Jakub 'unknow' Mrugalski
@mrugalski.bsky.social
🤖 Piszę o technologii, AI, automatyzacji, cybersecurity i biznesie.
🛠 Dzielę się użytecznymi narzędziami i case-study
📩 Co piątek wysyłam newsletter technologiczny
🛠 Dzielę się użytecznymi narzędziami i case-study
📩 Co piątek wysyłam newsletter technologiczny
Weryfikacja podpisu jest dość łatwa. Wrzuca się PDF-a do weryfikatora i gotowe.
Weryfikacja była chyba projektowana przez techno-geeków, bo osoba spoza branży IT niewiele z tego zrozumie poza "podpis jest poprawny". Tam wyświetla się pełen dump certyfikatu :)
Weryfikacja była chyba projektowana przez techno-geeków, bo osoba spoza branży IT niewiele z tego zrozumie poza "podpis jest poprawny". Tam wyświetla się pełen dump certyfikatu :)
November 19, 2025 at 8:17 AM
Weryfikacja podpisu jest dość łatwa. Wrzuca się PDF-a do weryfikatora i gotowe.
Weryfikacja była chyba projektowana przez techno-geeków, bo osoba spoza branży IT niewiele z tego zrozumie poza "podpis jest poprawny". Tam wyświetla się pełen dump certyfikatu :)
Weryfikacja była chyba projektowana przez techno-geeków, bo osoba spoza branży IT niewiele z tego zrozumie poza "podpis jest poprawny". Tam wyświetla się pełen dump certyfikatu :)
Dzięki takiemu oznaczeniu, na pierwszy rzut oka wiedziałem, który PDF został już podpisany i kiedy, a taki podpis mogłem zweryfikować online.
Dokument z podpisem kwalifikowanym nie różni się WIZUALNIE od niepodpisanego. Powątpiewałem więc, czy 'to się naprawdę podpisało?!'
Dokument z podpisem kwalifikowanym nie różni się WIZUALNIE od niepodpisanego. Powątpiewałem więc, czy 'to się naprawdę podpisało?!'
November 19, 2025 at 8:17 AM
Dzięki takiemu oznaczeniu, na pierwszy rzut oka wiedziałem, który PDF został już podpisany i kiedy, a taki podpis mogłem zweryfikować online.
Dokument z podpisem kwalifikowanym nie różni się WIZUALNIE od niepodpisanego. Powątpiewałem więc, czy 'to się naprawdę podpisało?!'
Dokument z podpisem kwalifikowanym nie różni się WIZUALNIE od niepodpisanego. Powątpiewałem więc, czy 'to się naprawdę podpisało?!'
Do tej pory podpisywałem dokumenty podpisem z profilu zaufanego (o ile druga strona umowy akceptowała taki podpis - większość nie akceptuje) i tam fajne było to, że podpisany dokument miał na pierwszej stronie "badga" świadczącego o podpisie.
November 19, 2025 at 8:17 AM
Do tej pory podpisywałem dokumenty podpisem z profilu zaufanego (o ile druga strona umowy akceptowała taki podpis - większość nie akceptuje) i tam fajne było to, że podpisany dokument miał na pierwszej stronie "badga" świadczącego o podpisie.
System limituje Cię do złożenia maksymalnie 5 takich podpisów miesięcznie, a licznik jest współdzielony między wszystkich dostawców usługi - metoda 'zmienię dostawcę' nie przejdzie.
November 19, 2025 at 8:17 AM
System limituje Cię do złożenia maksymalnie 5 takich podpisów miesięcznie, a licznik jest współdzielony między wszystkich dostawców usługi - metoda 'zmienię dostawcę' nie przejdzie.
Jeśli prowadzisz jednoosobową działalność gospodarczą (JDG), to nie widzę tutaj problemu z posłużeniem się PESEL-em. Przy spółkach, fundacjach, spółdzielniach, stowarzyszeniach itp. taki podpis nie przejdzie.
