Andrey Andreev

@ahmtbrt07 I got your logic of course and if you'd called it "account takeover" I'd agree, but bypass is a stretch when you're actually obtaining legitimate credentials. The auth mechanism isn't being bypassed (i.e. skipped), you just have the master key for it. :)

I understand your point about the root cause being weak key selection, but from a security impact perspective, it is an authentication bypass: - Attacker authenticates as a normal user - Cracks the weak secret - Forges a new JWT with admin privileges - Gains unauthorized access → Authentication Bypass (CWE-287) The method is brute-forcing, but the result is bypassing authentication controls. Similar to how cracking "password123" on an admin account is still considered authentication bypass, even though the root cause is weak password policy. Both perspectives are valid - yours focuses on the vulnerability source, mine on the security impact. Thanks 🙏

bugTricks# Authentication can be bypassed if the developer uses a weak secret key for JWT tokens signed with HS256 (HMAC SHA-256). The secret can be cracked using hashcat -m 16500 -a 0 jwt.txt rockyou.txt Once the secret is obtained, attackers can forge their own JWT tokens with elevated privileges. #BugBounty #EthicalHacking #CyberSecurity

Steam has a dominant position in the market mostly because it provides a better platform for both the gamers and the developers, not because they do monopolistic tactics like some other alternatives. Those who come up with these lawsuits don't really care about the gamers/consumers, they only care about making money for themselves. That's why if Valve was to lose one of these ridiculous lawsuits, you as a consumer would not see any financial compensation. Something to think about.

Telegram has launched a pretty intense campaign to malign Signal as insecure, with assistance from Elon Musk. The goal seems to be to get activists to switch away from encrypted Signal to mostly-unencrypted Telegram. I want to talk about this a bit. 1/

"Sanitize user input" is bad security advice. A string can be *escaped* when being inserted into another language like HTML, but correct escaping depends on the target language. There's no such thing as a "sanitized" input. It's impossible to make a string safe for all uses.

@DefuseSec And it also irreversibly damages the data. This may be a lesser concern from a security POV, but it could resonate more with developers without such expertise. As a side note, even the famous xkcd about little Bobby tables gets this wrong.

@mkjadee Хаха, няма нищо.

@narfbg аз вече намерих споделено, но мерси за отговора и извинявай от името на туитър, че ти ме причинява:)

Някой няма ли да пътува утре до морето от петте души, дето ме четат тук

@atealein Като изключим, че няма какво да направи за да не е плешив ... окей, очевидно това е грешна позиция, съгласен съм. Това с което имах несъгласие беше туита относно как ни е изградено обществото, написан все едно от жените се очаква всичко, а от мъжете нищо.

@narfbg Въобще не говоря само за външен вид. Отново, дискусията тръгва от мъж, който не смята че жена може да има "мега претенции" към него ако е над 36 години. Друг в същата нишка обясни, че жена над 36 трябва да е окей с 45 годишен, плешив, с шкембе, който пие, но не е алкохолик.

Не разбирам мъжете, които след като някоя жена (на 36+ примерно) им каже "Няма да стане между нас, търся някой който ... " това, което им остава в акъла е "Ебаси мега претенциите има тая" а не "Явно такива мъже са вървежни и трябва да се адаптирам".

@atealein А мъжете пък щото ни харесвате всякакви и въобще нямаме нужда да си поддържаме външния вид и особено поведението около вас. Айде стига глупости ... Малко са хората, толкова естествено привлекателни, че да не им се налага да полагат други усилия. И от двата пола.

@narfbg Да я "спечели"? Жените от малки трябва да си нагаждат външния вид така, че да са желани и поведението за да са "допустими" за мъжете. Чак тогава идва момента някой да тръгва да я "печели" (и това се предполага да изпълнява претенциите й, което както виждаме не е приемливо).

@atealein Не виждам съгласие с това конкретно твърдение, само няколко отделни потвърждения, че въпросният тип самовлюбени мъже е многоброен. Но точно на ниво общество, публичното и традиционно очакване е мъжа да спечели жената. Реално, сигурно просто зависи кой кого иска повече. :)

@narfbg Интересно ми е да разбера откъде виждате тая обратна позиция ;) Защото дискусиите тук отдолу определено са в съгласие с твърдението ми.

@atealein Аз пък имам тотално обратното впечатление, но от всяка позиция се виждат различни неща.

Обществото ни е изградено, че от малки жените трябва непрекъснато да се променят и адаптират, а тоя тип мъже смятат, че мъжете са тези към които всичко друго трябва да се адаптира - те са перфектни както са създадени и проблема е винаги в другите?

@nixanbal Имам, вървеше си с квартирата ... Не съм го включвал и нямам намерение.

Добро утро! Бърза анкета, ако позволите - имате ли телевизор в дома си и за какво основно го използвате?

@grigovor Защо? Вече и глезените ли са неприятни? Остана ли нещо дето хората не намират за грозно?

спрете с чорапите освободители на глезени умолявам

OH MY GOD I'd heard about Windows 11 calling a zip file a 'postcode file' in UK English because of really lazy translating but it's ACTUALLY HERE ON MY PC like not even in beta this is actually happening right now in publicly available Windows

@freekmurze There's room for both. The example shown has *only* variables, but that's rarely the case. Plus, sometimes a string can be a reusable template and sprintf() really shines there. I use string interpolation 95% of the time, but there's always an edge case.

I very much prefer string interpolation over sprintf calls. Feels way more readable to my eyes. What do you think? github.com/spatie/laravel…

@afilina @Ocramius I've almost never used strong attacks, while parries and counters are reserved for a select few enemies who you can't mindlessly hit. It's pretty easy then to pick up the rest of the mechanics as they become necessary. Gear and potions usually make up for the occasional mistake.

@afilina @Ocramius I guess I'll clarify since I've got nothing better to do right now. 😁The turorial tries to teach you everything in small incremental steps, but for most fights you can just cast Quen and/or throw a bomb before engaging, then only use fast attacks and dodging if necessary.

@fideloper I find it particularly useful to link bug reports that were causes for unintuitive code changes.

💡 I like to include relevant documentation links for my future self in the comments (esp. when making API calls) That is paying off right now!