Monthly Archives: October 2016

Chuyện linh tinh, Chuyện nghề nghiệp

Series chuyện bên Khựa – Quán ăn lề đường và kiểu thanh toán “bá đạo”

38 Comments

kì trước, mình đã kể sơ qua về cuộc sống, ăn uống, đi lại bên Trung Quốc. Ở bài này, mình sẽ giới thiệu với các bạn phong cách thanh toán vô cùng hiện đại và thuận tiện của giới trẻ Trung Quốc.

Thị trường cạnh tranh của hai “ông bự”

Trong khi ở Việt Nam phần lớn còn xài tiền giấy, dân Châu Âu còn dùng Credit Card, dân Trung Quốc đã đi trước thời đại, thanh toán qua điện thoại với sự trợ giúp của Alipay và WeChat.

10-alipay-wechat-w

Continue reading Series chuyện bên Khựa – Quán ăn lề đường và kiểu thanh toán “bá đạo”

Chuyện coding, Chuyện nghề nghiệp

Series Bảo Mật Nhập Môn – Lưu trữ cookie – Tưởng không hại ai ngờ hại không tưởng

5 Comments

Cookie là một khái niệm hết sức cơ bản mà ta được học khi mới lập trình web. Tuy nhiên, nếu sử dụng không đúng cách, nó sẽ thành “mồi ngon” cho vô số hacker.

Bài viết này sẽ đề cập đến những cách hacker mà có thể lợi dụng cookie để chiếm quyền người dùng, tấn công hệ thống, cùng với phương pháp sử dụng cookie đúng cách để ngăn chặn những lỗ hổng này nhé.

Continue reading Series Bảo Mật Nhập Môn – Lưu trữ cookie – Tưởng không hại ai ngờ hại không tưởng

Chuyện linh tinh

Series Chuyện bên Khựa – Tôi đã sống sót ở Tàu Khựa như thế nào?

7 Comments

Đầu tháng 10 này, theo chương trình học, mình phải qua Quảng Châu 6 tháng để thực tập trước khi về lại UK để kết thúc học phần. Qua bên này, tiếp xúc với một nền văn hoá mới, mình gặp được nhiều bạn bè mới và thấy nhiều thứ khá mới lạ.

Đó là mục đích khiến mình viết series “Chuyện bên Khựa” này. Series này sẽ nói về cuộc sống ăn chơi đàn đúm, … nhầm, học tập của mình ở bên này, đồng thời chia sẻ những điều hay ho ở Tàu với các bạn.

Continue reading Series Chuyện bên Khựa – Tôi đã sống sót ở Tàu Khựa như thế nào?

Chuyện coding

Series Bảo Mật Nhập Môn – Lỗ hổng bảo mật XSS nguy hiểm đến mức nào?

11 Comments

Giới thiệu về XSS

XSS (Cross Site Scripting) là một lỗi bảo mật cho phép hacker nhúng mã độc (javascript) vào một trang web khác. Hacker có thể lợi dụng mã độc này để deface trang web, cài keylog, chiếm quyền điều khiển của người dùng, dụ dỗ người dùng tải virus về máy. Các bạn có thể xem thêm demo trong vụ hack Lotte Cinema trước đây.

Đây là một trong những lỗi bảo mật thường gặp nhất trên các trang Web. Các hệ thống từ lớn đến nhỏ như Facebook, Twitter, một số forum Việt Nam, … đều từng dính phải lỗi này. Do mức độ phổ biến và độ nguy hiểm của nó, XSS luôn được vinh dự được nằm trong top 10 lỗi bảo mật nghiêm trọng nhất trên OWASP (Open Web Application Security Project).

screenshot_25

Để tóm tắt, xin trích dẫn vài câu của thánh bảo mật Juno_okyo, người vừa hack 3 triệu tài khoản của server X nào đó.

"Ờ thì nghe cũng có vẻ nguy hiểm đấy, nhưng sao tôi thấy ông hay viết về XSS thế? Rảnh quá hả!?"

À... một lỗi vừa phổ biến, nằm top 10 OWASP, lại vừa nguy hiểm, có thể kết hợp tốt với các lỗi khác. Nhưng dễ tìm, dễ fix, đã thế còn được tính bug bounty nữa.

