Hi,

We were contacted by Lukas Euler from Positive Security, to inform us that Travel Support Program (TSP), the application we use to reimburse the costs of traveling to events where you can promote or are organized by the project, had a significant security flaw that impacted our and others' production systems. We have since patched the vulnerability, contacted other organizations that also use the software, and have spent some time and wrote a script to parse logs, in order to asses the impact. Over the span of the last 2 years, the flaw has not been abused, outside of a script written by Lukas, which read contents of the production database via brute force.

The what & the how¶

In essence, the flaw allowed an attacker to see if any arbitrary string is in the database by detecting size of a response to a request with a query containing the string, table by table. Let me illustrate:

Observe the following requests:

"GET /events.json?q[end_date_gteq]=0&q[name_eq]=Open Mainframe Summit&q[requests_comments_body_cont]=a HTTP/1.1" 200 516
"GET /events.json?q[end_date_gteq]=0&q[name_eq]=Open Mainframe Summit&q[requests_comments_body_cont]=aa HTTP/1.1" 200 12

• /events.json is our public api endpoint containing all the events ever created on the instance
• end_date_gteq means match to end_date greater or equal to what is after the equals sign
• name_eq means match to name equal (not case sensitive) to what is after the equals sign
• requests_comments_body_cont means all the comment bodies that contain what is after the equals sign in all the requests that were created

As you can see, the two requests have wildly different response sizes (last number), the one with 516B returned a body containing the details of the event, while the second one with 12B did not, because no comment body in any request associated with that event matched string 'aa'. Since every reimbursement request has to have an event that is attached to it, you could find contents of every comment in the database if you spent the time going through every character one by one. Of course, the comments are the least of our worry in an application that deals with addresses and bank information. Bank information is attached to a reimbursement, which is mapped directly onto a request, so that's easy enough to find. You could find users through any object created by them, comments, reimbursements, requests, and from there you have an easy time getting to address information.

The why¶

By default the Ransack library that we use for querying various objects in the frontend allows for querying any association of those objects. We didn't limit the scope of association or columns that could be accessed by it. Since all the objects within the database of TSP are associated in some way or another, that gave just anybody access to the entire database.

Here's some documentation on the subject:
https://activerecord-hackery.github.io/ransack/going-further/associations/
https://activerecord-hackery.github.io/ransack/getting-started/search-matches/

And the way to fix the scopes that ransack can access:
https://activerecord-hackery.github.io/ransack/going-further/other-notes/#authorization-allowlistingdenylisting

How we fixed it:
https://github.com/openSUSE/travel-support-program/commit/d22916275c51500b4004933ff1b0a69bc807b2b7

Github Advisory:
https://github.com/openSUSE/travel-support-program/security/advisories/GHSA-2wwv-c6xh-cf68

Huge thanks to Lukas and the Positive Security team for letting us know about this, we wouldn't have known about this without you, and our data would have been in jeopardy.

Saya pertama kali mendengar istilah Habit Tracker dari bukunya James Clear : Atomic Habits. Apa itu Habit Tracker?

Habit tracker adalah cara yang sederhana untuk mengukur apakah kita melakukan kebiasaan yang direncanakan atau tidak. Misalnya kita berolah raga secara rutin di waktu pagi setiap harinya, apakah kita membuat penanda di kalender untuk tanggal atau hari olah raga tersebut? Jika kita mulai olah raga rutin sejak 1 Januari 2023, maka saat ini sudah ada 9 tanggal yang dichecklist.

Habit Tracker berguna untuk beberapa alasan, antara lain:

1. Habit Tracker menciptakan tanda visual yang dapat mengingatkan Anda untuk bertindak
2. Habit Tracker memberikan motivasi tambahan setelah melihat kemajuan yang kita buat. Kita tidak ingin menghentikan tren kebiasaan baik yang sudah dilakukan
3. Habit Tracker menjadi salah satu tools untuk merekam kesuksesan kita yang kemudian mendorong kita untuk lebih sukses lagi.

