Comments 60
Дааа, Асус отличился :)
А у Samsung, например, автоматические редиректы с HTTPS на HTTP на seller.samsungapps.com. Плюс, пароли в GET-параметрах, да еще и ограничение сверху для пароля — не более 15-ти символов, что наводит на мысль о том, что они хранятся без хэширования, в открытом виде.
У самсунга, насколько я помню, вообще если дыра, то размером с Землю.
А у Samsung, например, автоматические редиректы с HTTPS на HTTP на seller.samsungapps.com. Плюс, пароли в GET-параметрах, да еще и ограничение сверху для пароля — не более 15-ти символов, что наводит на мысль о том, что они хранятся без хэширования, в открытом виде.
У самсунга, насколько я помню, вообще если дыра, то размером с Землю.
В сбербанк-онлайн — регистро-независимые пароли.
Побежал проверять и охренел: реально регистронезависимые.
Ну может они делают сперва uppercase, а потом хешируют.
У Blizzard (в их battle.net), кстати, тоже.
«Ваш пароль уже используется аккаунтом misha1994, пожалуйста придумайте другой пароль»
В одном из банков — вообще только цифровой пароль для онлайн-банка. Почему? Вот оф. ответ:
---8< — Сообщаем, что пароль для входа в систему *****-Онлайн может состоять только из цифр (от 6 до 20 символов).
Обращаем внимание, что техническая возможность создать пароль, состоящий из букв, отсутствует.
Данные требования связаны с удобством ввода данных при использовании мобильного приложения *****-Онлайн и мобильной версии.
--->8---
---8< — Сообщаем, что пароль для входа в систему *****-Онлайн может состоять только из цифр (от 6 до 20 символов).
Обращаем внимание, что техническая возможность создать пароль, состоящий из букв, отсутствует.
Данные требования связаны с удобством ввода данных при использовании мобильного приложения *****-Онлайн и мобильной версии.
--->8---
Давайте называть имена героев. Например чисто цифровой пароль с такими же ограничениями у ВТБ24.
ВТБ24 вообще забавный банк: если есть какая-то вилка на выполнение операции — она практически гарантированно будет выполнена по верхней границе: денежный перевод до 3 банковских дней == денежный перевод 3 банковских дня. Аналогично со штрафами ГИБДД (там до 7 дней). