Archive for 16 lipca 2019

Mało kto na wykopie wie, że…

Mało kto na wykopie wie, że … Polska jest lokalną, eksportową potęgą. Jesteśmy m.in. europejskim zagłębiem części samochodowych i nie tylko podzespołów bazowych dla niemieckiej motoryzacji. Nasza siła tkwi w zamiennikach. „Dekadę narzekano, że Polska, zamiast być producentem zagranicznych samochodów, staje się zaledwie dostawcą dla nich komponentów. Dziś jesteśmy europejską potęgą w ich produkcji. A przy tym polskie firmy wyszły za granicę i wytwarzają części na całym świecie, od Brazylii po Chiny”. Wartość polskiego rynku części przekroczyła 60 miliardów złotych.

Do tego, Polska produkuje okna, drzwi, meble, elementy budowlane, materiały budowlane. Znane są też konstrukcje elektrowni wiatrowych, które nocami jeżdżą do Niemiec, blokując przy tym ruch (gabaryty). O jachtach nie muszę mówić.
Żywność również jest znana, ale np. jesteśmy 3 producentem tytoniu w Europie, ot, ciekawostka. Inna ciekawostka, to najnowocześniejszy piec huty na świecie, kosztował ponad 1mld złotych, zlokalizowany na Dolnym Śląsku. W sumie do portfolio, ale dzięki temu, wykonawca realizuje inwestycje w innych krajach.
Ot! Powiesz piec. Co powiesz, na wielopiętrowy budynek najeżony komputerami, elektroniką, czujnikami? Bo tak ten piec wygląda.

#odczarowujemywizerunekpolski

#chlewobsranygownem #polska #motoryzacja #ekonomia #gospodarka #biznes

Codzienne życie biednych…

Codzienne życie biednych przedsiębiorców ledwo łączących koniec z końcem, którzy nie pójdą na etat i wolą „dopłacać do interesu” od n-lat xD

#biznes #heheszki #humorobrazkowy #patologiazmiasta

Przygody Don Uszatko…

Przygody Don Uszatko „Polska Dla Polaków!”
#donuszatko #misuszatek #uszatek #mafia #rodzina #imigranci #przemyt #chlodnia #transport #ukrainiec #nacjonalizm #biznes #heheszki #memy #wesoleperypetie

Nie zawsze analizując…

Nie zawsze analizując aplikację natrafiamy na błędy typu SQL Injection bądź XSS.
Czasami odnajdujemy podatności, które na pierwszy rzut oka wydają się być mało interesujące.
Chociażby możliwość usunięcia dowolnego pliku z serwera.
Dzisiaj w #od0dopentestera o kreatywnych sposobach wykorzystania tego rodzaju błędów.

1. WordPress to popularny system blogowy.
Informacje na temat dostępu do bazy danych przechowuje on w pliku wp-config.php
W przypadku jego braku, system automatycznie uruchamia instalator.
Takie rozwiązanie jest przyjazne dla początkujących użytkowników.
Wystarczy bowiem, że skopiują wszystkie pliki na serwer i wejdą na swoją domenę.
A co gdy usuniemy ten plik?
Wtedy możemy ponownie zainstalować aplikację na tym samym serwerze.
Standardowo, baza danych i pliki znajdują się na tej samej maszynie.
Ale nic nie stoi na przeszkodzie, aby skrypt łączył się z zewnętrzną bazą, kontrolowaną przez atakującego.
Po instalacji możemy zalogować się do panelu admina używając danych nowo stworzonego użytkownika.
Administrator może edytować pliki szablonów, w których znajdują się informacje na temat wyglądu strony.
Są to zwykłe pliki z rozszerzeniem .php
A ponieważ możemy modyfikować ich treść, pozwala to na wykonanie dowolnego kodu na podatnej stronie.

2. Jenkins to serwer continuous integration.
Często działa on z włączoną opcją Enable security, dzięki której dostęp do większości funkcji możliwy jest jedynie po zalogowaniu.
Jest to istotne ponieważ aplikacja posiada konsolę skryptów, która umożliwia wykonanie dowolnego kodu w języku groovy.
Informacje na temat konfiguracji przechowywane są w pliku config.xml.
Jeżeli atakujący usunie ten plik, serwer nie będzie wymagał zalogowania czyli dowolny użytkownik będzie mógł wykonać dowolny kod przy pomocy skryptu groovy.
Serwer odczytuje plik konfiguracyjny jedynie w niektórych sytuacjach.
W większości przypadków konieczny będzie zatem restart aplikacji aby całość zadziałała prawidłowo.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Podcast dostępny na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #webdev #security

#polityka #neuropa…

#polityka #neuropa #4konserwy.ru #biznes #ciekawostki

To samo ma miejsce aktualnie w Izraelu i Chinach.

Tego dnia, równo 10 lat temu,…

Tego dnia, równo 10 lat temu, SpaceX wyniosło pierwszego satelitę. Zaledwie w dekadę mała firma Elona Muska o niepewnym bycie urosła do największego podmiotu wynoszącego komercyjnie ładunki w kosmos. Mało tego, pracującego nad międzyplanetarną rakietą do… kolonizacji Marsa.

Link do znaleziska: 10 lat temu SpaceX wyniósł 1 satelitę a dziś buduje rakietę do kolonizacji Marsa

Interesujące? Dziękuję Ci za wykop!