Saya mulai berpuasa Daud sejak minggu pertama Desember 2022. Saya juga mulai berolah raga secara rutin sejak itu. Sebagai bagian dari upaya terencana untuk mendapatkan target yang diinginkan, saya menggunakan mekanisme habit tracker sebagai berikut :

1. Saya menandai tanggal dimana saya sukses berpuasa Daud dan tanggal dimana saya terpaksa skip (misalnya saat hari Sabtu dan Minggu ada tamu keluarga besar yang datang). Dari situ saya bisa melihat trend kedisiplinan saya
2. Saya menggunakan aplikasi Abs Workout sebagai habit tracker untuk memastikan tidak ada hari yang terlompati. Jika saya sudah menjalani 9 hari olah raga berturut-turut, sayang jika ada jadwal yang bolong. Hal ini membuat saya lebih bersemangat untuk tidak membiarkan ada tanggal yang terlompati.
3. Saya juga menjadikan aplikasi Abs Workout untuk mencatat kalori yang “dibakar” saat olah raga. Catatan ini berjalan otomatis karena terkait jenis dan banyaknya kegiatan olah raga yang dilakukan. Karena saya mengambil jadwal 30 days abs workout, maka setiap hari ada peningkatan jumlah kalori yang dibakar karena makin hari makin banyak latihan yang dilakukan dan durasinya juga lebih lama.
4. Saya mencatat tensi dan berat badan secara rutin tiap pagi dan sore. Dari situ saya bisa tahu tensi saya mulai normal di kisaran 115 sd 130 untuk sistolik dan 70-85 untuk diastolik. Sebelumnya tensi saya di 140-155 untuk sistolik dan 90-110 untuk diastolik.

Berat badan saya juga perlahan menurun, awalnya di kisaran 81-82 kg diawal Desember menjadi 75-an kg di pekan kedua Januari 2023.

Kedua hal ini menjadi tambahan kepuasan bahwa apa yang saya lakukan secara benefit sesuai dengan keinginan dan target yang saya rencanakan

5. Habit Tracker membuat saya mengubah hal lain secara paralel. Misalnya saya sudah tidak lagi minum teh manis atau minuman dengan gula. Saya mengganti teh manis dengan teh sereh dan daun salam tanpa gula. Saya juga mengurangi konsumsi nasi. Makan juga relatif lebih sedikit, rata-rata hanya 2x dalam sehari dan jarang ngemil.

Saya juga tidak minum es, mengurangi gorengan, mengurangi makanan beku dan lebih banyak berjalan kaki atau naik sepeda untuk bepergian jarak dekat. Ini berlangsung otomatis dengan sendirinya karena memang waktu makan juga relatif lebih sempit.

Saya ingat salah satu nasihat Ustadz Zaidul Akbar seperti dalam gambar :

1. Obat terbaik adalah lapar
2. Penyakit adalah memasukkan kedalam perut saat didalam perut sedang ada makanan

Nasihat yang sangat baik dan bisa menjadi pengingat bagi kita semua.

Semangat buat yang sedang menjalani program dan kegiatan untuk kebaikan pribadi, keluarga dan untuk masyarakat banyak.

Hoy toca hablar de diseño, y concretamente de diseño de iconos. Se trata de Ketsa, un set de iconos con gradientes para tu PC que le dan un toco orgánico y sofisticado a tu escritorio. Espero que os gusten.

Iconos con gradientes para tu PC: Ketsa

Me fascina la variedad que tenemos a nuestra disposición tanto de forma, estilo o colores. Tenemos iconos clásicos, minimalistas, lineales, 3D, que simulan otros sistemas operativos, imaginativos, que recuerdan a objetos cotidianeos, etc.

Hoy os presento Ketsa, un pack de iconos creados por zayronXIO que, inspirado en el trabajo de Yoga en Dribbble y después en el de sikebo, ha creado este pack de iconos con bonitos degradados y colores suaves que les dan una profundidad que en ocasiones se encuentra a faltar.

Los podéis encontrar tanto adaptados para temas claros como oscuros. Hay que destacar que el autor comenta que le resulta laborioso crear este tipo de iconos, por lo que el pack todavía está incompleto y que está abierto a sugerencias.

Y como siempre digo, si os gusta el pack de iconos podéis pagarlo de muchas formas en la página en continua evolución (mirad su nuevo aspecto) de KDE Store, que estoy seguro que el desarrollador lo agradecer: puntúale positivamente, hazle un comentario en la página o realiza una donación. Ayudar al desarrollo del Software Libre también se hace simplemente dando las gracias, ayuda mucho más de lo que os podéis imaginar, recordad la campaña I love Free Software Day 2017 de la Free Software Foundation donde se nos recordaba esta forma tan sencilla de colaborar con el gran proyecto del Software Libre y que en el blog dedicamos un artículo.

