El típico problema de javascript en la que las personas intentan escapar el flujo del programa.

E.g.

let result;
setTimeout(function(){ result = 'algo diferente'; }, 0);
console.log(result); //undefined

Pero lo haz puesto en una clase...

class A {
   metodo(){
       setTimeout(_ => this.result = 'algo diferente');
       return this.result;
   }
}

Esto simplemente está mal. En el ejemplo, estoy usando setTimeout pero en javascript hay cientos de funciones que son asincronas, sin mencionar las funciones que son compuestas por funciones asincronas y que por ende también son asincronas. En tu caso, tu has usado fetch, pero es el mismo problema.

Una función asíncrona no está obligada a llamar a la función pasada inmediatamente (de hecho, esto casi nunca pasa así). Estas son funciones que agendan la ejecución de una función posteriormente. Es un error creer que la función ha sido llamada antes de la instrucción que asigna el valor (o retorna el valor en tu caso).

Es como si pidieras una pizza y le dejas la instrucción al repartidor que deje la pizza en la puerta. No tratarías de recoger la pizza en la puerta justo después de colgarle a la pizzeria ¿verdad? Pues es lo mismo con javascript. Tu pizza no está hecha, pero la estas intentando poner en la mesa. ¿Pues que has agarrado? Nada, undefined.

Lo correcto es seguir el flujo de ejecución. Si pediste una pizza, tienes que recoger la pizza cuando llegue a tu puerta. Para esto están los mecanismos de promesas, async/await (basados en promesas) y CPS (que está en desuso).

No puedes escapar el flujo de estos mecanismos. Una vez que una función use una función asincrona, tu función pasa también a ser asíncrona.

Esto quiere decir que lo podrías hacer así:

export class DB{
    constructor(API){
        this.API=API;
    }
    show(){
        return fetch(this.API)
        .then(res=>res.json())
    }
}

O así:

    constructor(API){
        this.API=API;
    }
    async show(){
        let res = await fetch(this.API);
        return res.json();
    }

Para luego consumirlo así:

const login=(e)=>{
    //...
    let empleados=new DB(`${API}/empleados/`).show();
    empleados.then(data => console.log(data);
   //...
}

Vaya que solo puedes continuar el flujo dentro de la función pasada a then, pues esta agenda la función para que sea ejecutada una vez que el valor exista. En pocas palabras, el metodo then te permite recoger la pizza cuando este en tu puerta.

¿Si acabas de abrir un archivo que sabes que tenia un ransomware? Pues yo diría que si. Pero literalmente dos segundos o así. La mayoría no se da cuenta que se ha infectado de ransomware hasta que es muy tarde. Hay ransomware que deja la llave en memoria y a veces es posible rescatarla, por eso no se recomienda apagar el equipo una vez infectado.

Lo seguro es desconectar la red como dice el-brujo, para evitar que intente cifrar documentos compartidos o que se intente propagar a otros equipos (como por RDP últimamente).

Puedes esconder los resultados fácilmente con javascript, pero vas a obtener menos resultados por pagina de búsqueda.

Bleh, el markup de Youtube es horrible, por ejemplo hay varios #info.

Lo que vi es que al momento de parsear:

<yt-formatted-string force-default-style=\"\" class=\"style-scope ytd-video-primary-info-renderer\">Titulo</yt-formatted-string>

Simplemente ignora el contenido de la etiqueta por alguna razón.

<yt-formatted-string class=\"super-title style-scope ytd-video-primary-info-renderer\" force-default-style=\"\">
            <!--css-build:shady-->
         </yt-formatted-string>

Creo que tiene algo que ver con el componente, pero no estoy seguro exactamente. Lo que yo recomendaría es que lo agregaras al DOM directamente y no lo estés recreando.

let html = `
 
<button name="favorito" type="button">
<svg aria-hidden="true" viewBox="0 0 10 10">
<path d="m7.4 8.8-2.4-1.3-2.4 1.3.46-2.7-2-1.9 2.7-.39 1.2-2.5 1.2 2.5 2.7.39-1.9 1.9z"/>
 
</svg>
 
Agregar a favoritos
 
</button>
 
`;
let tmp = document.createElement('div');
tmp.innerHTML = html;
document.getElementById('info').append(tmp);

No estoy muy seguro de que otros campos se envían o se necesitan del lado del cliente. Pero ahí está enviando un nuevo campo hash_passwrd que es básicamente:

sha1(hashUserDb + $session_id)

Los otros campos probablemente son enviados normalmente (excepto passwrd que se remplaza por un string vacío o por asteriscos).