#biznes #startup #elonmusk #musk #spacex #kosmos #eksploracjakomosu #usa #imigranci #mars #gruparatowaniapoziomu #technologia #kosmiczneinfo #ciekawostki #ciekawostkihistoryczne #tesla #rakiety

Program Schetyny – pierdolę…

Program Schetyny – pierdolę taką Polskę ;/ Nie dość, że <25 lat, to jeszcze reszta ma im finansować NFZ. Co z ludźmi powyżej 25/26 lat? Zarówno PiS jak i PO mają na nich wyjebane i traktują ich jako konia roboczego. „Propozycja zakłada jednak całkowitą likwidację składek ZUS i NFZ dla osób do 25 lat, które zdecydują się na rozpoczęcie własnej działalności gospodarczej. To właśnie w wyniku tych wszystkich propozycji miałoby wyraźnie zostać zmniejszone opodatkowanie pracy. W tym punkcie programu także nie wskazano, skąd KO weźmie pieniądze, żeby zasypać ewentualną dziurę w finansach publicznych i jakie miałyby być źródła finansowania programu.” Dzisiaj sobie zdałem sprawę, dlaczego nigdy w tym kraju nie będzie dobrze. Tesco, mają urny do głosowania na co oddać 1% PIT.
Głodne Dzieci, Uczenie Dzieci Przedsiębiorczości, Niepełnosprawne Dzieci.
Co wygrywa? Głodne kurwa kaszojady, a urna z przedsiębiorczością miała zaledwie 5 żetoników.

Polacy jako naród, to patentowane debile.

#ekonomia #gospodarka #firma #polska #biznes

(ʘ‿ʘ) #wroclaw #heheszki…

(ʘ‿ʘ)

#wroclaw #heheszki #biznes

Pracujesz z dużą ilością…

Pracujesz z dużą ilością serwerów podczas swojej pracy?
Do każdego z nich logujesz się przy pomocy swojego klucza SSH?
A co w przypadku gdy do wielu serwerów dostęp powinno mieć wielu użytkowników?
Czy klucz każdego z nich należy dopisać do pliku ~/.ssh/authorized_keys?
Co w sytuacji gdy użytkownik straci kontrolę nad swoim kluczem prywatnym albo odejdzie z firmy?
Jak zarządzać taką infrastrukturą?
O tym w dzisiejszym odcinku #od0dopentestera

W SSH możemy skonfigurować opcję TrustedUserCAKeys.
Wtedy to serwer nie oczekuje podczas logowania konkretnego klucza.
Sprawdza natomiast czy podany klucz został podpisany przez klucz CA.

Dzięki temu za każdym logowaniem możemy używać nowo wygenerowanego klucza.
Wystarczy tylko aby był on podpisany.
Dodatkowo klucz ten może mieć określony czas działania.
Przez to nawet jeżeli w przyszłości dostanie się w ręce atakującego, będzie bezużyteczny.

Bezpieczeństwo rozwiązania zależy zatem od prywatności klucza CA.
Nie powinien on być więc w posiadaniu wszystkich administratorów.
Tu do gry wchodzi BLESS – Bastion’s Lambda Ephemeral SSH Service.

Jest to specjalna funkcja AWS Lambda, która służy do generowania tymczasowych kluczy dostępu do naszych serwerów.
Wspiera ona AWS IAM Policy, dzięki czemu możemy ustalić kto ma do niej dostęp.
Teraz, przed zalogowaniem się poprzez SSH używamy klienta w Pythonie, który wywołuje tą funkcję z podanymi przez nas parametrami.
Ona to sprawdza czy należymy do odpowiedniej grupy i jeżeli wszystko się zgadza zwraca podpisany klucz.

Plusy rozwiązania?
Tylko główny administrator posiada dostęp do pliku z kluczem CA.
Wygenerowane klucze są tymczasowe więc ich kradzież nic nie daje.
Jeżeli pracownik odchodzi z firmy wystarczy usunąć go z jednej grupy.
W przypadku pojawienia się nowego serwera – dopisujemy tylko jedną linijkę w konfiguracji.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #biznes #security #webdev #programista15k

Witam :) Dziś w moim…

Witam 🙂 Dziś w moim #dziennikpracy nadszedł czas na podsumowanie miesięcznych zarobków za czerwiec 2019r.:

1) Clixsense – 20,96 $ – około 79,53 zł (całość zebrana w czerwcu, w tym 4,16 $ za poleconych)

mój link do rejestracji (reflink): https://www.clixsense.com/?14059270
link czysty: https://www.clixsense.com/

2) Opinie.pl – 50 zł (część punktów zebrana w kwietniu oraz maju, około 30% punktów za poleconych)

mój link do rejestracji (reflink): http://rejestracja.opinie.pl/zapros.htm?u=76574739
link czysty: https://opinie.pl/

3) Klub Kantar – 30 zł (doładowanie telefonu, bez udziału poleconych)

link czysty (brak reflinka): https://www.klubkantar.pl/

4) Life Points – 60 zł (część punktów zebrana w maju, bez udziału poleconych)

link czysty (brak reflinka): https://www.lifepointspanel.com/

5) Reaktor Opinii – 50 zł (moja pierwsza wypłata od stycznia, około 40% punktów za poleconych)

mój link do rejestracji (reflink): https://reaktoropinii.pl/ref/6kpcb
link czysty: https://reaktoropinii.pl/

6) Udział w panelu badawczym otrzymanym z ankiety Clixsense – 35 Euro – około 144,78 zł

7) Społeczność H&M – 4,25 Euro – około 18,11 zł

Razem: około 432,42 zł (całość podpisana jako „około” ze względu na wahania kursu walutowego)

W zestawieniu ujęłam tylko panele ankietowe, z których udało mi się uzyskać minimum do wypłaty (nawet jeżeli ta wypłata nie została jeszcze przeze mnie zlecona).

Jestem bardzo zadowolona z czerwcowego wyniku, ponieważ mimo zmniejszonej aktywności udało się pobić mój miesięczny rekord (co prawda w dużej mierze dzięki uczestnictwie w panelu badawczym, ale gdyby nie ankiety, nie byłoby to możliwe).

