Studoši

Ajde jos sam labos, ali ovo ocjenjivanje je za k…
Primjerice ja, kao i osoba kojoj sad ocjenjujem smo imali broken authentication
I moja normalna pretpostavka je bila: Pokaži način kako dolazi do nesigurnosti i onda u potpunosti zaštiti od te nesigurnosti.
A oni gledaju je li ima fkn password salting koji nema veze sa ovim - bilo bi okej da su to naglasili da ce se to traziti. Broken authenticationje više stvar nekakve loše logike nego na koji nacin spremas fkn password. Ja, kolega kojem ocjenjujem, ali i vjv vecina nas je samo hardkodirala nekog user i napravim if(email == email && pw==pw) sto se činilo sasvim validnim.

Ako je password trebalo salt-ati onda smo slobodno mogli i napraviti https jer je tu nesigurnost u prijenosu podataka i vjv krcato sličnih stvari

Sto vise idem kroz pitanja više bi ih nabio na ..
U uputama likovi napišu “Implementirajte X” i nijedno slovo više od tog, a u peer review “Je li student implementirao paywall koristeći sha-512 sa salt-om koji se mijenja svakih 4,5min i koristi blockchain tehnologiju”

Savjetujem da takve stvari odmah šalješ ticket. Tipa meni kolega za xml injection nije implementirao pohranu datoteke sa poslužitelja nego je ostavio text input gdje sam pišem xml i bilo mi je bed dat mu “nije implementirano” ako zadatak radi i sve pa sam poslao ticket i fraer je rekao kak im je bitnije da sve radi te da mu dam kao sve bodove za to. Tak da šaljite te tickete i imajte na umu kako su mi više puta napomenuli da ne budemo strogi pri ocjenjivanju.

LucidDreamer
E sad tu dolazi do problema
Jedan dio studenata je vec ocjenilo kako je mislilo da je pravedno i sad ce oni usred ocjenjivanja poslati neku poruku ‘ipak dajte bodove i sl’
Pazi sad ovo: Ako dam U potpunosti implementirano za eto npr xml file upload (koji nije bilo file upload nego samo text area) postoji mogucnost da cu biti jedini koji ce tu ocjenu dati i ja cu npr dobiti manje bodova za review.
Još gluplje je sto su za SQL injection odvojili na 4-5 pitanja “je li implementiran UNION”, “je li implementirana tautologija” itd. Naravno da vecina, ukljucujuci i mene, nije implementirala sve nego samo 1-2 da pokaze da sql injecion radi. Dok za neki drugi zadatak (nmg se sjetit, mozda XSS ili nesto slicno) su stavili u jednom pitanju “Je li implementirano ista od navedenog: X,Y,Z”
Dakle ovi prvi ce dobiti ⅕ ako su samo jedno implementirali, a ovi drugi 100% tj 1/1

I ja sam osobno pokusao biti što blaži pri ocjenjivanju pa npr jedan kolega hardkodirao da se zove <script>alert .. na klik gumba za XSS i to je bilo okej, a onda sljedece pitanje je bilo “Je li moguce redirect na drugu stranicu” -> Pa bio bi moguc da kod nije hardkodiran, a taj kolega sigurno ne bi hardkodirao da je znao da ce se to pitati.
Tu sam primjerice stavio kao da je implementirano, a netko ce staviti da nije

Mislim da bi trebali napraviti update tog upitnika i ponovno pokrenuti peer review jer ovakva vrsta ocjenjivanja nema smisla

anon00 i da ovo sa sql sam uvjeren da su stavili sva cetiri pa ce provjeravat jeli barem jedan od njih napravljen jer znam kak je u uputama pisalo, a i vidim da su u obavijesti stavili da je bitno imati samo jedno

Kuzim kaj hoces rec, sjecam se na bazama da su ljudi gubili bodove jer su ocijenjivali drugacije nego kaj su ostali. Al kuzis zasto bi mi onda profesor rekao da napravim ovako ako zna da cu potencijalno izgubit bodove. Mozda ce fakat samo dat tih 5 bodova ako si odgovorio na sva pitanja. U svakom slucaju je najveci taj problem sto su dosta nekonzistentni sa stvarima koje su trazili i stvarima koje su stavili u upitnik da se popunjava. Nadam se da ce imat to na umu

Zulul slao sam ticket i kaže mi da je točno kako piše, nije predan url aplikacije ni readme.txt file i sve ocjenjujemo sa 0, valjda to znači free 5 bodova

Jel ja ne vidim dobro ili ne postoji pitanje za implementaciju krađe sjednice u broken auth.?
Samo su za brute force
Kako ste to ocijenili?
Ne znam kako da prihvatim to kad nije ponuđeno?

Slao sam ticket, ali sam kao odgovor dobio da bi to trebalo prihvatiti.
Znam da treba, al kako.

Ako je netko za Broken Auth implementirao onaj SESSION dio a ne Brute Force, koja se od onih pitanja uopce odnose na SESSION?

Bisolvon Ja mislim da samo 2.5

Ako je neka osoba u implementirane ranjivosti navela samo jednu ranjivost ja nemogu nikako saznati koje su preostale dvije koje je trebala implementirati? Trebam li u tom slučaju za preostale dvije ranjivosti samo na 2 pitanja staviti “nije primjenjivo i to je to”?

Ovo je preloše, zašto nam onda nisu dali unaprijed ta peer review pitanja kao specifikaciju za implementiranje? Jedno piše u originalnim uputama, drugo u obavijesti, a nešto sasvim treće u ovom peer reviewu.

malo mi je sumnjivo da svi peer reviewovi koje sam dobila nemaju attachmenta, mozda je do toga kaj sam i ja predala prazno? tko ce ga znat, ali jel i vama pise score 0 kad zavrsite s reviewom?

reygrep Na svih 5 mi je score 0, no score postotak mi je na 4 100%, a na jednom 0%.

Btw. blago ti se na svim praznima, ja sam dobio samo jedan prazan (ja nisam predao prazno).

Ja ću radije žrtvovati 1 bod sebi da kolege dobiju vise(2-3) bodova jer stvarno neke stvari nemaju smisla. Iako, mislim da ćemo svi dobiti bodove osim u slučaju da netko nije predao a pozitivno je reviewano

Koliko projekta mi trebamo ocijeniti? Ja ih imam 5, a cini mi se da ih je neki dan bilo 6 kada sam isla gledati.

mrkva
5 ih je

6. je bio greška, dobili smo mail

kad postaviš specifično pitanje…

Exelero imam istu situaciju, sta si na kraju napravio?

2.5. Je li nakon otklanjanja sigurnosnog nedostatka implementirana centralizirana i standardizirana funkcionalnost autentifikacije? sta bi ovo trebalo biti

***
ja sam za to uvijek stavio da je poptuno implementirao
pa što god to bilo

ako je netko napravio ⅓ to stavim napola ispravno ili Uglavnom neispravno