ТЫ - ОТВЕТСТВЕННЫЙ ЮЗВЕРЬ
@
ТВОЙ ПАРОЛЬ СОСТОИТ ИЗ:
@
РУССКИЕ И ГРЕЧЕСКИЕ БУКВЫ РАЗНОГО РЕГИСТРА, НЕРАЗРЫВНЫЕ ПРОБЕЛЫ, TERMINAL BELL, ЮНИКОДНЫЙ СИМВОЛ "НЕБО", ЮНИКОДНЫЙ СИМВОЛ "ПОЛУМЕСЯЦ СО ЗВЕЗДОЙ"
@
МНЕМОНИКУ КОВЕРКАЕШЬ ТАК, ЧТО НУЖНО ВСПОМИНАТЬ, КАК ИМЕННО ОНА ИСКОВЕРКАНА
@
ПОЛГОДА С МОМЕНТА СМЕНЫ ПАРОЛЯ
@
ЕЩЁ НЕ УСПЕЛ ЗАПОМНИТЬ, А УЖЕ ПОРА МЕНЯТЬ
@
ПРИЧЁМ НЕ В ОДНОМ МЕСТЕ
@
ВЕДЬ У ТЕБЯ УНИКАЛЬНЫЕ ПАРОЛИ НЕ ТОЛЬКО ДЛЯ ГОЙУСЛУГ И КАЖДОЙ СОССЕТИ, НО И НА ЛИЧНЫЕ ЯЩИКИ, КОРПОРАТИВНЫЕ ЯЩИКИ видишь ящики? грузи ящики, кончишь - получишь ящики, кончишь в ящики - получишь пизды, VPN РАБОТОДАТЕЛЯ, VDI КОНТРАГЕНТА (ТРЕБУЕТ МЕНЯТЬ КАЖДЫЙ МЕСЯЦ И ОТЛАВЛИВАЕТ ДАЖЕ ИСКОВЕРКАННУЮ МНЕМОНИКУ)
@
ЗАПОЛНЯЕШЬ KEEPASS
@
КОПИРУЕШЬ БАЗУ НА ТЕЛЕФОН
@
ЛИЧНЫЙ НОУТ В САМЫЙ НЕПОДХОДЯЩИЙ МОМЕНТ ПАДАЕТ В init 1, А НА ТЕЛЕФОНЕ СТАРАЯ БАЗА
@
В МАКСИМУМЕ МЕСТ НАСТРАИВАЕШЬ WebAuthn, U2F, КЛИЕНТСКИЕ СЕРТИФИКАТЫ
@
НО ГОЙУСЛУГИ МОГУТ ПРЕДЛОЖИТЬ ТОЛЬКО SMS МАХ И TOTP
@
ВЫБОР ОЧЕВИДЕН
@
В САМЫЙ НЕПОДХОДЯЩИЙ МОМЕНТ ТЕЛЕФОН НАЧИНАЕТ ГРУЗИТЬСЯ ТОЛЬКО В TWRP
@
КОПИРУЕШЬ ВСЕ TOTP-СЕКРЕТЫ НА FLIPPER ZERO
@
НО TOTP НЕ ИЗБАВЛЯЕТ ОТ НЕОБХОДИМОСТИ (((ПОМНИТЬ))) ПОСТОЯННЫЙ ПАРОЛЬ
@
ПОКУПАЕШЬ РУТОКЕН ЭЦП И ИДЁШЬ С НИМ В МФЦ
@
ДОВОЛЬНО УРЧИШЬ
@
СТАВИШЬ КЛИТОРПРО
@
ПОДПИСЫВАЕШЬ В ВОРДЕ ЗАЯВЛЕНИЕ ПО СОБСТВЕННОМУ ЖЕЛАНИЮ
@
ОТКРЫВАЕШЬ ИП
@
ТВОЙ ПАРОЛЬ СОСТОИТ ИЗ:
@
РУССКИЕ И ГРЕЧЕСКИЕ БУКВЫ РАЗНОГО РЕГИСТРА, НЕРАЗРЫВНЫЕ ПРОБЕЛЫ, TERMINAL BELL, ЮНИКОДНЫЙ СИМВОЛ "НЕБО", ЮНИКОДНЫЙ СИМВОЛ "ПОЛУМЕСЯЦ СО ЗВЕЗДОЙ"
@
МНЕМОНИКУ КОВЕРКАЕШЬ ТАК, ЧТО НУЖНО ВСПОМИНАТЬ, КАК ИМЕННО ОНА ИСКОВЕРКАНА
@
ПОЛГОДА С МОМЕНТА СМЕНЫ ПАРОЛЯ
@
ЕЩЁ НЕ УСПЕЛ ЗАПОМНИТЬ, А УЖЕ ПОРА МЕНЯТЬ
@
ПРИЧЁМ НЕ В ОДНОМ МЕСТЕ
@
ВЕДЬ У ТЕБЯ УНИКАЛЬНЫЕ ПАРОЛИ НЕ ТОЛЬКО ДЛЯ ГОЙУСЛУГ И КАЖДОЙ СОССЕТИ, НО И НА ЛИЧНЫЕ ЯЩИКИ, КОРПОРАТИВНЫЕ ЯЩИКИ видишь ящики? грузи ящики, кончишь - получишь ящики, кончишь в ящики - получишь пизды, VPN РАБОТОДАТЕЛЯ, VDI КОНТРАГЕНТА (ТРЕБУЕТ МЕНЯТЬ КАЖДЫЙ МЕСЯЦ И ОТЛАВЛИВАЕТ ДАЖЕ ИСКОВЕРКАННУЮ МНЕМОНИКУ)
@
ЗАПОЛНЯЕШЬ KEEPASS
@
КОПИРУЕШЬ БАЗУ НА ТЕЛЕФОН
@
ЛИЧНЫЙ НОУТ В САМЫЙ НЕПОДХОДЯЩИЙ МОМЕНТ ПАДАЕТ В init 1, А НА ТЕЛЕФОНЕ СТАРАЯ БАЗА
@
В МАКСИМУМЕ МЕСТ НАСТРАИВАЕШЬ WebAuthn, U2F, КЛИЕНТСКИЕ СЕРТИФИКАТЫ
@
НО ГОЙУСЛУГИ МОГУТ ПРЕДЛОЖИТЬ ТОЛЬКО SMS МАХ И TOTP
@
ВЫБОР ОЧЕВИДЕН
@
В САМЫЙ НЕПОДХОДЯЩИЙ МОМЕНТ ТЕЛЕФОН НАЧИНАЕТ ГРУЗИТЬСЯ ТОЛЬКО В TWRP
@
КОПИРУЕШЬ ВСЕ TOTP-СЕКРЕТЫ НА FLIPPER ZERO
@
НО TOTP НЕ ИЗБАВЛЯЕТ ОТ НЕОБХОДИМОСТИ (((ПОМНИТЬ))) ПОСТОЯННЫЙ ПАРОЛЬ
@
ПОКУПАЕШЬ РУТОКЕН ЭЦП И ИДЁШЬ С НИМ В МФЦ
@
ДОВОЛЬНО УРЧИШЬ
@
СТАВИШЬ КЛИТОРПРО
@
ПОДПИСЫВАЕШЬ В ВОРДЕ ЗАЯВЛЕНИЕ ПО СОБСТВЕННОМУ ЖЕЛАНИЮ
@
ОТКРЫВАЕШЬ ИП
ВК: ОЙ, МЫ ТАК СОЧУВСТВУЕМ, ТАК СОЧУВСТВУЕМ, ЧТО ЛЮДЕЙ САДЯТ ЗА РЕПОСТЫ
@
ПОЭТОМУ ВЫКАТЫВАЕШЬ ЗАКРЫТЫЕ ПРОФИЛИ, КАК В ПИЗДАГРАМЕ
@
У ЕРОХИ ЗАКРЫТЫЙ ПРОФИЛЬ
@
ПОЭТОМУ ТЕПЕРЬ ТЫ НЕ ВИДИШЬ ПОСТЫ ЕРОХИ, ЗА КОТОРЫЕ НА РАЙОНЕ ЕГО БЫ ЗАЧМОРИЛИ
@
ДЕЛА ЗА ЛАЙКИ И РЕПОСТЫ ПРОДОЛЖАЮТСЯ
@
ПОЭТОМУ ВЫКАТЫВАЕШЬ ЗАКРЫТЫЕ ПРОФИЛИ, КАК В ПИЗДАГРАМЕ
@
У ЕРОХИ ЗАКРЫТЫЙ ПРОФИЛЬ
@
ПОЭТОМУ ТЕПЕРЬ ТЫ НЕ ВИДИШЬ ПОСТЫ ЕРОХИ, ЗА КОТОРЫЕ НА РАЙОНЕ ЕГО БЫ ЗАЧМОРИЛИ
@
ДЕЛА ЗА ЛАЙКИ И РЕПОСТЫ ПРОДОЛЖАЮТСЯ
ВЫМЫШЛЕННОЕ ИМЯ
@
ОДНОРАЗОВЫЙ НОМЕР
@
НИКАКОЙ АВЫ
@
СДУРУ ОТВЯЗАЛ ОТ СТРАНИЦЫ ПОЧТУ
@
ПОВТОРНО ЗАЛОГИНИЛСЯ В АПИДОГ
@
ОЙ, МЫ ТУТ РЕШИЛИ, ЧТО ВАС ВЗЛОМАЛИ, ПОЭТОМУ ПУСТИМ ВАС ТОЛЬКО ЗА СКАН ПАСПОРТА
@
С ИМЕНЕМ НА СТРАНИЦЕ
@
И ФОТО КАК НА АВЕ
@
НА НЕПРОШИБАЕМЫЙ ПАРОЛЬ И СТАБИЛЬНЫЕ ВХОДЫ С ВСЕГО ПАРЫ АЙПИ
ВК - пидорасы.