Continue reading Series Bảo Mật Nhập Môn – Lỗ hổng bảo mật XSS nguy hiểm đến mức nào?

Chuyện linh tinh, Chuyện nghề nghiệp

Giới thiệu daynhauhoc và kipalog – 2 cộng đồng lập trình viên thú vị

5 Comments

Một số bạn sinh viên hay hỏi mình về việc nên cập nhật kiến thức ở đâu, nên tham gia các cộng đồng lập trình nào. Trước đây mình đã có một bài viết giới thiệu về Medium, Top 5 blog IT đáng đọc, …

Tuy nhiên, các trang này viết bằng tiếng Anh nên các bạn tiếng Anh không tốt sẽ khá khó tiếp cận. Do vậy, hôm nay mình sẽ giới thiệu 2 công đồng lập trình khá thú vị ở Việt Nam: kipalogdaynhauhoc. Hi vọng chúng sẽ có ích cho các bạn.

Continue reading Giới thiệu daynhauhoc và kipalog – 2 cộng đồng lập trình viên thú vị

Chuyện linh tinh, Chuyện nghề nghiệp

Mừng 1 triệu view đầu tiên và 6k like fanpage

13 Comments

Dạo gần đây mình bận học hành ở UK, về tới Việt Nam thì bận ăn chơi nhảy múa du lịch nên cũng không để ý đến chỉ số của blog cho lắm. Đến lúc nhìn lại thì thấy cũng đã được một của view và 6k like trên fanpage rồi :o.

Theo thông lệ, mỗi lần blog đạt được một cột mốc nào đó, mình đều viết một bài ăn mừng kiêm cảm ơn độc giả kiêm bộc bạch kể lể tâm sự. Nội dung bài viết này cũng tương tự thế nhé.

sitebanner_gx2ThankYou

Continue reading Mừng 1 triệu view đầu tiên và 6k like fanpage

Chuyện coding, Chuyện linh tinh

Series Phản Phác Qui Chân – Học thuật toán để làm vẹo gì???

7 Comments

Mình thường nghe các bạn sinh viên hỏi về tầm quan trọng của việc học thuật toán. Ý kiến của các bạn được chia làm hai luồng trái chiều như sau:

  • Thần thánh hoá thuật toán: Muốn lập trình giỏi phải giỏi thuật toán. Các công ty lập trình lớn toàn phỏng vấn về thuật toán còn gì.
  • Coi thường thuật toán: Thuật toán là cái thứ vô dụng, mấy anh đi làm nói là có dùng bao giờ đâu.

Bài viết này sẽ giúp các bạn trả lời câu hỏi “Học thuật toán để làm cái vẹo gì?”, cũng như có cái nhìn khách quan hơn về thuật toán.

Continue reading Series Phản Phác Qui Chân – Học thuật toán để làm vẹo gì???

Chuyện coding

Series Bảo Mật Nhập Môn – Giao thức HTTP “bảo mật” đến mức nào?

20 Comments

Sau một khoảng thời gian vật vã thì mình cũng hoàn thành bài đầu tiên trong series Bảo Mật Nhập Môn. Bài viết này sẽ bàn về sự “bảo mật” của giao thức HTTP.

Website của Lazada và Ngân hàng ACB sẽ bị lôi ra làm ví dụ. Vì bài viết khá dài nên các bạn cứ từ từ đọc nhé.

Ôn lại về HTTP

HTTP là một giao thức dùng để truyền nhận dữ liệu (Xem thêm ở đây). Hiện tại, phần lớn dữ liệu trên Internet đều được truyền thông qua giao thức HTTP. Các ứng dụng Web hoặc Mobile cũng gọi Restful API thông qua giao thức HTTP.

Tuy nhiên, nhược điểm của HTTP là dữ liệu được truyền dưới dạng plain text, không hề được mã hoá hay bảo mật. Điều này dẫn đến việc hacker có thể dễ dàng nghe lén, chôm chỉa và chỉnh sửa dữ liệu. Người ta gọi kiểu tấn công này là Man-in-the-middle attack, viết tắt là MITM.

Continue reading Series Bảo Mật Nhập Môn – Giao thức HTTP “bảo mật” đến mức nào?