Pozdrawiam, Marta

#dziennikpracy #zarabianie #zarobki #zarabianiewinternecie #pieniadze #biznes #internet #praca #ankiety #pracazdalna #zarobek #paypal #pracbaza

Hej, jest sobota a więc pora…

Hej, jest sobota a więc pora na kolejny odcinek od #matheo780 ( ͡° ͜ʖ ͡°) W tym tygodniu przygotowałem dla Was historię oraz ciekawostki na temat marki Bergmann, która to od ponad 120 lat produkuje w niemieckim miasteczku Goldenstedt maszyny rolnicze, w tym rozrzutniki obornika haha, klasy premium.(⌐ ͡■ ͜ʖ ͡■)

Dajcie znać jak wam się podoba 🙂

#motoryzacja #rolnictwo #traktorboners #technologia #firma #biznes

#olx #heheszki #bekazolx…

#olx #heheszki #bekazolx #p0lak #januszebiznesu #biznes #zadarmo

◢ #unknownews ◣ Czas na…

◢ #unknownews ◣

Czas na kolejną porcję linków z branży IT wyłowionych z Internetu 🙂

1) NAPRAWDĘ źle zaprojektowany interfejs użytkownika – spróbuj wypełnić ankietę tak szybko jak to możliwe
https://userinyerface.com
INFO: ta strona to oczywiście tylko żart, ale zobacz jak bardzo utrudnia życie źle (niestandardowo) zaprojektowana interakcja z użytkownikiem

2) Dlaczego NIE powinieneś chodzić do kasyna, a już na pewno NIE powinieneś grać w ruletkę? (dowody w postaci kodów źródłowych online)
https://easylang.online/apps/tutorial_mcarlo.html
INFO: uruchom każdy z przykładów, a zrozumiesz jak działa prawo wielkich liczb. Warto sprawdzić jeszcze przykład z Lotto – jest mało optymistyczny

3) Koszty użycia JavaScriptu w 2019 roku – pomyśl zanim użyjesz
https://v8.dev/blog/cost-of-javascript-2019
INFO: interesująca prezentacja wyjaśniająca o co chodzi z tymi kosztami. Wydajność stron, czas ładowania, różnice między przeglądarkami i urządzeniami…

4) Planujesz stworzyć kurs na platformie Udemy? w jakim języku go stworzyć?
https://www.michalgellert.pl/blog/kurs-na-udemy-po-polsku-czy-po-angielsku/
INFO: bardzo dobra analiza rynku. Sam fakt, że osób mówiących po angielsku jest więcej niekoniecznie przełoży się na zarobki.

5) Pobierz darmowego ebooka zawierającego listę 150 narzędzi użytecznych do marketingu internetowego
https://brand24.pl/e-book-marketing-full-stack-starter-pack/
INFO: ebook jest autorstwa ludzi z firmy Brand24 i ma 48 stron. Musisz mieć konto na Facebooku aby go pobrać.

6) A gdyby tak przerzucić się w 100% na terminalowe aplikacje? w 2019 roku!
https://www.linuxjournal.com/content/without-gui-how-live-entirely-terminal
INFO: spis narzędzi jakimi można się posługiwać – do maila, muzyki, stron WWW itp

7) Jak wymawiać nazwy elementów ze środowiska unixowego – dyskusja
https://lobste.rs/s/eyhoev/fun_saturday_survey_unix_pronunciation
INFO: /etc/ to ‚i-ti-ci’, ‚e-te-ce’, ‚it-sii’, ‚etcetera’, ‚its’ czy jeszcze coś innego? pomysłów jest wiele

8) Generator polityki cookies dla Twojego serwisu
https://cookiechill.com/
INFO: podajesz adres strony, a automat bada jakich ciastek używasz i w jakim celu i pisze za Ciebie niezbędne oświadczenie odnośnie tego, jak Twój serwis korzysta z ciastek

9) Przeanalizuj swój startup/firmę pod względem staranności planowania pracy nad aplikacją
https://pointninecap.typeform.com/to/WaWXfc
INFO: musisz wypełnić ankietę, która zajmie Ci około 10 minut i na podstawie odpowiedzi dowiesz się, co jest źle zaplanowane w Twojej firmie

10) Canvas TXT – biblioteka do tworzenia tekstów na cavasie w JS
https://github.com/geongeorge/Canvas-Txt
INFO: ekstremalnie prosta w użyciu. Podajesz tekst, fonta, pozycję i gotowe. Przyda Ci się przy tworzeniu np. generatora memów 😉

11) „Profesjonalna” firma deszyfrująca dyski twarde po atakach ransomware została złapana na oszustwie
https://www.propublica.org/article/sting-catches-another-ransomware-firm-red-mosquito-negotiating-with-hackers
INFO: firma nie dysponuje żadną technologią deszyfrowania dysków. Po prostu negocjuje ceny hurtowe za deszyfrowanie z hackerami i narzuca marżę na usługę

12) Przeglądarka internetowa dla webdesignerów i webmasterów – podglądaj swoją stronę jednocześnie na dziesiątkach systemów/urządzeń
https://sizzy.co/
INFO: przeglądarka jest płatna (abonament $5/msc), ale możliwości testowania ma niesamowite. Koniecznie zobacz animacje jak steruje się 13 urządzeniami jednocześnie 😮

13) Jak w 5 minut stworzyć monitor usług HTTP z użyciem Google Cloud Function
https://medium.com/bluekiri/create-a-multiregional-http-monitor-in-less-than-five-minutes-with-google-cloud-function-8fbb5552f6e3
INFO: docelowo stworzony mechanizm monitoruje działanie serwisów WWW z wielu lokalizacji naraz