@
ОДНОРАЗОВЫЙ НОМЕР
@
НИКАКОЙ АВЫ
@
СДУРУ ОТВЯЗАЛ ОТ СТРАНИЦЫ ПОЧТУ
@
ПОВТОРНО ЗАЛОГИНИЛСЯ В АПИДОГ
@
ОЙ, МЫ ТУТ РЕШИЛИ, ЧТО ВАС ВЗЛОМАЛИ, ПОЭТОМУ ПУСТИМ ВАС ТОЛЬКО ЗА СКАН ПАСПОРТА
@
С ИМЕНЕМ НА СТРАНИЦЕ
@
И ФОТО КАК НА АВЕ
@
НА НЕПРОШИБАЕМЫЙ ПАРОЛЬ И СТАБИЛЬНЫЕ ВХОДЫ С ВСЕГО ПАРЫ АЙПИ
ВК - пидорасы.
> ДЛЯ ЭТОГО НУЖНО ЗАКИНУТЬ НА НЕЁ ФАЙЛ ЗАКРЫТОГО КЛЮЧА
Ты дебил? Копируется пабкей, а не приватный.
>ЧТОБЫ ПОТОМ ЕГО УЧИТЫВАТЬ: АКТУАЛИЗИРОВАТЬ ПРИ СМЕНЕ ФАЙЛОВОГО PIN/РОТАЦИИ САМОГО КЛЮЧА, ПОМНИТЬ, НА КАКИХ УСТРОЙСТВА ЧТО ЛЕЖИТ
Ты ебанутый? Обычный запароленый безвременный ED25519.
СОZДАЛ ТРЕД
@
НЕ ZАГОТОVИЛ БУГУРТЫ
@
ЕЩЁ И ОЧЕПЯТЫВАЕШЬСЯ
@
НЕ ZАГОТОVИЛ БУГУРТЫ
@
ЕЩЁ И ОЧЕПЯТЫВАЕШЬСЯ
>Копируется пабкей, а не приватный.
Туда, куда нужно зайти - да. Туда, откуда нужно зайти - приватный.
>YUBIKEY
Не дочитал. Ты точно даун покупать проприетарную парашу, которая даже не может сама генерить ключи и для обновления требует купить новы ключ.
ТЫ СРЕДНИЙ ВЫПУКНИК ИБ НА РОИССИИ
@
НИХУЯ НЕ ПОНЯЛ ИЗ НАПИСАННОГО В ТРЕДЕ
@
НИХУЯ НЕ ПОНЯЛ ИЗ НАПИСАННОГО В ТРЕДЕ
>уда, откуда нужно
Бля, чел. У каждого устройства ОТКУДА надо зайти и так есть свой ключ. Ты копируешь с него пабки туда, куда надо попасть.
А, ну тогда мне в любом случае надо заранее настраивать все клиентские устройства, а для необходимости сиюминутного входа с нового устройства остаётся только пароль.
Нах ты так издрачивался?
Всегда знал что безопасники все больные люди
Я ваще не понял на каком языке написан оппост
Безопасник
>мне в любом случае надо заранее настраивать все клиентские устройства
Да?
У каждого клиента есть ключ username@host. Ты кидаешь от него паб туда, куда надо зайти. Это заодно позволяет следить, откуда были подключения.
> для необходимости сиюминутного входа с нового устройства остаётся только пароль.
Наxуя?
> STATELESS КОН-ТРОЛЛИРУЕМЫЙ ДОСТУП К СВОЕМУ КЛЮЧУ С НЕОПРЕДЕЛЁННОГО КРУГА МАШИН
Ты псих бля, поехавший. ssh туннелирование не судьба?
> В САМЫЙ НЕПОДХОДЯЩИЙ МОМЕНТ ТЕЛЕФОН НАЧИНАЕТ ГРУЗИТЬСЯ ТОЛЬКО В TWRP
Ьэкапить мфа-приложухи надо потому что.
>не может сама генерить ключи
?
А что тогда делает ключ аттестации в PKCS#11, и откуда берутся сиды для приватных ключей FIDO?
Истинно случайные числа - вообще сложная вещь, это да.
>для обновления требует купить новы ключ.
Если даём возможность заливать новую прошивку - получаем, что проверку подлинности прошивкой рано или поздно обойдут.
>проприетарную
У Feitian, вроде, опенсорсная прошивка есть, но возможности проверить, что в серийный токен залита именно она - нет.
>С ИМЕНЕМ, КАК НА СТРАНИЦЕ
>@
>И ФОТО, КАК НА АВЕ
>@
>НА НЕПРОШИБАЕМЫЙ ПАРОЛЬ И СТАБИЛЬНЫЕ ВХОДЫ С ВСЕГО ПАРЫ АЙПИ ИМ ПОХУЙ
"Мне не страшно, что мой акк угонят хакиры. Мне страшно, что его по беспределу угонят админы".
> мфа-приложухи
Ненужное говно для контроля гоев.
Есть TOTP прямо в менеджере паролей (gopass), остальное ненужно.
> FIDO
Кривое неудобное говно где нужно жонглировать ключами, чтобы не проебать доступ когда ключ отвалится.
Но я писал про то, что он не может даже GPG сгенерить, в отличие от Nitrokey того же. Инструмент корпо-говна из штатов от Моссада.
> Если даём возможность заливать новую прошивку - получаем, что проверку подлинности прошивкой рано или поздно обойдут.
Xороший гой. А пруфы будут?
>Если даём возможность заливать новую прошивку - получаем, что проверку подлинности прошивки рано или поздно обойдут.
Т.е. появится возможность залить прошивку с говняком, с помощью которого попытаться вытащить ключи.
Если вытащить ключи удаётся - получаем, что фактор "владение ключевым носителем" превращается в "знание второго сверхдлинного пароля", т.е. в тыкву.
Нет однозначных решений, получается.
>А пруфы будут?
Начиная с куркуляторов TI и заканчивая каким-то там chekm8, позволяющим разработчикам pmOS влезать даже в относительно актуальные айфоны?
> Абсолютно несвязанные устройства и применения
Круто. А теперь по теме, пожалуйста. Вот например для Nitrokey, SoloKey, etc. которые полностью FOSS.
>Ненужное говно для контроля гоев.
>Есть TOTP прямо в менеджере паролей (gopass), остальное ненужно.
Перефразирую: есть опенсорсные реализации TOTP-приложений, которые, по счастливой случайности, спокойно заменяют все эти гугл-аутентификаторы и хуяндекс-ключи. Тут только парогенератор Габена выёбывается, но TOTP-приложение на Флиппере поддерживает и его.
Ну, это да.
Мой тейк был, что все эти кастомные аутентификаторы это xуйня и развод. А Габен пидрила, что не дает TOTP.
> Есть TOTP прямо в менеджере паролей (gopass), остальное ненужно.
Есть миллиард вариантов имплементации протокола в любой калькулятор, дальше-то чё?
Кстати, есть у какого-то рофляндского вендора бэкап ключей в раржипеге.
Держать на компе я бы зассал такую хуйню, это идею "отдельного устройства для аутентификации" делит на ноль.
>Кривое неудобное говно где нужно жонглировать ключами, чтобы не проебать доступ когда ключ отвалится.
>Но я писал про то, что он не может даже GPG сгенерить, в отличие от Nitrokey того же. Инструмент корпо-говна из штатов от Моссада.
Насколько я понимаю, по-хорошему, нужно генерить ключи в модуле "PIV", а потом в OpenSSH и GnuPG настраивать PKCS#11.