November 19, 2025 at 8:17 AM
Jeśli prowadzisz jednoosobową działalność gospodarczą (JDG), to nie widzę tutaj problemu z posłużeniem się PESEL-em. Przy spółkach, fundacjach, spółdzielniach, stowarzyszeniach itp. taki podpis nie przejdzie.
Sporo osób w necie pyta, o co chodzi z tym "użytkiem do celów prywatnych". Krótko mówiąc, oni tego nie sprawdzają. Podpisujesz to, co chcesz, aleee...
Twój podpis zawiera PESEL i Twoje dane, a nie NIP i dane firmy. Podpisujesz się więc jako osoba fizyczna, a nie jako firma.
Twój podpis zawiera PESEL i Twoje dane, a nie NIP i dane firmy. Podpisujesz się więc jako osoba fizyczna, a nie jako firma.
November 19, 2025 at 8:17 AM
Sporo osób w necie pyta, o co chodzi z tym "użytkiem do celów prywatnych". Krótko mówiąc, oni tego nie sprawdzają. Podpisujesz to, co chcesz, aleee...
Twój podpis zawiera PESEL i Twoje dane, a nie NIP i dane firmy. Podpisujesz się więc jako osoba fizyczna, a nie jako firma.
Twój podpis zawiera PESEL i Twoje dane, a nie NIP i dane firmy. Podpisujesz się więc jako osoba fizyczna, a nie jako firma.
Warstwy weryfikacji tożsamości są trzy:
1) Weryfikujesz fizyczny dowód dotykając nim smartfona
2) Przepisujesz numer CAN e-dowodu
3) Zatwierdzasz w mObywatelu, że Ty to naprawdę Ty
1) Weryfikujesz fizyczny dowód dotykając nim smartfona
2) Przepisujesz numer CAN e-dowodu
3) Zatwierdzasz w mObywatelu, że Ty to naprawdę Ty
November 19, 2025 at 8:17 AM
Warstwy weryfikacji tożsamości są trzy:
1) Weryfikujesz fizyczny dowód dotykając nim smartfona
2) Przepisujesz numer CAN e-dowodu
3) Zatwierdzasz w mObywatelu, że Ty to naprawdę Ty
1) Weryfikujesz fizyczny dowód dotykając nim smartfona
2) Przepisujesz numer CAN e-dowodu
3) Zatwierdzasz w mObywatelu, że Ty to naprawdę Ty
Podpisywać można pliki PDF ważące do 5MB, co czasami może być problemem. Ja akurat umowy generuję na podstawie tekstu ('drukuj do PDF'), więc wychodzą pliki po kilkaset KB, ale jak ktoś podrzuci Ci 20-stronicowy skan fizycznej umowy zapisany w PDF, to tego nie podpiszesz.
November 19, 2025 at 8:17 AM
Podpisywać można pliki PDF ważące do 5MB, co czasami może być problemem. Ja akurat umowy generuję na podstawie tekstu ('drukuj do PDF'), więc wychodzą pliki po kilkaset KB, ale jak ktoś podrzuci Ci 20-stronicowy skan fizycznej umowy zapisany w PDF, to tego nie podpiszesz.
Co ciekawe, procedura złożenia podpisu wymaga posiadania (fizycznie, przy sobie) dowodu osobistego z tzw. "warstwą elektroniczną", czyli wykorzystywana jest technologia NFC (co implikuje konieczność posiadania smartfona z obsługą NFC, ale teraz ma to chyba każdy?).
November 19, 2025 at 8:17 AM
Co ciekawe, procedura złożenia podpisu wymaga posiadania (fizycznie, przy sobie) dowodu osobistego z tzw. "warstwą elektroniczną", czyli wykorzystywana jest technologia NFC (co implikuje konieczność posiadania smartfona z obsługą NFC, ale teraz ma to chyba każdy?).
Chcąc podpisać dokument, wybiera się firmę, której podpisu chcę się użyć.