14) Lista 15 artykułów, które powinieneś przeczytać zanim stworzysz stronę we frameworku Django (Python)
https://dev.to/anuragrana/15-articles-you-must-read-if-you-are-building-a-website-in-python-django-pp2
INFO: użyteczny zbiór podstawowych tekstów dla początkujących. Od czego zacząć? gdzie się hostować? jak zaimplementować niektóre elementy (np. captcha)

15) Żegnaj programowanie obiektowe! – czyli wywód o ciemnych stronach OOP
https://medium.com/@cscalfani/goodbye-object-oriented-programming-a59cda4c0e53

16) Git rozróżnia wielkość liter w nazwach plików, a Twój filesystem (dotyczy Win/Mac) nie za bardzo…
https://www.hanselman.com/blog/GitIsCasesensitiveAndYourFilesystemMayNotBeWeirdFolderMergingOnWindows.aspx
INFO: Opis problemów jakie może to zrodzić i wyjaśnienie, jak sobie można z tym poradzić

17) Budowanie obrazów dockera z użyciem CircleCI, zaciągając kod z prywatnego repo GitHuba
https://blog.lelonek.me/private-dependencies-from-github-in-your-docker-container-92e3b8cbf677
INFO: tytuł brzmi skomplikowanie, ale być może takie rozwiązanie będzie Ci potrzebne w pracy

18) Już 9 lipca odbędzie się darmowy webinar wyjaśniający, jakie umiejętności należy zdobyć, aby wkręcić się w świat cybersecurity
https://www.facebook.com/134380809978892/posts/2288030567947228
INFO: webinar będzie powtarzany dwa razy – o 11:00 oraz o 21:00. Musisz się zapisać na jeden z terminów

19) Terminalowy odtwarzacz muzyki z Youtube
https://github.com/TimeTraveller-San/yTermPlayer
INFO: zdarza Ci się puszczać muzykę z YouTube? już nie musisz trzymać otwartej zakładki. Podajesz playlistę do odtworzenia i gotowe

20) URLPages – projekt umożliwiający trzymanie zawartości całej strony WWW w adresie URL
https://github.com/jstrieb/urlpages
INFO: dane trzymane są w postaci skompresowanej, a następnie encodowanej w base64

21) Lazy Docker – interface do łatwiejszego zarządzania kontenerami dockera w systemie
https://github.com/jesseduffield/lazydocker
INFO: nakładka (pisana w GO) umożliwia zarządzanie kontenerami, obrazami, a nawet procesami docker-compose

22) Jak wykonać backup książek z kindla, w tym tych zabezpieczonych DRMem? Poradnik.
https://www.sonyaellenmann.com/2018/09/back-up-kindle-files-mac.html
INFO: instrukcja używa aplikacji Calibre i pluginu DeDRM

23) Gdybyś potrzebował nowej, ulepszonej wersji ZIP-bomby, to taka właśnie powstała (pentesterzy wiedzą co z tym zrobić)
https://www.bamsoftware.com/hacks/zipbomb/
INFO: najnowsza wersja to 46MB plik ZIP, który dekompresuje się do 4,5 petabajta (tak… PETA)

24) Jony Ive opuszcza firmę Apple – jak to wpłynie na firmę?
https://www.wsj.com/articles/jony-ive-is-departing-apple-but-he-started-leaving-years-ago-11561943376?mod=rsswn
INFO: to człowiek, który był odpowiedzialny za wygląd urządzeń produkowanych przez Apple

25) Używasz Instagrama? Możesz dodać konto Twórcy tego zestawienia do obserwowanych
https://instagram.com/uwteam_org/
INFO: publikuję głównie InstaStories. Na wallu pustki. Przede wszystkim tematyka: technologia, biznes, nauka, seurity

26) Jeśli zabierasz swojego Macbooka na koło podbiegunowe, to wyłącz w nim funkcję NightShift
https://twitter.com/AustinJ/status/1144655793612107778
INFO: funkcja ta zmienia temperaturę kolorów na wyswietlaczu laptopa w zgodzie ze wschodami i zachodami słońca… no chyba, że słońce nie zachodzi 😉

27) Czy kiedykolwiek podczas instalacji programu na Windows 95 nerwowo machałeś myszką? Miałeś ku temu powód! to przyspieszało system.
https://retrocomputing.stackexchange.com/questions/11533/why-did-moving-the-mouse-cursor-cause-windows-95-to-run-more-quickly
INFO: ciekawe wyjaśnienie tego zjawiska – dlaczego ruchy myszki wpływały (pozytywnie) na szybkość działania systemu?

28) Ściąga dla ludzi pracujących z Kubernetes
https://medium.com/faun/kubectl-commands-cheatsheet-43ce8f13adfb
INFO: bogata lista komend użytecznych w codziennej pracy

29) Dlaczego niektóre strony internetowe mają rozdzielone logowanie na dwie oddzielne podstrony?
https://www.twilio.com/blog/why-username-and-password-on-two-different-pages
INFO: chodzi o pytanie o login -> klik ‚dalej’ -> pytanie o hasło. Okazuje się, że ma to zalety pod względem użyteczności jak i security [zobacz załączone linki do dyskusji]

30) Generator palety kolorów na podstawie obrazka – wersja online
https://colorkitty.com/
INFO: wrzucasz na stronę zdjęcie i w odpowiedzi otrzymujesz paletę pięciu dominujących kolorów (upload via URL u mnie nie działa)

31) PublicDomainFlix – czyli Netflix filmami na licencji ‚Public Domain’ (najczęściej wygasły do nich prawa autorskie)
http://publicdomainflix.com
INFO: większość produkcji jest bardzo stara (trafiają się nawet lata 20′), ale może ktoś lubi takie właśnie kino?

32) Youtube zdecydowało się na blokowanie filmów i kanałów uczących jak obchodzić zabezpieczenia
https://boingboing.net/2019/07/03/nobus-r-us.html
INFO: youtuberzy zajmujący się zawodowo tematyką security mają teraz niemały kłopot.