Или, как минимум, аутентификацию SSH делать через gpg-agent.
>отдельного устройства для аутентификации
ИМXО, наxуй не нужно и существует исключительно потому что нормисы 1 пароль везде используют.
Я доверяю своему менеджеру паролей с gpg шифрованием и в рот ебал второй фактор.
Когда последний раз смотрел, они рекомендовали грузить ключ с ПК, что убивало всю идею. Nitrokey может сам на сеье генерить секьюрным элементом.
> ебал второй фактор
Ну в целом база, на дворе вторая четверть 21 века, уже пассвордлесс должен быть коммодити везде.
>> для необходимости сиюминутного входа с нового устройства остаётся только пароль.
>Наxуя?
Потому что не хочу на корпоративно машине постоянно держать файл для доступа к левой машине.
Двачую
Кагбэ сегодня админ может быть добрый: рабочие станции на самообслуживании, ставь хоть XP, хоть Haiku, лишь бы с неё рабочие задачи можно было выполнять такие, как созвоны через софт, требующий WebRTC и полноценного браузера или взаимодействие с контрагентом через используемый у него проприетарный софт, домен появился только на 15-й год работы компании (когда новые пользователи стали путать пароли от почты/конфсблюенса/гита/VPN), и всем похуй на то, куда из корп. сети ходят: хоть на vk.com (в котором вообще корпоративный чЯт), хоть на hh.ru, хоть торренты качают. И сам-то ты находишься на почётной должности помощника этого админа.
А завтра приходит новая CTO, который ты вдруг не понравился по причине "шибко вумный", она оговорила тебя при админе с кадровиком - из-за чего должность у тебя резко меняется на сотрудника КЦ zберпанка, а админ в один преркасный момент берёт, снимает диск с твоей рабочей станции и доёбывается до каждого файла, не относящегося к работе.
По этой же причине я в рот ебал держать постоянно залогиненной личную почту (потому что spizdyat у меня печеньки, а я вовремя и не узнаю). А организационные моменты некоторые решаются таки по личной почте. Так что, благодаря FIDO2 - могу хоть каждый раз заходить Z приватной вкладки, даже если забыл постоянный пароль именно от личной почты, и не могу прямо сейчас попасть в KeePass.
Можно, конечно, в такой ситуации настроить на рабочей станции FDE и сказать в своё оправдание, что, мол, решил защитить инфу, с которой я работаю, от офлайн-атак. Но тогда у меня, как у добросовестного сотрудника, не должно быть причин не говорить админу ключ от FDE.
Да и внедрение FDE в этом случае является иницыативой сотрудника, которую не в каждой компании и не при каждом руководителе оценивают по достоинству.
Первое. Толку от этой опенсорсной прошивки, если пользователь не может для надёжности прошиться собственной сборкой.
Второе. Если появляется возможность менять прошивку - появляется перспектива для атаки "злая служанка" на токен.
Третье. Если просто допустить возможность обновления прошивки, даже с проверкой, что это именно прошивка от вендора - сказал уже, что рано или поздно эту проверку сломают.
И этот пароль - от базы KeePass с уникальными паролями, или PIN от токена.
>Когда последний раз смотрел, они рекомендовали грузить ключ с ПК, что убивало всю идею. Nitrokey может сам на сеье генерить секьюрным элементом.
Кто рекомендовал, Yubico? А Feitian? А как же их собственные секьюрные элементы?
Плюс, есть выгода генерить ключи для PIV именно на токене - они будут уже подписаны, как минимум, одним не-васянским сертификатом - если, конечно, ты не переписал слот "аттестация".
>Безопасник
Сильно востребованы сейчас в РФ?
>Третье. Если просто допустить возможность обновления прошивки, даже с проверкой, что это именно прошивка от вендора - сказал уже, что рано или поздно эту проверку сломают.
В смысле, что уязвимость тут получается принципиальная, случаи взлома калькуляторов и айфонов принципиальную узявимость подтверждают, и здесь нужно уже в конкретных кейсах решать, какие риски - меньшее из зол, а от каких надо страховаться.
>Держать на компе я бы зассал такую хуйню
Мимо в своё время настраивал на телефоне MAXS, что позволяло при входе с ПК куда-то с ПЭП телефон просто присылал "код из SMS" в жаббир, и можно было его невозбранно копировать выделением и вставлять СКМ. Как, оказывается, на маке, только менее автоматизированно.
>пассвордлесс
Дык, а как он реализуется? Асимметричными ключами - и в TLS, и в SSH, и в FIDO. И при этом появляется необходимость безопасно хранить закрытый ключ.
С тем, какая ИБ-повестояка в РФ - искажённый симулякр с ключевыми принципами "security through obscurity" и "key escrow"? Подозреваю, что, на удивление...
>ЗАКИНУТЬ НА НЕЁ ФАЙЛ ЗАКРЫТОГО КЛЮЧА
>передавать приватный вместо паблика
>STATELESS КОН-ТРОЛЛИРУЕМЫЙ ДОСТУП К СВОЕМУ КЛЮЧУ С НЕОПРЕДЕЛЁННОГО КРУГА МАШИН
>что такое поверхность атаки
>ПЛЮС 2ФА: ВЛАДЕНИЕ ТОКЕНОМ
>привязка к физической вещи это плюс да
>РУССКИЕ И ГРЕЧЕСКИЕ БУКВЫ РАЗНОГО РЕГИСТРА,
привет проблемы в саммаккаунтнейм, юпн и прочей лабуде из ad, в samba, в большинстве скриптов без ёбки с переводом кодировок
>ЕЩЁ НЕ УСПЕЛ ЗАПОМНИТЬ, А УЖЕ ПОРА МЕНЯТЬ
просто продлеваешь старый через ps в 1 команду, так как ты "юзверь". а не админская УЗ и если нет пруфов компроментации, то всё ок
>ЕЩЁ НЕ УСПЕЛ ЗАПОМНИТЬ, А УЖЕ ПОРА МЕНЯТЬ
>Keepass
Иди глицина попей, пока ожидаешь записи к врачу, мистер деменция
>ЛИЧНЫЙ НОУТ ака BYOD
>ОТВЕТСТВЕННЫЙ ЮЗВЕРЬ
Они не для этого выкатили, а для минимизации исков по всем делам связанным с обработкой ПдН . Всем срать петухов, разместившись запрещенный контент и посаженных на бутыль.
Прочитай правила пользования, ебло утиное, там запрещено использовать ненастоящее имя. Ты банально скрипт не прошел который парсит новые аккаунты. И зачем тебе ананимасом лезть в соцсеть, если ты a) не даун б) не тилолист в) не инфотилолист типа скаклов?
Ты простенький васёк какой-то простофильненький максимально, раз твои обсёры мимоходом заметил даже РНН типа меня, который в рот ебал ИТ, соцсети и всё что тут упомянуто.
>Сильно востребованы сейчас в РФ?
Не, по сути одно из названий айтишника. Учился на безопасника работаешь кодомакакой. Всем похуй, все идут куда могут
>на корпоративно машине постоянно держать файл для доступа к левой машине.
На корпоративной машине только ключ этой машины, о чем ты?
>Первое. Толку от этой опенсорсной прошивки
Аудит, возможность обновиться без покупки нового устройства.
> Второе. Если появляется возможность менять прошивку - появляется перспектива для атаки "злая служанка" на токен.
Пруф?
A то пока попаxивает коупиумом security through obscurity.
> сказал уже, что рано или поздно эту проверку сломают.
Пруфы такого, Шломо. Вот например с Nitrokey или Solokey.
Ну или xотя бы статью, которая бы показала что иx xардварный и софтварный стек вообще можно взломать, да еще и без ведома пользователя.
> И этот пароль - от базы KeePass с уникальными паролями
Даже это лучше, потому что уникальный и не xранится у всякиx говноконтор в плейнтексте.
>Кто рекомендовал, Yubico?
This. На офф. сайте инструкция.
Там до сиx пор рекомендуют на ПК. Теперь можно на ключе, но только чмошным алгоритмом, а не Curve25519, lol.
>>ЛИЧНЫЙ НОУТ ака BYOD
>>ОТВЕТСТВЕННЫЙ ЮЗВЕРЬ
Потому что, по мнению одного нашего counter agenta, ответственные юзвери способны запоминать новые 16 рандомных символов (мнемонику не даст сохранить, даже литспиком) каждый месяц, так как в регламенте написано, что записывать пароли просто НЕЛЬЗЯ, т.е. как на листочек на мониторе, так и в кипас - просто НЕЛЬЗЯ. Соответственно, кипас на рабочей машине - палево.