Z listy partnerów znałem dwie firmy, więc wziąłem jedną z nich. Od strony technicznej nie ma to znaczenia, bo mechanizm działający pod spodem jest dokładnie ten sam.
Z listy partnerów znałem dwie firmy, więc wziąłem jedną z nich. Od strony technicznej nie ma to znaczenia, bo mechanizm działający pod spodem jest dokładnie ten sam.
November 19, 2025 at 8:17 AM
Chcąc podpisać dokument, wybiera się firmę, której podpisu chcę się użyć.
Z listy partnerów znałem dwie firmy, więc wziąłem jedną z nich. Od strony technicznej nie ma to znaczenia, bo mechanizm działający pod spodem jest dokładnie ten sam.
Z listy partnerów znałem dwie firmy, więc wziąłem jedną z nich. Od strony technicznej nie ma to znaczenia, bo mechanizm działający pod spodem jest dokładnie ten sam.
Mam już za sobą jeden podpisany dokument (prawdziwa umowa) i muszę przyznać, że działa to bardzo sprawnie.
Zastanawiałem się, która firma ma takiego fajnego deala z mObywatelem, że obsługuje te podpisy i spotkało mnie miłe zaskoczenie.
Zastanawiałem się, która firma ma takiego fajnego deala z mObywatelem, że obsługuje te podpisy i spotkało mnie miłe zaskoczenie.
November 19, 2025 at 8:17 AM
Mam już za sobą jeden podpisany dokument (prawdziwa umowa) i muszę przyznać, że działa to bardzo sprawnie.
Zastanawiałem się, która firma ma takiego fajnego deala z mObywatelem, że obsługuje te podpisy i spotkało mnie miłe zaskoczenie.
Zastanawiałem się, która firma ma takiego fajnego deala z mObywatelem, że obsługuje te podpisy i spotkało mnie miłe zaskoczenie.
1) vibe-tool to nie DevOps. Coś, co każdy admin domyślnie ogarnia w konfiguracji, tutaj nie zostało zaaplikowane.
2) każda firma posiada środowisko developerskie. Niektóre mają także osobne środowisko produkcyjne - if you know what i mean.
[Ciąg dalszy nastąpi...]
2) każda firma posiada środowisko developerskie. Niektóre mają także osobne środowisko produkcyjne - if you know what i mean.
[Ciąg dalszy nastąpi...]
November 12, 2025 at 6:01 AM
1) vibe-tool to nie DevOps. Coś, co każdy admin domyślnie ogarnia w konfiguracji, tutaj nie zostało zaaplikowane.
2) każda firma posiada środowisko developerskie. Niektóre mają także osobne środowisko produkcyjne - if you know what i mean.
[Ciąg dalszy nastąpi...]
2) każda firma posiada środowisko developerskie. Niektóre mają także osobne środowisko produkcyjne - if you know what i mean.
[Ciąg dalszy nastąpi...]
Jak poważny był to włam tak w skali od zera do "OMG WTF"?
Zdecydowanie bliżej tego drugiego.
Trzeba z tego wyciągnąć pewne wnioski.
Zdecydowanie bliżej tego drugiego.
Trzeba z tego wyciągnąć pewne wnioski.
November 12, 2025 at 6:01 AM
Jak poważny był to włam tak w skali od zera do "OMG WTF"?
Zdecydowanie bliżej tego drugiego.
Trzeba z tego wyciągnąć pewne wnioski.
Zdecydowanie bliżej tego drugiego.
Trzeba z tego wyciągnąć pewne wnioski.
W systemie pojawił się nowy VPS o dość nietypowych parametrach: 8GB RAM + 69GB dysku. Oznacza to, że włamywacz (tutaj: pentester) był w stanie swobodnie manipulować bazą danych, a co za tym idzie, mógłby przejąć dowolne inne konto w systemie. No niefajnie.