33) Plugin do WordPressa do tworzenia stron metodą ‚drag and drop’ – darmowy
https://siteorigin.com
INFO: świetne rozwiązanie dla osób zupełnie nieznających się na programowaniu, a chcących zbudować swoją stronę

== LINKI TYLKO DLA PATRONÓW ==

34) Wybierz NUDNĄ technologię – ciekawe przemyślenia na temat pracy programisty, organizacji tej pracy itp
http://uw7.org/un_5d1f1e771cbb8
INFO: zdecydowanie powinieneś zapoznać się z tą prezentacją jeśli tworzysz nie tylko oprogramowanie, ale też projektujesz środowiska (cały stack)

35) Zaimplementuj podstawowy skrypt do machine learningu w JavaScript [film: 17 minut]
http://uw7.org/un_5d1f1e7cf194b
INFO: genialne wyjaśnienie całego procesu i minimalna ilość kodu. Zdecydowanie warto zobaczyć!

36) Lista książek dla tych, którzy chcą wystartować z własnym startupem/firmą
http://uw7.org/un_5d1f1e84b683e
INFO: lista jest systematycznie uzupełniana o nowe pozycje. Obecnie na liście jest ponad 80 pozycji.

37) Deploy aplikacji w chmurze jednym kliknięciem
http://uw7.org/un_5d1f1e89da3e7
INFO: podajesz nazwę aplikacji i wybierasz z listy odpowiedni instalator (patrz na tagi, które oznaczają o jakiej chmurze mowa!)

38) Zbudujmy aplikację na iOS w języku Swift – seria (obecnie 17) filmów z tutorialami (zapisy live)
http://uw7.org/un_5d1f1e8fca3f6
INFO: Świetnie przygotowane, długie (1-2h na odcinek) i wyczerpujące pod względem treści odcinki [po otwarciu strony, z prawej na dole masz listę pozostałych filmów]

==
Chcesz aby Twój link pojawił się tutaj?
Po prostu mi go zgłoś. To zupełnie NIC nie kosztuje – dodaję jednak tylko to, co mi przypadnie do gustu.
https://bit.ly/unDodaj

Podobało się? To zaplusuj, albo lepiej zostań moim patronem!

************

[Obserwuj mnie na FB] – [Chcesz być wołany?] – [Zostań patronem] – [Wersja RSS] – [Subskrybuj przez email] – [Grupa na Telegramie]

adekwatne tagi:
#programowanie #technologia #python #javascript #kindle #biznes #webdesign #wordpress #internet #startup #windows #facebook #django #google #docker #ciekawostki

#szkolastandard Gość zarobił…

#szkolastandard

Gość zarobił milion dolarów sprzedając… piksele

Jednak to nie koniec – później stworzył aplikację, którą dzisiaj wycenia się na ok. 250 milionów dolarów. Poznajcie historię Aleksa Tew, który z dnia na dzień został milionerem, ale nie spoczął na laurach. Zapraszam do lektury.

Link do artykułu.
Link do znaleziska (zachęcam do wykopywania).

#biznes #ekonomia #ciekawostki #swiat #finanse #pieniadze #technologia

Mirki wędkarze, za jakiś czas…

Mirki wędkarze, za jakiś czas startuje ze sklepem wędkarskim, wszystko mam praktycznie już gotowe, ale co najważniejsze, to kompletnie nie wiem jak ten sklep nazwać ¯(ツ)/¯, nazwa sklepu musi być w języku polskim, coś związane z wedkarstwem, może być zdrobnienie, synonim cokolwiek. Nazwa będzie na sklepie stacjonarnym oraz w domenie internetowej, więc dobrze żeby nazwa była krótka i łatwa do zapamiętania.

Oferuje kompot + rabat 10% dożywotnio za pomoc. Pozdrawiam brać wędkarską.

#wedkarstwo #biznes #jaktoogarnac #niewiemjaktootagowac

Czy moje hasło jest…

Czy moje hasło jest bezpieczne? #od0dopentestera
A może znalazło się w jakimś wycieku danych?
Jak mogę to sprawdzić?

Pierwsza możliwość to samodzielne odnalezienie linków do baz zawierających dane z wycieków.
Następnie należy je wypakować, odpowiednio przetworzyć i spróbować odnaleźć w nich swoje hasła.
Ale nie każdy posiada odpowiednie zdolności techniczne.

Wiemy, że podawanie naszych haseł na zewnętrznych serwisach nie jest najlepszym pomysłem.
W celu zachowania bezpieczeństwa będziemy wiec korzystać z funkcji haszującej, która z dowolnego ciągu znaków tworzy inny ciąg o stałej długości.
Operacja ta jest nieodwracalna – to znaczy, ze stworzonego w taki sposób hasza nie da się otrzymać pierwotnej wartości (pomijając ataki siłowe).

Tak wygenerowany hash sha1 możemy sprawdzać w różnych bazach online.
Minusy? Nigdy nie mamy pewności jakie zamiary ma osoba udostępniająca tego rodzaju usługi.
Jeżeli hasło istnieje w bazie w postaci hasha – twórca witryny może je również posiadać w zwykłej postaci bez żadnego hashowania.
Znając naszą tożsamość może wykorzystać tą wiedzę do targetowanych ataków.

Dochodzimy więc do paradoksu.
Z jednej strony aby sprawdzić hasło musimy je jakoś przekazać do serwisu.
Z drugiej jednak strony ta czynność w odpowiednich warunkach może doprowadzić do jego wycieku.

Jak sprawę rozwiązał serwis have i been pwned?
Wykorzystując k-anonymity.