Más información: KDE Store Claros | KDE Store Oscuros

La entrada Iconos con gradientes para tu PC: Ketsa se publicó primero en KDE Blog.

Hoy toca hablar de diseño, y concretamente de diseño de iconos. Se trata de Ketsa, un set de iconos con gradientes para tu PC que le dan un toco orgánico y sofisticado a tu escritorio. Espero que os gusten.

Iconos con gradientes para tu PC: Ketsa

Me fascina la variedad que tenemos a nuestra disposición tanto de forma, estilo o colores. Tenemos iconos clásicos, minimalistas, lineales, 3D, que simulan otros sistemas operativos, imaginativos, que recuerdan a objetos cotidianeos, etc.

Hoy os presento Ketsa, un pack de iconos creados por zayronXIO que, inspirado en el trabajo de Yoga en Dribbble y después en el de sikebo, ha creado este pack de iconos con bonitos degradados y colores suaves que les dan una profundidad que en ocasiones se encuentra a faltar.

Los podéis encontrar tanto adaptados para temas claros como oscuros. Hay que destacar que el autor comenta que le resulta laborioso crear este tipo de iconos, por lo que el pack todavía está incompleto y que está abierto a sugerencias.

Y como siempre digo, si os gusta el pack de iconos podéis pagarlo de muchas formas en la página en continua evolución (mirad su nuevo aspecto) de KDE Store, que estoy seguro que el desarrollador lo agradecer: puntúale positivamente, hazle un comentario en la página o realiza una donación. Ayudar al desarrollo del Software Libre también se hace simplemente dando las gracias, ayuda mucho más de lo que os podéis imaginar, recordad la campaña I love Free Software Day 2017 de la Free Software Foundation donde se nos recordaba esta forma tan sencilla de colaborar con el gran proyecto del Software Libre y que en el blog dedicamos un artículo.

Más información: KDE Store Claros | KDE Store Oscuros

La entrada se publicó primero en KDE Blog.

Salah satu masalah utama beternak adalah kebutuhan pakan. Tanpa persediaan pakan yang cukup, ternak yang dipelihara bisa jadi terganggu pertumbuhannya.

Masalahnya, menyiapkan pakan yang cukup dalam jumlah besar itu menyita waktu dan tenaga. Jika harus mengupah orang, biayanya juga jadi cukup besar. Jika harga jual ternak tidak terlalu tinggi, nanti hasilnya bukan untung melainkan buntung karena hasil ternak tidak dapat menutup biaya pemeliharaan.

Saya punya ternak kambing didekat rumah kabin Zeze Zahra. Karena terbentur masalah yang sama dalam hal pakan, saya berusaha mencari tahu lewat pembelajaran di Youtube. Ada beberapa inspirasi dan pembelajaran dari peternak yang sudah lebih berpengalaman. Ada yang menanam rumput gajah, rumput odot, membuat fermentasi pakan dan lain-lain.

Akhirnya pembelajaran itu coba diterapkan. Saya menanam rumput odot di tepian pagar rumah kabin sebagai percobaan. Ternyata berhasil. Rumput odot itu tumbuh subur dan bisa dijadikan sebagai pakan tambahan. Saya berencana untuk menanam rumput odot lebih luas pada lahan kurang produktif di sekitar area Zeze Zahra.

Adik saya Achos Maryadi Aris Munandar juga beternak kambing. Ia menanam rumput odot di tegalan sebagai bank pakan. Persediaan pakan hijauan ini sangat membantu mengurangi beban penyediaan makan. Kalaupun tidak mencukupi, bisa ditambah dengan pakan lain namun tidak sesulit jika harus menyediakan pakan dari hasil “ngarit” setiap hari.

Melihat anak kambing yang sehat dan hamparan rumput odot yang tumbuh menghijau bisa menjadi bagian dari refreshing pribadi sekaligus bagian dari investasi “bisnis daratan” untuk pencapaian Financial Independence.