С удовольствием бы назвал сию организацию, но, боюсь, тогда появится повод меня репортить, вычислять по айпи и увольнять, а сама организация настолько крупная, что её сотрудники точно тут сидят.
>Они не для этого выкатили, а для минимизации исков по всем делам связанным с обработкой ПдН . Всем срать петухов, разместившись запрещенный контент и посаженных на бутыль.
А палки в колёса для OSINT (включая предельно справедливые поводы) тоже были побочным эффектом?
>Прочитай правила пользования, ебло утиное, там запрещено использовать ненастоящее имя.
Ну так и пидорасы они из-за этого, потому что по классической технике ИБ - если кто-то в инете у тебя спрашивает имя или номер телефона - это мошенник, который должен быть набутылен.
>И зачем тебе ананимасом лезть в соцсеть
Конкретные нужные группы читать, включая закрытые. А теперь ВК настолько охуел, что без логина не даёт даже видос или песню из поста в паблике включить.
Нихуя у тебя тряска от NDA.
>Учился на безопасника работаешь кодомакакой.
Или юристом (работа с регламентами ФСТЭК/ГОСТ/ISO), или техписькой (редактором мануалов по приведению-R34).
>На корпоративной машине только ключ этой машины, о чем ты?
Не совсем. В этом случае получается, что там один ключ - для хождения по корпоративным серверам, а для домашнего сервера - уже отдельный. И для внешнего гит-хостинга отдельный.
>что там один ключ - для хождения по корпоративным серверам, а для домашнего сервера - уже отдельный. И для внешнего гит-хостинга отдельный.
Наxуя? 1 машина-- 1 ключ.
Да эт не про NDA, NDA у нас вообще - одна страница из ссылок на 5 статей ГК. А за деловой имидж и репутацию компании можно и васяна, не имевшего дела с этой компанией, судить, если он имел неосторожность что-то не то про неё сказать.
И "1 реалм - 1 ключ". Чтобы по моему публичному ключу, добавленному на рабочие серверы, нельзя было спалить мой ЩитХаб с пет-проектами и потом приебаться к временным меткам кам-митов.
>1 реалм - 1 ключ
Фу-фу-фу.
> Публичный Гитxаб
Буээээ.
Странно. Вроде, я и у Yubico (именно в доках по 5 NFC), и у Feitian (именно в доках по модели K9+) проверял, и вывод линуксовой утилиты для работы с FIDO-токенами - и проблемы с 25519 были как раз у Feitian.
>> Публичный Гитxаб
>Буээээ.
Дык, а как мне делиться с пет-проектами с правильными пацанами Z района? Да и, если там есть, чем на собесе похвастаться - это уже "эта другое".
У меня один вопрос: вы вкатуны?
>делиться пет-проектами
Быстрофикс
>Дык, а как
Селф-xост с forgejo.
> делиться пет-проектами
100%-ый маркер вкатуна
То что закрыли петухов-доксеров для них как для компании только плюс. Потому что иначе бы стабильно пришлось опрадываться почему и зачем они помогают сталкерам, иногентам, хохлам, фейк-ньюс ради лулз и т.д. Вряд ли побочка, скорее спланировано. опять же чтобы соответствовать закону. Причем обосраному вк нужно соотвествовать закону особенно, т.к. они через прокси государству принадлежат (газпромбанк и т.п.), это не сосач, где абу может разгрывать дурачка и "я ни причем", вот логи не бейте лучше обоссыте.
Конкретно от пользовательской УЗ менять пароль каждый месяц —уебанство. В случае компроментации злоумышленнику нужно повысить привилегии, что в короткий срок он сделать не сможет (если конечно он не зашел в дырявую пизду где все настройки по дефолту на всех сервисах и железках). Политики же (не обязательно gp) в компании должны быть просто такими, что при любом отпуске/отгуле дольше дня его УЗ блочится нахуй также ка клюбые удаленные доступы. Это без учета работы EDR агентов, ids/ips и т.п. С BYOD доступе должен быть разрешен только через VPN в замкнутый "контур" (что заодно утечки минимизирует) через двухфаторку и желательно с усеченными правами в отличие от протирателей стула в офисе. Преодолевать всю эту вышеуказанную хуйню со смутными перспективами очень морочно (хотя возможно), поэтому проще через спуфинг прислать письмо Ирочке из юр.отдела , что на их компанию заведено исполнительное производство, подробнее в прикрепленном PDF-файле к которому присобачен скрипт. В общем, ничего толком не изменилось, с 200 года.
Никак нет, товарищ капитан, 4 года непрерывного стажа.
Или т.н. netizen - которых, как показывает практика, кабанчики не любят.
> netizen
> GitHub
Корпо-слейв.
>Потому что иначе бы стабильно пришлось опрадываться почему и зачем они помогают сталкерам, иногентам, хохлам, фейк-ньюс ради лулз и т.д.
А так, они укрывают уебанских петухов, которых есть, за что доксить. Может, ещё нужно добавить "соучаствуют".
Хотя, конечно, если они с этими петухами заодно - всё понятно.
>абу может разгрывать дурачка и "я ни причем"
А может ли до сих пор?
Не знаю, зачем вы это всё делаете. У меня просто есть Ветхий и Новый Завет. 66 канонических книг, разделенных на 1189 глав, состоящих из 31173 стихов. Компилируй отрывками как хочешь.
p.s. еще в голову пришло, если компания маленькая, то лучше даже не через 2fa, а через сертификаты какого фаервола (можно даже самоподписанные ЦА) раздать удаленные подключения. В теории книгописак менее безопасно, на практике, если добавить какие-нибудь HIP как в Palo Alto или Acces Role в Checkpoint и пару правил написать, можно вообще в хуй не дуть. Без крота внутри организации хуй кто сможет просунуться.
Иногда да, бывает, они покрывают говноедов. А так в общем, я вел речь не об этом.
Безопасник безопаснику рознь.
Вот безопасник корпоративный - для него источником угроз является любое недоменизированное устрйоство.
А сотрудник, совмещающий с СЖВ-деятельностью в FSF/SFC/EFF/их СНГшных аналогах - для него источником угрозы как раз являются корпоративные устройства и доменизированные личные, а безопасник, который выступает за доменизацию - является форменным петухом.
>В ИБ - как в пословице "что русскому хорошо - то немцу смерть". Русским, в этом случае, как ты понимаешь, является простой работяга Вася, а корпоративный админ - ...
Типа он админ
Ну ключи не знаю зачем с таким ебанм шифром чем стандартный не устраивает
Оп далбаеб
Лысое чмо из райтлайн Коля это ты?
>совмещающий с СЖВ-деятельностью в FSF/SFC/EFF
В смысле, обеспокоенный приватностью частных лиц, и поэтому совмещающий
> райтлайн Коля
Райан Гослинг типо?
Учился на ибшника, работаю девопсом. В конторе вроде есть ибшник, но я честно хуй знает чем он вообще занимается
>возможность обновиться без покупки нового устройства
Если она есть - см. п. 2. Если её нет - как подтвердить, что на устройстве установлена именно эта прошивка?
>security through obscurity
- это когда кто-то говорит, что [мессенджер, который не может просто так прочитать майор] - секкурнее, чем [мессенджер, который защищает пользователя от кого угодно, даже от себя, аки мейлсрушечка или пиздаграм, но точно не от майора]. Или когда сриптографические стандарты ГОСТ показывают только блатным cumпаниям, под подписькой, что не распиздят, какие там есть бэкдоры.
А здесь - про неизменность кода и прочие из оперы secure/measured boot (что, при правильной реализации, конечно, не равно тивоизации...).
>Ну или xотя бы статью, которая бы показала что иx xардварный и софтварный стек вообще можно взломать, да еще и без ведома пользователя.
Если там прошивка во время заливки проверяется на официальность - значит, пользователь не может пересобрать её из официальных исходников и поставить, чтобы убедиться, что именно она там и стояла.
Если не проверяется - значит, заливать можно, что угодно.
Наверное, бумажки страницы распечаток регламентов ФСТЭК и закрытых ГОСТов перебирает, а потом в сейф их складывает и сторожит...
Не зря говорят, что в безопасниках унылое говно сидит. У вас даже этаж свой отдельный, чтобы вы нормальных людей не смущали. Сажаскрыл настиг долбаёба помешанного.
>не через 2fa, а через сертификаты
Так сертификаты - это (по-хорошему) и есть 2FA: первый фактор - владение контейнером приватного ключа (физическим или не очень), второй фактор - кодовая фраза, используемая для получения доступа к закрытому ключу (в случае файла - для расшифровки ключевого материала).
>У вас даже этаж свой отдельный
Ну, во-первых, не у нас, а у наших калек из ко-ко-корпоративной секты, а то, что все штатные ИБ-шники в них входят - "так, чистой воды совпадение".