Załóżmy, że jesteśmy firmą produkującą innowacyjne leki.
Chcielibyśmy podzielić się wynikami badań w magazynach branżowych.
Nie możemy jednak podawać danych osobowych pacjentów.
Musimy je jakoś zanonimizować – czyli usunąć informacje, na podstawie których można by było zidentyfikować konkretną osobę.

Pierwszy sposób polega na ukrywaniu pewnych danych.
Wystarczy imię i nazwisko zamienić na gwiazdkę.
Drugi sposób to uogólnienie.
Zamiast podawać konkretny wiek danej osoby – podajemy zakres, a miasto zamieniamy na województwo.

Ale jak to się ma do bezpieczeństwa haseł?
Serwis lokalnie, na naszym komputerze wylicza hash sha1 a następnie pobiera z niego pierwsze 5 znaków.
Te 5 znaków wysyłane jest do serwera API, który to zwraca wszystkie rekordy, zaczynające się od tych wartości.
Przeglądarka ponownie lokalnie porównuje każdy z tych wyników z wyliczonym wcześniej hashem i jeżeli odnajdzie pasujący rekord – wie że dane hasło wyciekło.

Dzięki temu całe nasze hasło nigdy nie opuszcza naszego komputera w żadnej postaci.
5 znaków to bardzo mało.
Twórca witryny nie jest w stanie na tej podstawie stwierdzić czy nasze hasło znajduje się w bazie a może jest to zupełnie inny ciąg znaków, którego hash po prostu zaczyna się od podanej wartości.

Subskrybuj kanał na YouTube
Transkrypcja
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security

Przypowieść o biznesmenie i…

Przypowieść o biznesmenie i rybaku
{Nie znam autora, tekst od dawna hula po necie, był też ze dwa, trzy lata temu na wykopie, ale może nie wszyscy znają.}

Pewien amerykański biznesmen wybrał się do Meksyku. Będąc w wiosce na wybrzeżu, w małym porcie spotkał rybaka, który wrócił z ładunkiem bardzo dobrej jakości tuńczyka. Amerykanin zagadnął go:
– Ile trwały twoje dzisiejsze połowy?
– Och, niezbyt długo.

– A co robisz z resztą czasu?
– Śpię do późna, spędzam czas z moją żoną i dziećmi, chodzę na spacery, sączę wino i gram na gitarze z moimi amigos. Jestem bardzo zajętym człowiekiem, senior.
– Słuchaj, jestem doświadczonym człowiekiem biznesu i radzę ci, żebyś zaczął łowić więcej ryb.
– Po co mi więcej ryb?
– Po to, żebyś zarabiał więcej pieniędzy.
– A po co mi pieniądze, senior?
– Żebyś mógł kupić większą łódź i łowić jeszcze więcej ryb. A z zysków mógłbyś kupić więcej łodzi i zatrudniać rybaków. Dzięki temu mógłbyś otworzyć przetwórnię ryb, kontrolując zarówno surowiec, jak i produkt, a potem przenieść się do Mexico City, a może nawet do Nowego Jorku. Byłbyś człowiekiem sukcesu!
– Ile czasu by mi to zajęło?
– Jakieś 10 – 15 lat.
– Aha. To dość długo.
– Posłuchaj, wtedy przychodzi najpiękniejszy moment. Sprzedajesz dobrze prosperującą firmę i zarabiasz miliony, miliony dolarów!
– Miliony? A po co?
– Po to, żebyś mógł się wyprowadzić do nadmorskiej wioski, by spać do późna, spokojnie spędzać czas ze swoją żoną i dziećmi, chodzić na spacery, sączyć wino i grać na gitarze ze swoimi amigos…

źródło: internet

#heheszki #biznes #motywacja, trochę też #psychologia oraz #filozofia życia

Wewnątrzwspólnotowe nabycie…

Wewnątrzwspólnotowe nabycie towaru (WNT) a uszczuplanie VAT – jak to działa

Po niedawnym wpisie dotyczącym wprowadzenia obowiązkowego split paymentu w branży elektronicznej otrzymałem kilka pytań dotyczących funkcjonowania schematu, w którym „gubi się” VAT. A skoro tak, to wrzucam dziś opis mechanizmu, na jakim operowali VAT-owcy z branży elektronicznej przed 2015 rokiem i na jakim być może będą znowu operować, jeśli split payment wprowadzony w miejsce odwrotnego obciążenia nie będzie obejmował transakcji w Euro. Zaznaczam, że jest to model uproszczony w wersji demo – na bardziej skomplikowane wersje “z objaśnieniami” nadejdzie czas. ( ͡° ͜ʖ ͡°)
.

Przykładowy schemat uszczupleń VAT-u

Firma Black z Niemiec, kontrolowana przez grupę przestępczą (VAT-owcy) zakłada spółkę-słup White w Polsce. Jest to bardzo prosta operacja: przestępcy kontaktują się z jakąś polską kancelarią i kupują już zarejestrowaną spółkę z o.o. (jest ich na sprzedaż sporo, więc to nie problem). Następnie do Polski przylatuje słup, aby załatwić wszelkie formalności i założyć konto w banku – słupem może być obcokrajowiec, ale bywa niejednokrotnie, że jest to np. Polka od niedawna związana z cudzoziemcem, która nie ma pojęcia o co naprawdę chodzi i myśli, że będzie pomagała ukochanemu rozkręcać legalny biznes w naszym kraju. Oczywiście już po całej operacji słup wyjeżdża za granicę, a kody dostępowe do konta spółki wędrują do organizatorów procederu.