The Ender3 is seemingly a fantastic, inexpensive, entry level machine to get you started in the wondrous world of 3D printing. I would hardly call it the most quality, feature-rich machines out there but the incredible affordability is what makes is a great starting place. This wasn’t the first 3D printer I became familiar with […]

En estos tiempo que se avecinan en cuanto a problemas energéticos es bueno tener opciones para tener presente de qué forma utilizamos este bien tan preciados. De esta forma os presento el plasmoide de KDE número 214 de la gran serie de los mismos mostrados en el blog llamado Energy Monitor con lo que se controla el consumo de energía de nuesta batería Una funcionalidad que puede ser útil para tomar consciencia de nuestra huella en el medioambiente.

Controla el consumo de tu Plasma – Plasmoides de KDE (214)

De plasmoides tenemos de todo tipo funcionales, de configuración, de comportamiento, de decoración o, como no podía ser de otra forma, de información sobre nuestro sistema como puede ser el uso de disco duro, o de memoria RAM, la temperatura o la carga de uso de nuestras CPUs.

Es esta ocasión nos vamos a centrar en una parte esencial en nuestros equipos, la batería, sobre el cual el desarrollador 0xm4r71n ha creado un plasmoide que nos permite controlar el consumo de tu ordenador con Plasma.

Según su creador:

Esta extensión de Plasma 5 permite controlar el consumo actual y la capacidad de la batería (línea naranja = capacidad de la batería, roja = consumo). La extensión muestra los datos gráficamente. Es posible ajustar el número de muestras por minuto (1-60: p. ej. 5 = 5x por minuto valores de trazado en el gráfico) y el intervalo de tiempo de los datos mostrados (10 – 600 minutos). El color del gráfico y de la etiqueta del panel cambia automáticamente (verde cuando la batería se está cargando y rojo cuando se está descargando). Este widget se puede añadir al panel, pero no recomiendo añadirlo a la bandeja del sistema. El consumo mostrado es el consumo total de todas las baterías del sistema.

Y como siempre digo, si os gusta el plasmoide podéis “pagarlo” de muchas formas en la mutante página de KDE Store, que estoy seguro que el desarrollador lo agradecerá: puntúale positivamente, hazle un comentario en la página o realiza una donación. Ayudar al desarrollo del Software Libre también se hace simplemente dando las gracias, ayuda mucho más de lo que os podéis imaginar, recordad la campaña I love Free Software Day 2017 de la Free Software Foundation donde se nos recordaba esta forma tan sencilla de colaborar con el gran proyecto del Software Libre y que en el blog dedicamos un artículo.

Más información: KDE Store

¿Qué son los plasmoides?

Para los no iniciados en el blog, quizás la palabra plasmoide le suene un poco rara pero no es mas que el nombre que reciben los widgets para el escritorio Plasma de KDE.

En otras palabras, los plasmoides no son más que pequeñas aplicaciones que puestas sobre el escritorio o sobre una de las barras de tareas del mismo aumentan las funcionalidades del mismo o simplemente lo decoran.

La entrada Controla el consumo de tu Plasma – Plasmoides de KDE (214) se publicó primero en KDE Blog.

En estos tiempo que se avecinan en cuanto a problemas energéticos es bueno tener opciones para tener presente de qué forma utilizamos este bien tan preciados. De esta forma os presento el plasmoide de KDE número 214 de la gran serie de los mismos mostrados en el blog llamado Energy Monitor con lo que se controla el consumo de tu monitor en Plasma. Una funcionalidad que puede ser útil para tomar consciencia de nuestra huella en el medioambiente.

Controla el consumo de tu monitor en Plasma – Plasmoides de KDE (214)

De plasmoides tenemos de todo tipo funcionales, de configuración, de comportamiento, de decoración o, como no podía ser de otra forma, de información sobre nuestro sistema como puede ser el uso de disco duro, o de memoria RAM, la temperatura o la carga de uso de nuestras CPUs.

Es esta ocasión nos vamos a centrar en un periférico esencial en nuestros equipos, el monitor, sobre el cual el desarrollador 0xm4r71n ha creado un plasmoide que nos permite controlar el consumo de nuestra pantalla en Plasma.