>чтобы вы нормальных людей не смущали
...а мы - и есть нормальные люди, но для корп. сектантов нормальными людьми являются только им подобные.
Но ведь... нужен баланс между безопасностью и удобством...
Модель угроз...
Модель угроз...
Достаточно, если готов сосать хуй в одной из самых стремительно национализирующихся отраслей. Говнопродукты, говнорегуляторы, говнозаказчики, тонны макулатуры - примерно так сейчас рофляндское ибэ выглядит. Эххх, а ведь в конце 2021 года были проекты и с ZTN, и с MDM... Сейчас на эти аббревиатуры только жалкая пародия предлагается.
Вариаций имплементации мфа хуева гора, я уебанские механизмы в отечественных idp вижу постоянно, истерически смеясь поглядываю на ценник этой хуйни ещё, когда рядом попенсорс халявный валяется.
Ключ в контейнере, контейнер с биометрией (если про мобилки речь например). Всё почти кошерно.
> HIP как в Palo Alto или Acces Role в Checkpoint и пару правил написать, можно вообще в хуй не дуть
Хуя он умный, этот хип - иксэмэлька на 20 строк, и его подпихивать умеет опенконнект легко и непринуждённо. Безопасность должна реализовываться комплексно.
> удобством
> берём продукты топовых иб вендоров РФ
> лук инсайд
> нафталиновые костыли поверх опенсорсных (радужных) костылей, скреплено соплями и слезами той девочки, которая пишет всякие МУиН.
Так точно. Либо сам компилируешь и прошиваешь всё до последнего resistora, либо понимаешь, что если токен может прошить пользователь - его может прошить и "злая служанка".
И
>тонны макулатуры
И, как итог, симулякр, ведущий частников к полной противоположности безопасности.
>были проекты и с ZTN, и с MDM... Сейчас на эти аббревиатуры только жалкая пародия предлагается.
>MDM
Это жи хорошо!
Кстати, когда я как-то ехал в лифте с одним из наших руководителей, и он пожаловался, что не может контролировать телефоны сотрудников, а я спросил про MDM - он сказал, что себе дороже, даже если ради MDM выдавать корпоративные устройства.
Так понимаю, из-за того, что есть какие-то регламенты, требующие от MDM-админа на крови клясться, что он не будет сливать, например, геолокацию юзеров, а юзер, наоборот, может устроить MDM-админу "райскую жизнь", чуть что заподозрив? Или что-то более прозаичного, вроде убытков от потери корпоративного устройства?
>когда рядом попенсорс халявный валяется
...а кабанчики просто собирают его ез изменений, сертифицируют и продают БолгенОС/БолегнОфис/БолгенВМ? Да и ладно бы, когда просто без изменений, сертификация - тут юзер платит за сертификацию, но когда доработкой занимаются вайб-кодеры, и оригинал тупо обладает стабильностью...
>Ключ в контейнере, контейнер с биометрией (если про мобилки речь например). Всё почти кошерно.
Вариант - не считая, что биометрию можно подделать (см. "Взлом смартфона анальной пробкой" Овера, не говоря уже про оптические сканеры старых ноутов).
И, что более важно, что в случае реализации ведра - ключи всё равно протекают в гуглоакк.
Не говоря уже про кейсы, когда отпечатки хранятся не в памяти сканера (впрочем, вроде, у fprintd с этим не всё так плохо - подсунуть файл от другой машины не вышло).
>подпихивать умеет опенконнект легко и непринуждённо.
Ага, и даже политики device cumpliance обходить, бгг.
Кстати, интересно, как админы, юзающие эти файрволы, относятся к тому, что:
1. В силу ухода вендоров из РФ, пользователи не могут скачать официальный клиент, поэтому точно скачают этот OpenConnect, у которого ключевая функция - этот device compliance на хую вертеть;
2. Из-за ТСПУ этот AnyConnect вынужден работать в альтернативном, медленном режиме?
> удобством
Кстати да. В ИБ (либо рядом) же есть ещё такое понятие, как "доступность" (что-то вроде SLA... да это действительно про него в том числе), означающее, что система должна работать так, чтобы не мешать легитимным пользователям работу работать.
>слезами той девочки, которая пишет всякие МУиН.
Всё так. Лично знаю одну такую девочку, которую только благодаря мне не пидорнули, зато потом так её проманипулировали, что я только из-за этого приготовился по собственному желанию писать.
Это какая болезнь из МКБ? Что-то на РАДЕБЕЗОПАСНОМ ПУТИНСКОМ параноидальном?
>проприетарную парашу
Представь себе, когда я озаботился укреплением своей хоумлабы (и внешних акков), то это учитвыал - как учитывал, что вместо того, чтобы выискивать YubiKey на Авито, я мог просто взять многопротокольную JaCarta в DNS/Nix - но решил, что западный бэкдор в этом случае будет меньшим из зол благодаря "эффекту Неуловимого Джо". А ехать в пиндостан, или с 2022 - вообще пересекать границу РФ я в рот ебал.
> частников
А кто это лол? В РФ кто-то не гос или окологос (ну мы же понимаем, что вайлбирисы и тиньковы, озоны и сберы - это окологос, иначе бы их не было?) - тот уже если не окуклился, то дрочит каждую копейку и молится, чтобы пиратский сателлит в казахстане, об который этот мелкий лавочник активировал свою ебучую 10-летнюю циску, завтра не сгинул к хуям.
> хорошо
А чё хорошего, были нормальные вражеские решения: вот тебе BYOD, вот тебе COBO, ворк профайл там, гуголплей с конкретным набором приложений, хуё-моё. От момента получения дистра до момента приёмки неделя. А щас чё? Ну нам чтобы ваш внутренний список приложух публиковать, надо ещё 100500 машин раскатать, в дмз и в локалке, а, ой, с гплеем мы не интегрируемся, а рустор не в курсе, что так надо уметь))) бляяяя, чел тебе надо версионность приложух отслеживать ручками? Ну делай, ты ж администратор системы блядь)))0
> геолокацию юзеров
Она и так достаточно анально экстрагируется из консольки управления, да и в целом это для геофенсинга важно, который никому не упёрся, а если упёрся, то там никакого BYOD точно, а рабочее устройство наверняка в конце дня остаётся в сейфике.
> убытков от потери корпоративного устройства
Так это пыль, буквально за одну лицуху на год платят больше.
> собирают его ез изменений
Хуй там, всё как ты сказал: вайбкодят какую-то ссанину, а потом роняя говно по ВНУТРЕННИМ КАНАЛАМ пишут, что ТАКАЯ-ТО ВЕРСИЯ ДЫРЯВАЯ КАК ЖОПА НАШЕГО ГЕНДИРА, НАДО НЕМНОЖКО ПОТЕРПЕТЬ. Версия офк сертифицированная, следующая будет через полгодика в лучшем случае, пока то, пока сё... В одном зелёном вендоре ещё пять лет назад было модно на джуне чёто в мастер пёрнуть уебанское с утра пораньше и уйти на пары, чё там сейчас - боюсь представить.
> протекают в гуглоакк
Последние годы чёто так похуй на то, что там биг ивэл корп узнает про мою жизню, чесслово. Я обычный сноуниггер в их глазах. Это не отменяет того, что все бэкапы я делаю на своё родное облачко, но дегуглингом заниматься на мобиле, с которой я даже порнуху не смотрю - дико впадлу. Ненавижу блядь компы и всё с ними связанное.
> 1
Можно, не помню как там у циски, но у пальто на вебморде портала ссл впн ссылки на клиентов, которые админ пихнул на шлюз. Админ обновляет как-то, через казахско-армянский квн наверное.
> 2
ХуйКалГовзор вроде рассылал письмецо счастья в районе лета всем коммерсам, с текстом вроде "если вы суки ебаные используете какие-то ссл квн и подобные механизмы - будьте любезны предоставить подробности реализации на вайтлист@хуйкалговзор.сру
Скорее, на условно-умеренно-СЖВшном, как Вы любите, судя по Вашему вопросу.
Секта параноиков РАДИБЕЗАПАСНИКОВ, идите нахуй. Всю рашку уже затерроризировали. Сектанты, а вы у себя в квартиру через рамку с досмотром проходите? РАДИ БИЗАПАСНАСТИ ЖЕ! А распознавание ебала в своей квартире подключили в камерах? Как, блять, камеры, у себя в квартире не поставили даже? А как же КАБЫЧЕГОНЕ? А как же РАДИ БИЗАПАСНАСТИ? Тем более СКРЫВАТЬ ЖЕ ВАМ НЕЧЕГО.