Towar (załóżmy, że były to smartfony) jest następnie wysyłany do magazynu logistycznego w Polsce. Z Niemiec są wysyłane oferty do polskich firm – przestępcy kupują w tym celu bazy danych lub korzystają z już posiadanych. Oficjalnym oferentem jest polska spółka-słup White, która na ogół sprzedaje towar w cenie do 10% netto niższej od cen rynkowych. Taka oferta jest bardzo atrakcyjna – szczególnie w branżach, które operują na kilkuprocentowej marży – więc klienci chętni na zakup szybko się znajdują. W naszym przykładzie będzie to spółka Grey, która pełni rolę bufora (czasem świadomego, a czasem nie). Dochodzi więc do transakcji: towar jest wysyłany za płatnością w momencie odbioru, a dla „stałych klientów” z płatnością terminową na 1-3 dni. Zawsze wysyłka towaru, zawsze płatność przelewem.

Kluczowy moment nr 1: tutaj znika VAT

Firma Grey, która zakupiła towar od słupa White, płaci na jego konto kwotę brutto z VAT-em. Oczywiście żadne pieniądze nie wpływają przy tej okazji do skarbówki – cały VAT zapłacony przez bufora Grey zgarniany jest przez przestępców i transferowany poza granicę Polski. A co na to KAS…? Jeszcze w erze powszechnych kwartalnych deklaracji VAT taka spółka-słup mogła sobie spokojnie funkcjonować przez +- 5 miesięcy, zanim urząd skarbowy się zorientował, że coś jest nie tak. Dziś, w dobie JPK_VAT, jest to nieco trudniejsze, ale wciąż możliwe – zwłaszcza, że wystarczy kupić (lub prowadzić) spółkę działającą dłużej niż 1 rok, aby rozliczać się z VAT-u kwartalnie (występuje tam jednak ograniczenie w postaci limitu obrotów w wysokości 1,2 miliona Euro rocznie).

Kolejny etap to sprzedaż towaru przez spółkę Grey do dużej firmy – nazwijmy ją Brown (może to być spółka giełdowa, sieć marketów wielkopowierzchniowych itp.). Spółka Brown nabywa smartfony płacąc kwotę brutto spółce Grey, po czym sprzedaje je za granicę w ramach WDT. Ok, a dlaczego Brown w ogóle kupuje ten towar…? Cóż, czasami odbywa się to na zasadzie najzwyklejszej transakcji handlowej, a czasami występują tam dodatkowe okoliczności – szerzej będę to opisywał w książce wraz z innymi schematami.

Kluczowy moment nr 2: tutaj spółka Brown dokonująca WDT odlicza sobie VAT

Jak pamiętamy, spółka-słup White przywłaszczyła sobie VAT wpłacony przez spółkę Grey i już w tamtym momencie budżet nie odnotował wpływu. W przypadku dalszego eksportu poza granicę Polski spółka Brown ma jednak prawo odliczyć sobie VAT w związku z zakupem towaru od spółki Grey – i tutaj budżet państwa naprawdę traci, bo przecież tego VAT-u nigdy na jego konto nie wpłacono! I były to straty w ogromnej skali… Co ważne, w tym schemacie nie było mowy o zwrotach, które oznaczały na ogół problemy ze skarbówką (kontrole itp.) – bardzo pilnowano więc tego, aby bilans VAT oscylował w okolicach zera. Taka sytuacja pozwalała nie rzucać się w oczy aparatowi skarbowemu skupiającego się w dużej mierze na klasycznych „odwracaczach uwagi”, czyli pomniejszych przestępcach, którym wydawało się, że wystarczy przedstawić fałszywe faktury i na ich podstawie wyłudzić zwrot podatku (co nie było wcale łatwe i zwykle wymagało posiadania odpowiednich układów w skarbówce).
.

Jak to funkcjonowało w praktyce – przykład

Weźmy pewną firmę TOP, która kilka lat temu dokonywała importu lub WNT na kwotę 3 miliardów PLN i sprzedawała towar w Polsce (klasyczny dystrybutor jakiegoś produktu na Polskę). Firma ta była zobowiązana do płacenia VAT-u w wysokości ponad 300 milionów PLN rocznie – i podatek ten grzecznie płaciła. Dlaczego 300 milionów, a nie 23% od 3 miliardów…? Ponieważ część towaru szła już wtedy za granicę = odliczenie. W miarę rozwoju nowego systemu wyłudzeń TOP zaczęła jednak kupować coraz więcej smartfonów w kraju i sprzedawać je na przedpłaty podmiotom zagranicznym. Generowała w ten sposób popyt obsługiwany przez firmy – słupy w Polsce. Finał tej operacji był docelowo taki, że po osiągnięciu limitu zakupów krajowych w relacji do wielkości sprzedaży krajowej, TOP miała obrót 6 miliardów PLN rocznie i deklarację VAT na poziomie 0 (słownie: zero) PLN. No i w konsekwencji przestawała płacić te 300 milionów PLN VAT-u od sprzedaży krajowej importowanego towaru, które przed wejściem w taki schemat przelewała na konto skarbówki – umożliwiało to odliczenie VAT-u zapłaconego za zakupy smartfonów w kraju, a do tego nie trzeba było szukać użytkowników końcowych na naszym rynku. Ok, a smartfony…? Jeździły sobie po Europie służąc za koło zamachowe – niejednokrotnie bywało, że taki smartfon mógł odwiedzić Polskę nawet 8 razy, choć w tej konkretnej firmie TOP pojawiał się tylko raz.
.

Jaka była skala podobnych zjawisk?