Según su creador:

Esta extensión de Plasma 5 permite controlar el consumo actual y la capacidad de la batería (línea naranja = capacidad de la batería, roja = consumo). La extensión muestra los datos gráficamente. Es posible ajustar el número de muestras por minuto (1-60: p. ej. 5 = 5x por minuto valores de trazado en el gráfico) y el intervalo de tiempo de los datos mostrados (10 – 600 minutos). El color del gráfico y de la etiqueta del panel cambia automáticamente (verde cuando la batería se está cargando y rojo cuando se está descargando). Este widget se puede añadir al panel, pero no recomiendo añadirlo a la bandeja del sistema. El consumo mostrado es el consumo total de todas las baterías del sistema.

Y como siempre digo, si os gusta el plasmoide podéis “pagarlo” de muchas formas en la nueva página de KDE Store, que estoy seguro que el desarrollador lo agradecerá: puntúale positivamente, hazle un comentario en la página o realiza una donación. Ayudar al desarrollo del Software Libre también se hace simplemente dando las gracias, ayuda mucho más de lo que os podéis imaginar, recordad la campaña I love Free Software Day 2017 de la Free Software Foundation donde se nos recordaba esta forma tan sencilla de colaborar con el gran proyecto del Software Libre y que en el blog dedicamos un artículo.

Más información: KDE Store

¿Qué son los plasmoides?

Para los no iniciados en el blog, quizás la palabra plasmoide le suene un poco rara pero no es mas que el nombre que reciben los widgets para el escritorio Plasma de KDE.

En otras palabras, los plasmoides no son más que pequeñas aplicaciones que puestas sobre el escritorio o sobre una de las barras de tareas del mismo aumentan las funcionalidades del mismo o simplemente lo decoran.

La entrada Controla el consumo de tu monitor en Plasma – Plasmoides de KDE (214) se publicó primero en KDE Blog.

Hari Jumat kemarin, selepas briefing terkait pekerjaan, saya menambahkan materi mengenai literasi keuangan untuk para staff di PT Excellent Infotama Kreasindo dan PT Aktiva Kreasi Investama.

Briefing non pekerjaan biasanya dilakukan setiap hari Jumat. Materinya bisa macam-macam, tidak harus selalu terkait pekerjaan. Kami pernah mengundang mas Endy Muhardin untuk bicara mengenai pengalamannya, mengundang mas Wahyu Alam untuk bicara mengenai pentingnya pendidikan dan perjuangannya untuk kuliah dan juga sosok-sosok lain yang saya pandang inspiratif dan bisa mencerahkan mindset staff yang bekerja di Excellent.

Briefing literasi keuangan kemarin fokus pada salah satu instrumen investasi, yaitu Sukuk dan Obligasi yang diterbitkan oleh pemerintah. Saya mengambil contoh investasi dibidang sukuk (obligasi syariah) ST-009 yang baru diluncurkan Desember 2022 kemarin.

Dengan tingkat kupon 6.15%, investasi sebesar 1 juta rupiah akan memberikan penghasilan sekitar 4.600,- rupiah per bulan. Kecil banget kan, hehehe…

Iya kecil, tapi itu karena nilai investasinya 1 juta rupiah. Nilai itu juga bahkan lebih tinggi dibandingkan jika uangnya disimpan di bank. Coba saja dibandingkan. Penghasilan itu juga didapat tanpa melakukan apa-apa. Ini murni passive income.

Memang ada kerugiannya, yaitu uangnya harus disimpan selama dua atau tiga tahun. Bisa diambil percepat setelah setengah periode tapi anggaplah harus disimpan selama periode itu, dengan tetap mendapatkan penghasilan bulanan.

Jika kita menabung di bank dengan nilai satu juta rupiah, dalam setahun bisa jadi nilainya bukan bertambah melainkan berkurang digerus biaya administrasi.

Sukuk bukan instrumen investasi dengan nilai penghasilan terbesar, namun sukuk juga memiliki resiko yang sangat kecil. Investasi saham bisa memiliki peluang mendapatkan profit besar, namun resiko kerugian juga bisa besar. Membeli saham GOTO pada harga IPO 338 rupiah berpeluang mendapatkan keuntungan besar saat harganya naik hampir 400 rupiah, namun jadi rugi besar saat seperti sekarang sahamnya di harga 90 rupiah. High risk high return.