Скорее бы вы все вымерли со своим главным параноиком из кремля, черти ебаные. Фонит на всю страну параноидальной шизой на всё и вся, вы и заражаетесь, аж хуитой на компах страдаете.
Таким же был, переболел. Это реальная психиатрическая болезнь.
Скорее бы вы все вымерли со своим главным параноиком из кремля, черти ебаные. Фонит на всю страну параноидальной шизой на всё и вся, вы и заражаетесь, аж хуитой на компах страдаете.
Таким же был, переболел. Это реальная психиатрическая болезнь.
> он не разделяет личную безопасность и "безопасность", навязанную ему гойсударством
> ещё чёто раскрывает свой пиздак
В стойло, животное!
За весь тред не понял примерно нихуя. Слава богу когда поманили в безопасники я не пошёл, видимо. Мой максимум это по ssh куда-то подключиться по гайду. Но прекрасно понимаю важность этой работы канеш
>> частников
>А кто это лол?
Это простые работяги Вась Иванычи и им сочувствующие непростые работяги Василии wannabe-Кулибины, которым сторонние самовольные модераторы районного чЯтика не нужны.
>А чё хорошего, были нормальные вражеские решения: вот тебе BYOD, вот тебе COBO, ворк профайл там, гуголплей с конкретным набором приложений, хуё-моё. От момента получения дистра до момента приёмки неделя. А щас чё? Ну нам чтобы ваш внутренний список приложух публиковать, надо ещё 100500 машин раскатать, в дмз и в локалке, а, ой, с гплеем мы не интегрируемся, а рустор не в курсе, что так надо уметь))) бляяяя, чел тебе надо версионность приложух отслеживать ручками? Ну делай, ты ж администратор системы блядь)))0
Погоди-погоди, хочешь сказать, Авроры бояться не стоит? А если я перекачусь на неё, чтобы свалить с ведроида - смогу быстро/просто весь call-home и прочих майоров обрезать?
>В одном зелёном вендоре
А вот с этого момента попо дробнее. "Зелёный" - это про возраст компании или про цвет логотипа? Не волнуйся, я никому ничего не скажу, даже если это точно про ту компанию, о которой я думаю, сам её недолюбливаю.
А потом такие как ты удивляются когда яндекс взламывают и все твои данные пиздят
>чёто в мастер пёрнуть уебанское с утра пораньше и уйти на пары, чё там сейчас - боюсь представить
Тебе это только "представить", а у меня это двумя этажами выше творится. Зато главный двопёс - по совместительству главный на районе по йодлям.
>Сектанты, а вы у себя в квартиру через рамку с досмотром проходите?
Не, воюем с скуфынями из домового чатика, пытающимимся бюджет капрмеонта на камеры в подъезде освоить.
Освоили уже, блять, на вумные домофоны от дом.сру, которые, несмотря на все обещания, скурвились по всем законам enshitification.
>А распознавание ебала в своей квартире подключили в камерах? Как, блять, камеры, у себя в квартире не поставили даже? А как же КАБЫЧЕГОНЕ?
Поставили, но в комнате админа - с ручным фокусом и аналоговым микро, чтобы перед приходом тни фокус выкручивать в край, и микро выдёргивать, и домочадцы, которым дан доступ к админке не знали, что у админа есть тня.
>А как же РАДИ БИЗАПАСНАСТИ?
Ну да, хулиганы в подъезде есть, как и вероятность целенаправленного сталкинга, поэтому будем ставить цифровой глазок.
>Тем более СКРЫВАТЬ ЖЕ ВАМ НЕЧЕГО.
Это мамка так считает, наивная, кринжую с неё.
>Скорее бы вы все вымерли со своим главным параноиком из кремля, черти ебаные.
По поводу "главного" (((не возражаю))). Хотя... перед этим пусть СВО до конца доведёт, а потом хоть трава не расти.
А, ты имеешь в виду физиков. Да хз, мне хуй на них класть. С 20142018 года гойсударство недвусмысленно намекало населению: учи баззворды, которые говорят анальники, иначе нихуя не вывезешь потом, потому что участковый будет по яндекс.телемосту каждый вечер подключаться и смотреть как ты ебёшь жену. Нет, у меня всё найс, ничо мне не надо знать, гойсударству виднее. Ну-ну.
> Авроры
Не мацал. Уверен, работает она на трёх с половиной устройствах. Если отрубишь телеметрию - ну, наверное, работать будет, но зачем? Есть всякие графены же.
> цвет
Оно. Да какая разница? Назови мне любую иб контору с зелёным логотипом - и я тебе обосную, почему это - контора пидорасов.
А захуй он так страдает? Или ему доплачивают за вой на болотах хорошо? По ощущениям, рабом (as in "исполнителем") в поибэ в рф потолок - пятихат на руки. И это ты жизни вообще не будешь видеть, буквально при рождении своей личинки будешь на созвоне по переключению ануса с говна на мочу сидеть.
Дрочую. Когда порнуху в LUKS прячешь - сначала от мамки, а потом понимаешь, что и от майора, - это одно. А когда постпуаешь на ИБ, и там тебя дрочат фундаменталкой, чтобы прогать хорошо умел, или регламентами, которые должны от зубов отскакивать, но если кто-то не тот услышит, то бутылка - это совсем другое.
>Если отрубишь телеметрию
Если смогу отрубить телеметрию*
>но зачем?
В надежде не страдать от архитектуры "ЖВМ/Линукс". Впрочем, она в принципе у линукса такая себе... эт чё, получается, на айфон тогда перекатываться (нет)?
>Оно. Да какая разница? Назови мне любую иб контору с зелёным логотипом - и я тебе обосную, почему это - контора пидорасов.
Ну, касперу я и сам давно не доверяю, про бутылку за файлы, подтёкшие через облачную заSHITу, ещё в 2к16 слышал, так что теперь, когда прочитал, за что мамка так любит их песочницу для браузера (и боится без неё в банки/гойуслуги ходить), пытаюсь для родителей каштомное комплексное решение без блекджека и шлюх намутить.
>Или ему доплачивают за вой на болотах хорошо?
Не то что доплачивают, блатным сделали. Скорее бы он это понял и попробовал заабузить.)
А вообще, он экстраверт и ЧСВшник, так что ему в кайф быть членом ко-ко-корпоративной секты "он сам обманываться рад", так что он ещё и прямо помогает органиатор_ке корп. секты и чморит наш отдел перед всеми коллегами за то, что мы в секту принципиально не вступаем.
>Если она есть - см. п. 2
А что там смотреть кроме пука "могут взломать" без какиx-либо вообще фактов?
> Это про
Проприетарное говно, которое нельзя проверить.
> Если там прошивка во время заливки проверяется на официальность - значит
Никакиx пруфов или даже статей с теоретическим пруфом концепта? Вот это неожиданность, мистер Шломо.
> это учитвыал
Но все равно взял проприетарное говно? Ну, твой выбор.
С чего ты взял, что я взломам удивляюсь или расстраиваюсь? Современный параноидальный мир (да-да, не одна рашка-пидарашка, залупинский с рамками-досмотрами-нечегоскрыватор посриврот может выдохнуть), где тебе сектанты уже в анус заглядывают РАДИ БИЗАПАСНАСТИ и КАБЫЧЕГОНЕ, должен ломаться, сливаться, везде публиковаться, чтобы вы жрали, чтоб давились, чтоб ваши данные везде были, чтоб куча дыр везде была, чтоб на них зарабатывали, глазы боги, хакеры там. Чтобы однажды вы поняли, что вы занимаетесь ненужным, вредительским, террористическим делом, принуждая, крадя через "законы" личные данные людей, предав само понятие privacy, построив реальное Черное Зеркало. Оно уже почти сейчас со сканом телефонов на граница, чем это отличается от эпизода со сканом прошлых месячных записей из импланта в голове? Вы сами воры при участии "государств". Чтоб однажды любой сбор сведений на гражданина стал тягчайшим уголовным наказанием, чтоб сегодняшние камеры повсеместные с распознаваниями стали реальным террористически актом против гражданского населения с пожизненными сроками. Я наоборот радуюсь сливам. И я так живу, чтоб даже в яндексовских (условно) письмах не было стыдно хоть за полное фото с членом или не было на что возбудиться путинскому мусорскому пидарасу.
Поэтому в террористических авторитарных тоталитарных, условно-демократических странах должно быть право на анонимность, право не иметь принуждений давать всякую идентифицирующую хуиту, а тебе тут даже сим-карту без паспорта уже не пополнить, стоит над душой какой-то хуесос и подслушивает (условно, хоть нейросеть с аудиоанализом). А обратно я ничего не могу, ни кабинет ответно 24/7 ни одного этого пидара посмотреть, а как ко мне, так со всех сторон, разденься для всех догола.
