[NRPPZW] 2. projekt - 2021/2022
anon00
Ajde jos sam labos, ali ovo ocjenjivanje je za k…
Primjerice ja, kao i osoba kojoj sad ocjenjujem smo imali broken authentication
I moja normalna pretpostavka je bila: Pokaži način kako dolazi do nesigurnosti i onda u potpunosti zaštiti od te nesigurnosti.
A oni gledaju je li ima fkn password salting koji nema veze sa ovim - bilo bi okej da su to naglasili da ce se to traziti. Broken authenticationje više stvar nekakve loše logike nego na koji nacin spremas fkn password. Ja, kolega kojem ocjenjujem, ali i vjv vecina nas je samo hardkodirala nekog user i napravim if(email == email && pw==pw) sto se činilo sasvim validnim.
Ako je password trebalo salt-ati onda smo slobodno mogli i napraviti https jer je tu nesigurnost u prijenosu podataka i vjv krcato sličnih stvari
anon00
Sto vise idem kroz pitanja više bi ih nabio na ..
U uputama likovi napišu “Implementirajte X” i nijedno slovo više od tog, a u peer review “Je li student implementirao paywall koristeći sha-512 sa salt-om koji se mijenja svakih 4,5min i koristi blockchain tehnologiju”
LucidDreamer
Savjetujem da takve stvari odmah šalješ ticket. Tipa meni kolega za xml injection nije implementirao pohranu datoteke sa poslužitelja nego je ostavio text input gdje sam pišem xml i bilo mi je bed dat mu “nije implementirano” ako zadatak radi i sve pa sam poslao ticket i fraer je rekao kak im je bitnije da sve radi te da mu dam kao sve bodove za to. Tak da šaljite te tickete i imajte na umu kako su mi više puta napomenuli da ne budemo strogi pri ocjenjivanju.
anon00
LucidDreamer
E sad tu dolazi do problema
Jedan dio studenata je vec ocjenilo kako je mislilo da je pravedno i sad ce oni usred ocjenjivanja poslati neku poruku ‘ipak dajte bodove i sl’
Pazi sad ovo: Ako dam U potpunosti implementirano za eto npr xml file upload (koji nije bilo file upload nego samo text area) postoji mogucnost da cu biti jedini koji ce tu ocjenu dati i ja cu npr dobiti manje bodova za review.
Još gluplje je sto su za SQL injection odvojili na 4-5 pitanja “je li implementiran UNION”, “je li implementirana tautologija” itd. Naravno da vecina, ukljucujuci i mene, nije implementirala sve nego samo 1-2 da pokaze da sql injecion radi. Dok za neki drugi zadatak (nmg se sjetit, mozda XSS ili nesto slicno) su stavili u jednom pitanju “Je li implementirano ista od navedenog: X,Y,Z”
Dakle ovi prvi ce dobiti ⅕ ako su samo jedno implementirali, a ovi drugi 100% tj 1/1
I ja sam osobno pokusao biti što blaži pri ocjenjivanju pa npr jedan kolega hardkodirao da se zove <script>alert .. na klik gumba za XSS i to je bilo okej, a onda sljedece pitanje je bilo “Je li moguce redirect na drugu stranicu” -> Pa bio bi moguc da kod nije hardkodiran, a taj kolega sigurno ne bi hardkodirao da je znao da ce se to pitati.
Tu sam primjerice stavio kao da je implementirano, a netko ce staviti da nije
Mislim da bi trebali napraviti update tog upitnika i ponovno pokrenuti peer review jer ovakva vrsta ocjenjivanja nema smisla
LucidDreamer
anon00 i da ovo sa sql sam uvjeren da su stavili sva cetiri pa ce provjeravat jeli barem jedan od njih napravljen jer znam kak je u uputama pisalo, a i vidim da su u obavijesti stavili da je bitno imati samo jedno
LucidDreamer
Kuzim kaj hoces rec, sjecam se na bazama da su ljudi gubili bodove jer su ocijenjivali drugacije nego kaj su ostali. Al kuzis zasto bi mi onda profesor rekao da napravim ovako ako zna da cu potencijalno izgubit bodove. Mozda ce fakat samo dat tih 5 bodova ako si odgovorio na sva pitanja. U svakom slucaju je najveci taj problem sto su dosta nekonzistentni sa stvarima koje su trazili i stvarima koje su stavili u upitnik da se popunjava. Nadam se da ce imat to na umu
sekiro
Zulul slao sam ticket i kaže mi da je točno kako piše, nije predan url aplikacije ni readme.txt file i sve ocjenjujemo sa 0, valjda to znači free 5 bodova
AntonioB25
Jel ja ne vidim dobro ili ne postoji pitanje za implementaciju krađe sjednice u broken auth.?
Samo su za brute force
Kako ste to ocijenili?
Ne znam kako da prihvatim to kad nije ponuđeno?
Slao sam ticket, ali sam kao odgovor dobio da bi to trebalo prihvatiti.
Znam da treba, al kako.
Bisolvon
Ako je netko za Broken Auth implementirao onaj SESSION dio a ne Brute Force, koja se od onih pitanja uopce odnose na SESSION?
niknik
Bisolvon Ja mislim da samo 2.5
Kaladonter
Ako je neka osoba u implementirane ranjivosti navela samo jednu ranjivost ja nemogu nikako saznati koje su preostale dvije koje je trebala implementirati? Trebam li u tom slučaju za preostale dvije ranjivosti samo na 2 pitanja staviti “nije primjenjivo i to je to”?
Mike
Ovo je preloše, zašto nam onda nisu dali unaprijed ta peer review pitanja kao specifikaciju za implementiranje? Jedno piše u originalnim uputama, drugo u obavijesti, a nešto sasvim treće u ovom peer reviewu.
reygrep
malo mi je sumnjivo da svi peer reviewovi koje sam dobila nemaju attachmenta, mozda je do toga kaj sam i ja predala prazno? tko ce ga znat, ali jel i vama pise score 0 kad zavrsite s reviewom?
Mike
reygrep Na svih 5 mi je score 0, no score postotak mi je na 4 100%, a na jednom 0%.
Btw. blago ti se na svim praznima, ja sam dobio samo jedan prazan (ja nisam predao prazno).
Heklijo
Ja ću radije žrtvovati 1 bod sebi da kolege dobiju vise(2-3) bodova jer stvarno neke stvari nemaju smisla. Iako, mislim da ćemo svi dobiti bodove osim u slučaju da netko nije predao a pozitivno je reviewano
mrkva
Koliko projekta mi trebamo ocijeniti? Ja ih imam 5, a cini mi se da ih je neki dan bilo 6 kada sam isla gledati.
AntonioB25
mrkva
5 ih je
- je bio greška, dobili smo mail
Exelero
kad postaviš specifično pitanje…
mrkva
Exelero imam istu situaciju, sta si na kraju napravio?
Gocc
2.5. Je li nakon otklanjanja sigurnosnog nedostatka implementirana centralizirana i standardizirana funkcionalnost autentifikacije? sta bi ovo trebalo biti
AntonioB25
***
ja sam za to uvijek stavio da je poptuno implementirao
pa što god to bilo
Gocc
ako je netko napravio ⅓ to stavim napola ispravno ili Uglavnom neispravno