November 12, 2025 at 6:01 AM
W systemie pojawił się nowy VPS o dość nietypowych parametrach: 8GB RAM + 69GB dysku. Oznacza to, że włamywacz (tutaj: pentester) był w stanie swobodnie manipulować bazą danych, a co za tym idzie, mógłby przejąć dowolne inne konto w systemie. No niefajnie.
Sądząc po liczbie requestów, pobrany został cały napisany przeze mnie kod [taaa... przez Ciebie ~cursor]. Dodatkowo dostęp do konfiguracji umożliwił także wykonywanie zapytań SQL na bazie danych.
November 12, 2025 at 6:01 AM
Sądząc po liczbie requestów, pobrany został cały napisany przeze mnie kod [taaa... przez Ciebie ~cursor]. Dodatkowo dostęp do konfiguracji umożliwił także wykonywanie zapytań SQL na bazie danych.
Szybkie sprawdzenie logów pokazało, że odwołań do wspomnianego katalogu trochę było (2700+ sztuk), ale tylko z dwóch IP z Polski. Czyli pewnie pentester + jakiś jego znajomy.
No OK, ale co włamywaczowi daje dostęp do katalogu .git?
Delikatnie mówiąc: daje mu dostęp do WSZYSTKIEGO.
No OK, ale co włamywaczowi daje dostęp do katalogu .git?
Delikatnie mówiąc: daje mu dostęp do WSZYSTKIEGO.
November 12, 2025 at 6:01 AM
Szybkie sprawdzenie logów pokazało, że odwołań do wspomnianego katalogu trochę było (2700+ sztuk), ale tylko z dwóch IP z Polski. Czyli pewnie pentester + jakiś jego znajomy.
No OK, ale co włamywaczowi daje dostęp do katalogu .git?
Delikatnie mówiąc: daje mu dostęp do WSZYSTKIEGO.
No OK, ale co włamywaczowi daje dostęp do katalogu .git?
Delikatnie mówiąc: daje mu dostęp do WSZYSTKIEGO.
Co konkretnie się stało? Domyślnie skonfigurowany Apache miał włączone listowania katalogów. No błąd jak błąd - jeden oleje, inny się przejmie. Tutaj jednak było gorzej. ZNACZNIE gorzej.
Serwer umożliwiał publiczny dostęp do katalogu ".git", a to już jest CRITICAL 😱
Serwer umożliwiał publiczny dostęp do katalogu ".git", a to już jest CRITICAL 😱
November 12, 2025 at 6:01 AM
Co konkretnie się stało? Domyślnie skonfigurowany Apache miał włączone listowania katalogów. No błąd jak błąd - jeden oleje, inny się przejmie. Tutaj jednak było gorzej. ZNACZNIE gorzej.
Serwer umożliwiał publiczny dostęp do katalogu ".git", a to już jest CRITICAL 😱
Serwer umożliwiał publiczny dostęp do katalogu ".git", a to już jest CRITICAL 😱
Trzy dni temu dostałem maila od 'badacza security'. Pierwszy raz nie był to osobnik z Indii, a tym razem z Polski, więc się ucieszyłem. Za wcześnie.
Raport w mało wyszukanych słowach informował o znalezieniu buga w konfiguracji serwera. Pomijając język, to jednak responsible disclosure :)
Raport w mało wyszukanych słowach informował o znalezieniu buga w konfiguracji serwera. Pomijając język, to jednak responsible disclosure :)
November 12, 2025 at 6:01 AM
Trzy dni temu dostałem maila od 'badacza security'. Pierwszy raz nie był to osobnik z Indii, a tym razem z Polski, więc się ucieszyłem. Za wcześnie.
Raport w mało wyszukanych słowach informował o znalezieniu buga w konfiguracji serwera. Pomijając język, to jednak responsible disclosure :)
Raport w mało wyszukanych słowach informował o znalezieniu buga w konfiguracji serwera. Pomijając język, to jednak responsible disclosure :)
Po licznych testach stwierdziłem, że wszystko działa zgodnie z oczekiwaniami.