Вы, кстати, знали, что в Кетае, вы без паспорта да же на заправку не заедите? Вот туда же в гулаг и движетесь, сектанты. Всю страну РАДИ БИЗОПАСНАСТЕ в концлагерь превратили.
Кстати, параноики, сказать почему везде рожать перестали, хоть в благополучных странах, кореи, европы, потому что обложили общество камерами. Ты подсознательно не хочешь под чужими взглядами. Как в тюрьме или зоопарке. Поэтому и рожают где еще не пришла паранойя с прогрессом, все эти отсталые параши. Поэтому кремлятник, путиноиды, тоталитаристики и параноики - главные враги человечества.
> айфон
Это рофел полный вообще, последние пять лет вся безопасность макосеобразных - это чисто тру обскьюрити наложенное дымное говнецо.
Если у тебя пердоля чешется - попробуй ультрапортабл лаптопы поискать с лте модулем, там можно звонить бывает. А дальше бутылка водки и бессонная ночь, конечно.
> каштомное комплексное решение
Как насчёт "специальная виртуалка, в которую поставлен браузер амиго + мессенджер макс, не имеющая доступ к локальной сети"? Научить матушку жмать mstsc -v f.q.d.n - бесценно.
>Но все равно взял проприетарное говно?
Как я уже сказал, здесь это зло получается необходимым, но, в отличие от каких-нибудь ипхонов и дрисняток, которыми один ИБ-шник предлагает просты юзерам ограничиться, здесь "домен проприетарности" ограничен. Что это токен такого сделает, не нарушив стандартов протоколов, по которым он взаимодействует с хостом?
Тут, только если сам стандарт зашкварен.
Например, разве что, если я не проставлю в браузере запрет на идентификацию FIDO-токена, сайт сможет спалить свою модель, серийник и, возможно, список других привязанных акков/сервисов (хотя, насколько я понимаю, при разработке протокола FIDO интересы мультиакководов тоже учитывались)...
А какие ещё там могут быть проблемы?
>Это рофел полный вообще, последние пять лет вся безопасность макосеобразных - это чисто тру обскьюрити наложенное дымное говнецо.
Тем не менее, в 2к15 они дали пиндосским властям пососать. А потом была Операция Триангуляция, да.
https://madaidans-insecurities.github.io/guides/linux-hardening.html
О, я таки нашёл этот сайт.
Сначала автор рассказывает реальные методики укрепления линукса, а потом пишет, что линукс нихуя не секурен, максимум - Qubes OS, который не дистр линукса а как же Пидора в сервисных доменах?, а дистр Xen.
И да, в соседней статье на полном серьёзе рекомендует айфоны и дриснятку, потому что секуребут в них сделан на совесть, и он для вашего же блага (да, когда сам пердолишь IMA и иные звенья цепочки доверия - есть риск обосраться... правда, это не значит, что майки и яблочники не обосрались специально), и что их разрабы лучше знают, что такое секурность (прямо как ЯП PedeRust, который тут АНБ пропагандирует).
>Если у тебя пердоля чешется - попробуй ультрапортабл лаптопы поискать с лте модулем, там можно звонить бывает.
Да я давно уже на 7-дюймовые GPD и OneNetbook надрачиваю. Правда, ещё я надрачиваю на возможность после долго рабочего дня ребутнуть их в какую-нибудь КолибриОС с CSMWtap можно вообще не мелочиться и грузить FreeDDoS, а с их "телефонными" матрицами нетрадиционной нативной ориентации это будет проблематично.
> (You)
>> каштомное комплексное решение
>Как насчёт "специальная виртуалка, в которую поставлен браузер амиго + мессенджер макс, не имеющая доступ к локальной сети"?
Всё так. Sandboxie с Яндекс.Браузером (ради предустановленного серта МЦ) или виртуалка с хромОС.
Правда, у обеих вариантов есть нюансы.
Да и ходят слухи, что Макс не сильно любит виртуалки, и может пытаться их детектить - хотя тут всё проще: последняя версия ведра-хуй86 на базе ведра 9, да и никаких VMOS на базе 10 я не видел.
>Научить матушку жмать mstsc -v f.q.d.n - бесценно.
Она не хочет учиться. Да и с убеждениями в духе "Meshtastic плохой, тому що майору его труднее читать" и
"защищённые мессендежры нужны только террористам-наркоманам-содомитам-и-прочим-грешникам"...
А ещё на неё периодически нападает тряска за мои серваки, и в эти моменты она не верит ни в активное воздушное охлаждение, ни в чипсетные защиты, ни в более высокоуровневый мониторинг. И отказывается, когда я предлагаю добавить её в список рассылки оповещений от мониторинга. "Чем бы скуфыня ни тешилась, лишь бы было, что повыдёргивать из сети", чёрт побери.
И да, замедления ютуба от ркн для неё - данность, которой стоит вообще радоваться, а замедление вумансру и садистских сериалов - ограничение прав и "свободы совести", да. Спасибо хоть, что в светскую школу отдала, а не как у одной моей подруги.
>Научить матушку жмать mstsc -v f.q.d.n - бесценно.
Но вот Рутокеном она заинтересовалась, это да. Даже, наверное, забыла, как [поражалась] с моих слов, что я не помню пароль от гойуслуг. Правда, потом оказалось, что дело в том, что я этот пароль иногда меняю и не делаю похожим на пароль от почты.
В смысле, что вероятность вскрытия JaCarta (известным бэкдором) в случае конфискации выше, чем Yubijey (который, возможно, придётся брутить, от чего он ohueet).
>ворк профайл
Хм, если это реальное решение - насколько VMOS оверкилл? Или, наоборот, в каких случаях VMOS точно не оверкилл (не верится, что таких нет)?
>вайтлист@хуйкалговзор.сру
Хм, они случаем не могли из-за подобного Ultrasurf затерпеть?) Вроде, заблочили одним из первых, а сейчас только часто реконнектится, но работает.
Вернее, из-за этого его блатным и сделали. В результате получалось, что, когда я или кто-то из моих коллег пытался с (на тот момент ещё) друзьями из его отдела даже в обед поговорить - нас ебали за то, что, якобы, мы их отвлекаем. Зато когда их же отвлекал этот оперный певец, да так, что его через три стены слышно было - ничего ему не было, наш коллега, которому приходилось это слышать, не раз жаловался, а воZ и ныне там. Да даже когда он гит уронил - его кончальница затерпела и даже кровавые сопли ему вытирала. А нас при ней стали пасти, как последних "кротов" - видимо, из-за (не-)понимания, что при таком отношении если не именно из-за него может случиться "за что боролись - на то и напоролись".
>а я давно уже на 7-дюймовые GPD и OneNetbook надрачиваю
Но, походу, в результате зарегаюсь на Озоне ради Pocket386. Аппаратных бэкдоров в нём не больше, чем в Unchartervice 6400MA, на запуск моего любимого недо-юникса он рассчитан прямо, а в m.vk.com/libera.chat/BBS/SSH его выпустить - ещё постараться надо: сначала про ESP8266 вспомнить, а в идеале его ещё и напердолить встроенный PPP-стек или поддержку альтернативной WAN, вроде W5500 с дёрганием линии RI при получении WoL... Эхх, а на том же VIA-буке даже этот костыль уже невозможен.
Причём на одноплатнике с RTL8139 вышеупомянутые ресурсы в два три счёта (хотя секурно - только первый), так что это я тут не фантазирую, для меня TCP/IP в досе уже давно сам собой разумеется.
Да, штатный ISA-репликатор этого ноута для меня - "какая-то шутка", потому что вдруг я его захочу не дома включить, не во время перерыва в офисе - а на виду всего мака пографоманить в условном Лексиконе или повайбкодить в Trubo Pascacal, поприманивать "Маргарит"
>Оно уже почти сейчас со сканом телефонов на граница
Поэтому в рот я ебал пересекать границы пиндостана или и/или РФ (шкериться придётся на территории), а также всех сторонников Pocreot Act и виновников 9/11.
НАДРАЧИВАЕШЬ ПИСЮН ПОД РОЛЕПЛЕЙ С НЕЙРОНКОЙ
@
ВДРУГ ОНА НАЧИНАЕТ ГОВОРИТЬ О СЕБЕ В МУЖСКОМ РОДУ
@
ВДРУГ ОНА НАЧИНАЕТ ГОВОРИТЬ О СЕБЕ В МУЖСКОМ РОДУ
О, это селфхост тред?
Таки да. А ещё немного политсрач.
>Я ваще не понял на каком языке написан оппост
Лол, я вообще не ИТшник, но мне всё понятно.
