[NRPPZW] 2. projekt - 2021/2022

TamTam

nisu li rekli da ce biti odmah dostupno nakon predaje?

sekiro

foobar mislim da to nigdje nije pisalo, ali nije ni pisalo kad će točno bit. Meni se još nije pojavilo

niknik

Jel jos stoji da ce biti peer review? Jel netko mozda pitao profesore?

Rope

niknik meni je sad doslo na edgar

Bisolvon

Vec vidim da ce bit kaos s ovim peer shitom.

Rope

Bisolvon tezak drek, vidim da su za svaku ranjivost pitali jel implementirano svasta nesto, ja sam mislio da treba odabrat sam jedan nacin za postic svaku

Bisolvon

Rops Najbolja su mi ona pitanja za koja moram prokopat cijeli kod kako bi naso dali je negdje koristen password salting.

sekiro

Gdje se može preuzeti aplikacija koju smo dobili na ocjenjivanje? Onaj peer assessment assignment link mi samo otvori stranicu na kojoj piše “Error finding attachement? See server logs…”

MiqeloS

sekiro “Error finding attachement? See server logs…”

Provjerio sam sa profesorom - to znači da osoba nije predala niti jednu datoteku (zip ili txt) i samim time server nema što dohvatiti, takve radove ocjenjujemo sa 0 (pretpostavljam da sa nije primjenjivo)

I3loodHound

Ako na peer reviewu osobi nije to ni bio zadatak za implementirati, onda se pretpostavljam stavlja “Nije primjenjivo”?

MrPeanutButter

Što sad napraviti znaći oni su rekli da nemoramo sve implementirati za npr sql injection nego barem 2 od kojih su:

Tautologija
Ilegalni upiti
Upit UNION
Ulančani upiti
I sad imaju pitanja za svaki od njih na ocjenjivanju ???
Po meni za pitanja koja nisu implementirana a imaju 2 ostala implementirana ja bi označio da Nije Primjenjivo pošto su ostala 2 implementirana…

sekiro

Zulul kod mene ista stvar, nije mi jasno to uopće

MiqeloS problem je što imam svih 5 error finding attachement, tj 6 iz nekog razloga, al kod tog zadnjeg mi piše score ignored

Tonii

Nez je li ovo kharmic justice, ali već sam se pomirio sa ponavljanjem ovog govna od predmeta ali rekoh idem bar napraviti ovaj peer shit da prezumem riješenja za večinu zadataka za sljedeču godinu kad ono svih 5 ocjenjivanja ima error finding attachments.

sekiro

Zulul slao sam ticket i kaže mi da je točno kako piše, nije predan url aplikacije ni readme.txt file i sve ocjenjujemo sa 0, valjda to znači free 5 bodova

anon00

Ajde jos sam labos, ali ovo ocjenjivanje je za k…
Primjerice ja, kao i osoba kojoj sad ocjenjujem smo imali broken authentication
I moja normalna pretpostavka je bila: Pokaži način kako dolazi do nesigurnosti i onda u potpunosti zaštiti od te nesigurnosti.
A oni gledaju je li ima fkn password salting koji nema veze sa ovim - bilo bi okej da su to naglasili da ce se to traziti. Broken authenticationje više stvar nekakve loše logike nego na koji nacin spremas fkn password. Ja, kolega kojem ocjenjujem, ali i vjv vecina nas je samo hardkodirala nekog user i napravim if(email == email && pw==pw) sto se činilo sasvim validnim.

Ako je password trebalo salt-ati onda smo slobodno mogli i napraviti https jer je tu nesigurnost u prijenosu podataka i vjv krcato sličnih stvari

anon00

Sto vise idem kroz pitanja više bi ih nabio na ..
U uputama likovi napišu “Implementirajte X” i nijedno slovo više od tog, a u peer review “Je li student implementirao paywall koristeći sha-512 sa salt-om koji se mijenja svakih 4,5min i koristi blockchain tehnologiju”

LucidDreamer

Savjetujem da takve stvari odmah šalješ ticket. Tipa meni kolega za xml injection nije implementirao pohranu datoteke sa poslužitelja nego je ostavio text input gdje sam pišem xml i bilo mi je bed dat mu “nije implementirano” ako zadatak radi i sve pa sam poslao ticket i fraer je rekao kak im je bitnije da sve radi te da mu dam kao sve bodove za to. Tak da šaljite te tickete i imajte na umu kako su mi više puta napomenuli da ne budemo strogi pri ocjenjivanju.

anon00

LucidDreamer
E sad tu dolazi do problema
Jedan dio studenata je vec ocjenilo kako je mislilo da je pravedno i sad ce oni usred ocjenjivanja poslati neku poruku ‘ipak dajte bodove i sl’
Pazi sad ovo: Ako dam U potpunosti implementirano za eto npr xml file upload (koji nije bilo file upload nego samo text area) postoji mogucnost da cu biti jedini koji ce tu ocjenu dati i ja cu npr dobiti manje bodova za review.
Još gluplje je sto su za SQL injection odvojili na 4-5 pitanja “je li implementiran UNION”, “je li implementirana tautologija” itd. Naravno da vecina, ukljucujuci i mene, nije implementirala sve nego samo 1-2 da pokaze da sql injecion radi. Dok za neki drugi zadatak (nmg se sjetit, mozda XSS ili nesto slicno) su stavili u jednom pitanju “Je li implementirano ista od navedenog: X,Y,Z”
Dakle ovi prvi ce dobiti ⅕ ako su samo jedno implementirali, a ovi drugi 100% tj 1/1

I ja sam osobno pokusao biti što blaži pri ocjenjivanju pa npr jedan kolega hardkodirao da se zove <script>alert .. na klik gumba za XSS i to je bilo okej, a onda sljedece pitanje je bilo “Je li moguce redirect na drugu stranicu” -> Pa bio bi moguc da kod nije hardkodiran, a taj kolega sigurno ne bi hardkodirao da je znao da ce se to pitati.
Tu sam primjerice stavio kao da je implementirano, a netko ce staviti da nije

Mislim da bi trebali napraviti update tog upitnika i ponovno pokrenuti peer review jer ovakva vrsta ocjenjivanja nema smisla

LucidDreamer

anon00 i da ovo sa sql sam uvjeren da su stavili sva cetiri pa ce provjeravat jeli barem jedan od njih napravljen jer znam kak je u uputama pisalo, a i vidim da su u obavijesti stavili da je bitno imati samo jedno

LucidDreamer

Kuzim kaj hoces rec, sjecam se na bazama da su ljudi gubili bodove jer su ocijenjivali drugacije nego kaj su ostali. Al kuzis zasto bi mi onda profesor rekao da napravim ovako ako zna da cu potencijalno izgubit bodove. Mozda ce fakat samo dat tih 5 bodova ako si odgovorio na sva pitanja. U svakom slucaju je najveci taj problem sto su dosta nekonzistentni sa stvarima koje su trazili i stvarima koje su stavili u upitnik da se popunjava. Nadam se da ce imat to na umu

« Prethodna stranica Sljedeća stranica »