Czas dać to komuś do przeklikania. Konta dostało dwóch testerów. Nooo... oni byli mniej optymistyczni niż ja. Bugi zostały poprawione. A później kolejne i jeszcze następne.
Czas dać to komuś do przeklikania. Konta dostało dwóch testerów. Nooo... oni byli mniej optymistyczni niż ja. Bugi zostały poprawione. A później kolejne i jeszcze następne.
November 12, 2025 at 6:01 AM
Po licznych testach stwierdziłem, że wszystko działa zgodnie z oczekiwaniami.
Czas dać to komuś do przeklikania. Konta dostało dwóch testerów. Nooo... oni byli mniej optymistyczni niż ja. Bugi zostały poprawione. A później kolejne i jeszcze następne.
Czas dać to komuś do przeklikania. Konta dostało dwóch testerów. Nooo... oni byli mniej optymistyczni niż ja. Bugi zostały poprawione. A później kolejne i jeszcze następne.
✅ Landing działa - trochę generyczny, ale mi się podoba
✅ Panel klienta - biedny, ale można np. zrestartować i przeinstalować VPS-a. Dobre na początek.
✅ Płatności - po wrzuceniu dokumentacji pośrednika płatności, ogarnęło się "samo".
✅ Panel klienta - biedny, ale można np. zrestartować i przeinstalować VPS-a. Dobre na początek.
✅ Płatności - po wrzuceniu dokumentacji pośrednika płatności, ogarnęło się "samo".
November 12, 2025 at 6:01 AM
✅ Landing działa - trochę generyczny, ale mi się podoba
✅ Panel klienta - biedny, ale można np. zrestartować i przeinstalować VPS-a. Dobre na początek.
✅ Płatności - po wrzuceniu dokumentacji pośrednika płatności, ogarnęło się "samo".
✅ Panel klienta - biedny, ale można np. zrestartować i przeinstalować VPS-a. Dobre na początek.
✅ Płatności - po wrzuceniu dokumentacji pośrednika płatności, ogarnęło się "samo".
Początek był piękny: hej Cursor, postaw mi 3 środowiska pod mój nowy projekt. Kilka minut i gotowe.
Z kodem nie było tak łatwo, ale po dziesiątkach godzin pracy i po licznych eksperymentach z różnymi modelami udało się ogarnąć kilka podstawowych funkcji.
Z kodem nie było tak łatwo, ale po dziesiątkach godzin pracy i po licznych eksperymentach z różnymi modelami udało się ogarnąć kilka podstawowych funkcji.
November 12, 2025 at 6:01 AM
Początek był piękny: hej Cursor, postaw mi 3 środowiska pod mój nowy projekt. Kilka minut i gotowe.
Z kodem nie było tak łatwo, ale po dziesiątkach godzin pracy i po licznych eksperymentach z różnymi modelami udało się ogarnąć kilka podstawowych funkcji.
Z kodem nie było tak łatwo, ale po dziesiątkach godzin pracy i po licznych eksperymentach z różnymi modelami udało się ogarnąć kilka podstawowych funkcji.
Celem było stworzenie od zera prostego landingu i panelu sterowania pod 'amerykańską' wersję Mikrusa (powoli takie coś powstaje). Narzędzie, którego chciałem się nauczyć był Cursor.
Potrafi on nie tylko ogarnąć kod, ale i podstawową konfigurację serwera.
Potrafi on nie tylko ogarnąć kod, ale i podstawową konfigurację serwera.
November 12, 2025 at 6:01 AM
Celem było stworzenie od zera prostego landingu i panelu sterowania pod 'amerykańską' wersję Mikrusa (powoli takie coś powstaje). Narzędzie, którego chciałem się nauczyć był Cursor.
Potrafi on nie tylko ogarnąć kod, ale i podstawową konfigurację serwera.
Potrafi on nie tylko ogarnąć kod, ale i podstawową konfigurację serwera.