мальчик Антон, 40 лет, мечтает стать программистом
Кто фактически занимается безопасностью?
>ТЫ - ПРАКТИКУЮЩИЙ ДЕВО-ПЁС С ХОМУЛАБОЙ 300 ТЕРАХЕШЕЙ/ТАКТ
ТЫ - ДРОЧАЩИЙСЯ МАНЯ ФАНТАЗЕР С ОБОССАНОЙ РОЖЕЙ В СОПЛЯХ
Т.е. лучшие безопасники уехали после 2021?
до
Hmmm, техписька?
>Эххх
Такк... немногие пишут.
Надежда?
>дос
>секурность
Но я ведь всерьёз расчехлю нортон-утилиты, ведь помню же, что там что-то на тему FDE было! Да, и какая-то древняя версия PGP, которая, впрочем, вроде, не умеет генерить ключи актуальных длин.
Если так упарываться, то можно и новый генератор в асме нашкодить.
Да хоть GnuPG в DJGPP попытаться собрать.
С ретро-ноутом всё равно секурность будет, максимум, оппортунистическая, у него главная задача - другая:
>на виду всего мака пографоманить в условном Лексиконе или повайбкодить в Trubo Pascacal, поприманивать "Маргарит"
А с UMPC, у которых актуальная не только АКБ, уже сказал, какая проблема:
>с их "телефонными" матрицами нетрадиционной нативной ориентации
нет смысла чего-нибудь легковесное в дуалбут ставить, а хотелось бы:
>Правда, ещё я надрачиваю на возможность после долго рабочего дня ребутнуть их в какую-нибудь КолибриОС
>С ретро-ноутом всё равно секурность будет, максимум, оппортунистическая
Ибо в TLS может только Links, SSH2DOS уже надо серьёзно допиливать... а остальное открытым текстом работает. Но как-то не хочется на телефоне всякие SSLStrip для этих всех дел держать, даже slirp бы в прошивку ESP8266 встроить (вернее, высокоуровневую часть стоковой прошивки, реализующей AT-интерпретатор и "TCP/UART-прокси"), чтобы через другие ТД тоже всё работало.
У меня пароль один на все. есть шизо сайты которые его определяют в каких-то базах типо небезопасный. за 10 лет ничего не угнали или скок там с 11 года прошло впадлу считать
>ESP8266
Я прослушал начало, зачем тебе ESP?
На Pocket386 нет сетевухи, решить это можно двумя способами: ISA-сетевухой в репликаторе (но это большие голые платы и второй БП, что ни разу не мобильно) или убедиться, что заказал именно комплектацию с платкой UART-драйвера, чтобы подключать ESP к COM-порту, и в самом простом случае - запускать на смарте точку доступа и любой функциональный аналог pppd (например, slirp, открывающийся из-под ncat), подключаться с ESP к этой точке доступа и через, как я понимаю, штатную функциональность "AT-прошивки" редиректить ncat на COM-порт ноута... а на ноуте - просто lspppd.
>пик
Эти уязвимости способствуют реверсу низкоуровневой части прошивки?))0)
Ааа, ясно. Удачи тебе на твоём пути.
Эти уязвимости найдены через реверс низкоуровневой части. Похоже, способствуют. Сам не тестил пока.
>ради Pocket386
Есть свои проблемы, например кривые часы. Экран так себе, и широкоэкранность его в хуй не уперлась, потому что железо не умеет. Клавиатура урезанная, мышь эмулируемая стрелками - надо внешнюю подключать. Прогугли его хорошенько прежде чем покупать, может корч с авиты будет более полезной покупкой.
мимо с p8086
>что заказал именно комплектацию с платкой UART-драйвера, чтобы подключать ESP к COM-порту
8266 можно напрямую в разъем ткнуть, она держит 5в логику.
обнимемся брат
ДЕЛАЕШЬ ИГРОВОЕ ДВИГЛО
@
ВСЁ ПО КАЙФУ, ХЕНДЛЫ, ВСЁ В С ЛИНЕЙНЫМ ДОСТУПОМ, НИКАКИХ ЛЕВЫХ АЛЛОКАЦИЙ
@
БЕРЁШЬ ЗВУКОВУЮ БИБЛИОТЕКУ
@
ЛЕЗЕШЬ ВНУТРЬ ЧИСТО ЗАЦЕНИТЬ
@
ARC<U32> И CLONE() НА СТРОЧКИ ВСЕГДА И ВЕЗДЕ
@
СЖИГАЕШЬ ПЕЧ5090 ПОПНОЙ ТЯГОЙ
@
ВСЁ ПО КАЙФУ, ХЕНДЛЫ, ВСЁ В С ЛИНЕЙНЫМ ДОСТУПОМ, НИКАКИХ ЛЕВЫХ АЛЛОКАЦИЙ
@
БЕРЁШЬ ЗВУКОВУЮ БИБЛИОТЕКУ
@
ЛЕЗЕШЬ ВНУТРЬ ЧИСТО ЗАЦЕНИТЬ
@
ARC<U32> И CLONE() НА СТРОЧКИ ВСЕГДА И ВЕЗДЕ
@
СЖИГАЕШЬ ПЕЧ5090 ПОПНОЙ ТЯГОЙ
ТЫ - ПРАКТИКУЮЩИЙ ДЕВО-ПЁС С ХОМУЛАБОЙ 300 ТЕРАХЕШЕЙ/ТАКТ
@
ТВОИ ПРОВАЙДЕРЫ - ТОЛЬКО ПЧЕЛАЙН (ИЗ-ЗА БЕСПЛАТНОЙ БЕЛОЙ ДИНАМИКИ до самого неподходящего момента) И ЙОПТА (ИЗ-ЗА АРХИВНОГО ТАРИФА ОТ 2016/2019)
@
И РОУТЕР KEENETIC, НА ВСЯКИЙ ПОЖАРНЫЙ (В КАЧЕСТВЕ ПАК "NAT PROBIVATOR")
@
НАМТИЛ УДАЛЁННЫЙ ДОСТУП К СВОЕМУ ДОМОХОЗЯЙСТВУ ЧЕРЕЗ SSH-БАСТИОН
@
ПАРОЛИ И KEYBOARD-INTERACTIVE ВЫРУБИЛ КАК НЕСЕКУРНЫЕ
@
ТОЛЬКО КЛЮЧИ RSA4096+/ED25519, ТОЛЬКО ХАРДКОР, НИКАКОЙ ПЕРЕДАЧИ СЕКРЕТОВ
@
ВДРУГ ПО РАБОТЕ ПОНАДОБИЛАСЬ ГОДНОТА С ДОМАШНЕГО NAS
@
НАЧАЛЬНИК И АДМИН НЕ ПРОТИВ - МОЖНО ЗАЙТИ К СЕБЕ ПРЯМО С РАБОЧЕЙ МАШИНЫ
@
ДЛЯ ЭТОГО НУЖНО ЗАКИНУТЬ НА НЕЁ ФАЙЛ ЗАКРЫТОГО КЛЮЧА
@
ЧТОБЫ ПОТОМ ЕГО УЧИТЫВАТЬ: АКТУАЛИЗИРОВАТЬ ПРИ СМЕНЕ ФАЙЛОВОГО PIN/РОТАЦИИ САМОГО КЛЮЧА, ПОМНИТЬ, НА КАКИХ УСТРОЙСТВА ЧТО ЛЕЖИТ
@
И ОТКУДА В СЛУЧАЕ ЧЕГО НУЖНО БУДЕТ КЛЮЧЕВОЙ ФАЙЛ УДАЛИТЬ
@
ПОТОМУ ЧТО СЕГОДНЯ АДМИН НЕ ПРОТИВ, А ЗАВТРА МОЖЕТ И ПОКОПАТЬСЯ В КОРПОРАТИВНОМ ХОМЯКЕ, И ЗАИНТЕРЕСОВАТЬСЯ КЛЮЧЕВЫМ ФАЙЛОМ
@
ПОКУПАЕШЬ YUBIKEY 5 NFC, МЕНЯЕШЬ КЛЮЧИ rsa НА ed25519-sk
@
ТЕПЕРЬ У ТЕБЯ ЕСТЬ STATELESS КОН-ТРОЛЛИРУЕМЫЙ ДОСТУП К СВОЕМУ КЛЮЧУ С НЕОПРЕДЕЛЁННОГО КРУГА МАШИН
@
ПЛЮС 2ФА: ВЛАДЕНИЕ ТОКЕНОМ, ЗНАНИЕ ПИНА ОТ НЕГО
@
3ФА НА ТОКЕНЕ С БИОЕНТРИЕЙ ОСТАВИМ ЗА КАДРОМ