El identificador de sesión esta en una cookie pero también lo imprimen en el formulario:

hashLoginPassword(this, 'add5f76205f957b650bb0a5aa71e6ccd');

Sería bastante sencillo modificar el script de JS para que tome el hash en lugar del password:

//Función mencionada encargada del hash que viene por defecto en SMF.
function hashLoginPassword(doForm, cur_session_id)
{
	// Compatibility.
	if (cur_session_id == null)
		cur_session_id = smf_session_id;
 
	if (typeof(hex_sha1) == 'undefined')
		return;
	// Are they using an email address?
	if (doForm.user.value.indexOf('@') != -1)
		return;
 
	// Unless the browser is Opera, the password will not save properly.
	if (!('opera' in window))
		doForm.passwrd.autocomplete = 'off';
 
	doForm.hash_passwrd.value = hex_sha1(doForm.passwrd.value + cur_session_id);
 
	// It looks nicer to fill it with asterisks, but Firefox will try to save that.
	if (is_ff != -1)
		doForm.passwrd.value = '';
	else
		doForm.passwrd.value = doForm.passwrd.value.replace(/./g, '*');
}

Y como usa el scope global, solo tienes que copiar y pegar en la consola. Y listo, ahora solo usas los hashes tal cual aparecen en la BD.


No necesariamente, el hash es salteado con el usuario y contraseña. En teoría, dado lo común que es que los usuarios reúsen credenciales... es perfectamente posible encontrar una BD de otro foro que use este mismo esquema. Por eso, el salt tiene que ser random.

Y por si no fuera poco, enviar el hash de la contraseña  en texto plano no ofrece ninguna ventaja sobre usar una contraseña normal. Esa cuenta puede ser fácilmente comprometida monitoreando la red si va por texto plano. La contraseña es simplemente el hash y si va por texto plano, yo lo puedo leer.

Así que, esto hace absolutamente nada (fuera de que oculta la verdadera contraseña, que podría ser usada en otros sitios...).

El salt lo único que está haciendo es que no puedas usar dumps de otros sistemas que no usen este salt.

En teoría, si tu tienes el hash (el hash usuario+password) tu puedes iniciar sesión con ese usuario. Por ejemplo, si encuentras una vulnerabilidad que imprima el hash de un usuario podrías iniciar sesión con ese usuario. En cambio, si no se hiciera esto del lado del cliente, el atacante no podría usar este hash.

Incluso los desarrolladores de SMF confirmaron que era posible y que por eso lo han cambiado en el 2.1, lo dicen justo ahi en el link del mensaje principal.

Pues si, no se que estaban pensando con esto... La única forma sería implementar algo como RSA y un protocolo para intercambio de llaves. Todo esto ya lo hace SSL, así que no tiene caso hacer esto del lado del cliente.

No es la primera vez que escucho esta historia pero creo que para allá van todos nuestros sistemas económicos, de izquierda o derecha. Simplemente todos (o la gran mayoría) resuelven a una desigualdad económica y eventualmente a una desigualdad social. Siempre habrá ricos y pobres. La pregunta es ¿Que tan ricos van los ricos y que tan pobres van los pobres?

¿Van más o menos? ¿Pues por cuanto tiempo más?
¿Hay un abismo entre pobreza y riqueza? -> Revolución.

Claro. ¿Y esto que tiene de malo? Para empezar, esto que se regala (las cosas mencionadas en el título de la noticia) no van por parte del gobierno. El dinero como incentivo es para empleados federales. Hasta donde yo tengo entendido, no hay una ley federal que ofrezca a sus empleadores este incentivo. Esto fue lo que quise decir.


Todo sale de tu bolsillo a menos que no estés pagando impuestos... ¿O me dices que en España les regalaron sus dosis? No veo el punto en decir que EUA tiene políticas económicas terribles para su sistema de salubridad cuando lo que están haciendo ahora mismo en relación a COVID es justo lo que deberían hacer...

Lo que a la gente no le entra en la cabeza, es que esto es un virus, uno que se esparce muy fácilmente y tiene un número de complicaciones. Pero os lo voy a poner super sencillo.

Tu te enfermas, tu comunidad se enferma, tu provincia se enferma, tu pais se enferma. ¿Pais enfermo? Tu país produce menos dinero. Tu gobierno recibe menos dinero.

Menos gente enferma. Más gente trabajando. Tu gobierno recibe más dinero.

Esto debería ser obvio para todos, pero por desgracia a EUA le tuvo que tocar una pandemia para darse cuenta de esto. Al menos para esto, están haciendo las cosas bien. Por eso, todo esto es una inversión.


Yo creo que lo de que más me voy a acordar es de las personas necias que se negaron a hacer cuarentana, que se negaron a usar mascarás y que se creyeron que todo esto era una invención del gobierno chino para quitarles sus derechos.

Ah y también me voy a acordar de la gente que no se quiso vacunar porque tenían miedo que Bill Gates los manejara como robots o porque simplemente están en contra de las vacunas.

No le están dando dinero a todo mundo. Le están dando dinero a ciertos empleados. En Texas es igual, algunas escuelas están pagando a sus maestros si se vacunan. Las vacunas (y todo el proceso que involucra, desde la patente hasta su distribución) como también cualquier incentivo para aplicarla son una inversión de parte del gobierno.

Simplemente, les cuestas mas al gobierno (y a tu comunidad) si no estás vacunado por la simple posibilidad de contagio. Eventualmente, los incentivos se van a ir cuando lleguemos a un 70-80% de vacunados. Pero mientras haya gente que este preocupada por los efectos de las vacunas y la naturaleza de las vacunas en sí, se tiene que hacer todo lo posible para convencer a estas personas.

Francamente si vamos a recordar algo en un futuro es que personas no pudieron salvarse ni aunque les dieras dinero.