Selain membahas sukuk, saya juga membahas mengenai Financial Independence, terutama kaitan dengan rule 4%. Penjelasan rule 4% ada disini :

FIRE, Pensiun Dini dan Upaya Membangun Asset Produktif

Secara prinsip, posisi financial independence bisa dicapai jika kita sudah mencapai angka dimana nilai investasi kita jika diambil 4% pertahun hasilnya tidak akan berkurang dan malah bisa bertambah.

Cara mendapatkan nilainya adalah dengan menentukan biaya bulanan dijadikan setahun kemudian dikalikan 25.

Misalnya jika pengeluaran bulanan kita satu juta rupiah, disetahunkan jadi 12 juta rupiah. Dikalikan 25 mendapat angka 300 juta rupiah.

Dengan 300 juta rupiah diinvestasikan di instrumen investasi dengan penghasilan 4% maka kita bisa mendapatkan penghasilan passive sebesar satu juta rupiah per bulan.

Jika instrumen investasinya memberikan penghasilan lebih dari 4% (misalnya sukuk ST-009 memberikan penghasilan hingga 6.15%, maka nilai pendapatannya bahkan melebihi biaya bulanan. Ini berarti bahwa kita sudah financial independence karena pendapatan passive melebihi biaya hidup bulanan.

Jika biaya hidup bulanan lebih dari satu juta rupiah, angka financial independence-nya tetap bisa dihitung dengan rumus yang sama.

Kadang ada yang skeptis bahwa perhitungan diatas tidak memperhitungkan turbulensi politik, perubahan kebijakan, iklim ekonomi dan lain-lain, namun bagi saya perhitungan diatas cukup memadai sebagai literasi keuangan dan persiapan untuk pensiun.

Saya sudah mulai merintis upaya financial independence sejak 2014 dan lebih serius di 2019. Saya bisa katakan bahwa mekanisme perhitungan diatas berjalan dengan baik bahkan meski saya pernah mengalami beberapa market crash atau kondisi ekonomi yang naik turun, termasuk saat pandemi kemarin.

Gimana, tertarik cari tahu mengenai mekanisme investasi sukuk dan konsep financial independence?

Contoh perhitungan bisa didownload disini

Tumbleweed es una distribución de GNU/Linux «Rolling Release» o de actualización contínua. Aquí puedes estar al tanto de las últimas novedades.

openSUSE Tumbleweed es la versión «rolling release» o de actualización continua de la distribución de GNU/Linux openSUSE.

Hagamos un repaso a las novedades que han llegado hasta los repositorios esta semana.

El anuncio original lo puedes leer en el blog de Dominique Leuenberger, publicado bajo licencia CC-by-sa, en este este enlace:

• https://dominique.leuenberger.net/blog/2023/01/opensuse-tumbleweed-review-of-the-week-2023-01/

En esta primera semana de 2023 sigue la tendencia que continúa desde el años pasado y se han publicado 7 nuevas snapshots desde la pasada revisión (1230, 1231, 20230101…20230105).

Los cambios más importantes que han llegado a los repositorios de openSUSE Tumbleweed:

• Qt5 qtwebengine 5.15.12
• Mesa 22.3.2
• xorg-x11-server 22.1.6
• Linux kernel 6.1.2
• Poppler 23.01.0
• xz 5.4.0
• ImageMagic 7.1.0.57

Y entre las actualizaciones que pronto llegarán a lo repositorios, podremos destacar:

• Python pytest 7.2.0
• Meson 1.0.0
• KDE Plasma 5.26.5
• Linux kernel 6.1.3
• GnuPG 2.4
• Libzypp 17.31.7
• Python Sphinx 6.1
• Boost 1.81.0
• Ruby 3.2
• Cambio a openSSL 3

Si quieres estar a la última con software actualizado y probado utiliza openSUSE Tumbleweed la opción rolling release de la distribución de GNU/Linux openSUSE.

Mantente actualizado y ya sabes: Have a lot of fun!!

Enlaces de interés

• ¿Por qué deberías utilizar openSUSE Tumbleweed?
• zypper dup en Tumbleweed hace todo el trabajo al actualizar
• ¿Cual es el mejor comando para actualizar Tumbleweed?
• ¿Qué es el test openQA?
• http://download.opensuse.org/tumbleweed/iso/
• https://es.opensuse.org/Portal:Tumbleweed

——————————–