Nie chciałbym tutaj spekulować, ale bardzo wiele wskazuje na to, że to w tego typu transakcjach można upatrywać jedną z głównych przyczyn tak dużej luki VAT w Polsce (przynajmniej jeśli chodzi o ostatnie kilka lat). Nie tyle nieuprawnione zwroty, a właśnie uszczuplenia VAT-u w różnych wariantach – ciekawych konfiguracji było bowiem więcej. W każdym razie system ten był (czy też raczej jest) prosty i skuteczny, a w praktyce także zapewniający bezkarność głównym beneficjentom. Schemat układano bowiem tak, że prezesa-słupa bardzo często nie było w ogóle w Polsce, do dużych firm eksportujących towar za granicę skarbówka nie bardzo mogła się dobrać, więc kto dostawał po d*pie…? Spółka Grey z naszego przykładu, czyli ta, która dokonała zakupu od znikającego podatnika wprowadzającego towar na polski rynek. I taką spółkę można było w wielu przypadkach naliczyć pod pozorem „niedochowania należytej staranności”, niejednokrotnie doprowadzając ją na skraj bankructwa. Rzecz jasna bywało i tak, że Grey też był słupem kontrolowanym przez VAT-owców i nie było czego konfiskować, ale to są już tematy na dłuższą opowieść. ( ͡° ͜ʖ ͡°) #vatowcy #bialekolnierzyki #podatki #prawo #pieniadze #biznes #polska

Hej! Początek nowego mięsiąca…

Hej! Początek nowego mięsiąca i kolejny nowy raport( ͡° ͜ʖ ͡°)

Tytuł odcinka: Cel nr. 1 – zrealizowany

Zanim przeczytasz

Przedstawione w tym artykule dane, są prawdziwe i stanowią dziennik mojego rozwoju w dziedzinie tradingu – zacząłem 2 lutego 2019 roku jako nowicjusz, każdy miesiąc uczy mnie czegoś nowego, co staram się przekazać w niniejszym raporcie.

Podsumowanie konta w PDF: https://docdro.id/wyc61a3

Bez zbędnego przedłużania:

Kwota startowa konta [01.02.2019]: 1500 zł
Saldo 01.06.2019: 1413,11 zł
Saldo 30.06.2019: 1509,73 zł
Zysk: 96,62 zł
Procentowy zysk [w stosunku do kwoty startowej]: 0,65%
Procentowy zysk [w stosunku do Salda z 01.06.2019]: 6,84%
Współczynnik tradów zyskownych do stratnych: 7/4

Opis:

Udało mi się zrealizować mój cel, którym był powrót na nogi ze straty której dokonałem na samym początku swojej drogi w lutym, tradując miedź. 1500 zł delikatnie przebite, lecimy dalej.

W tym miesiącu mam najgorszy jak dotąd współczynnik tradów zyskownych do stratnych (7/4), to nie przypadek, starałem się być bardziej ostrożny i krytyczny, ponad to pomimo tak wielu, stosunkowo porażek jestem na plusie, powód jest prosty – wreszcie zacząłem realizować prawidłową strategię stop-lossów, przy każdym tradzie ustawiam stop loss o wartości 2-2,5% wartości całego konta.

Dużo daje mi dziennik i planowanie tradów każdej niedzieli, nie traduje praktycznie niczego, czego nie określę podczas weekendu jako warto inwestycji.

Plany:

– Dalsze prowadzenie dziennika tradów.
– dalsze ograniczanie i eliminacja emocji w tradowaniu,
– utrzymanie się powyżej poziomu 1500zł, docelowo do 2000zł czym prędzej,
– dalsze stopniowe zwiększanie ilości inwestowanej kwoty per trade, docelowo do 80-90% wartości konta.

Uwagi:

Tymczasowo brak.

Zapraszam do komentowania, konstruktywnej krytyki i dzielenia się doświadczeniami i zdaniem

#gimpsontraduje #gielda #zainteresowania #pieniadze #forex #inwestowanie #polska #biznes

To jest 24 zestawienie, czyli…

To jest 24 zestawienie, czyli #lejektresci ma już pół roku ᕙ(⇀‸↼‶)ᕗ

1) 28 sposobów na wzrost w platformie wielostronnej
Świetny artykuł napisany przez osobę odpowiedzialną za rozwój AirBnb. Podane konkretne pomysły wraz z ich kosztem i wpływem na rozwój firmy. W artykule jest sporo wartościowych linków do dalszej lektury.
https://lenny.substack.com/p/28-ways-to-grow-supply-in-a-marketplace/

2) Weryfikacja pomysłu biznesowego
Prosta ankieta pomagająca zweryfikować pomysł i zebrać myśli na wczesnym etapie rozwoju biznesu.
https://www.defmacro.org/2019/03/26/startup-checklist.html

3) Analizy UX
Opisy dobrze zaprojektowanych aplikacji, stron i kampanii marketingowych. Na konkretnych przykładach możemy zobaczyć w jaki sposób zwiększyć konwersję. Przytoczone przykłady efektów psychologicznych, jakie są wykorzystywane.
https://growth.design/blog/

5) Droga Toyoty
14 zasad składających się na filozofię giganta motoryzacyjnego. Długoterminowa perspektywa, unikanie marnotrastwa. Każdy pracownik może wstrzymać produkcję, jeśli zauważy problem z jakością. Skupienie się na procedurach i procesach. Porządek w miejscu pracy.
https://en.wikipedia.org/wiki/The_Toyota_Way

6) 6 strategii marketingowych B2B
Relacje live, Reddit i Quora, newslettery, content marketing, zasoby do pobrania, ekskluzywne społeczności i grupy na FB.
https://komarketing.com/blog/6-b2b-digital-marketing-strategies-marketers-need-to-try-in-2019/

9) Instagrammerka z 2 milionami obserwujących nie mogła sprzedać 36 t-shirtów
https://www.businessinsider.com/instagrammer-arii-2-million-followers-cannot-sell-36-t-shirts-2019-5

Brakujące 3 linki dostępne na grupie FB.

***
Jak śledzić kolejne zestawienia?
Facebook *** Mirkolista *** RSS *** albo tag – #lejektresci

#biznes #marketing #marketinginternetowy #startup #socialmedia