy do wszystkich miłośników “niezamówionych pentestów” — zachowajcie rozwagę! I pamiętajcie, że udowodnienie błędu typu SQL injection nie wymaga zrzutu całej bazy. Rozsądne podejście do problemu z Waszej strony, sprawia, że rozsądnie podejdą do Was inni. Machanie komuś przed nosem dumpem jego bazy na pewno nie przysporzy Wam przyjaciół… Przeczytaj także:
jak wylogować się z poczty o2 na telefonie
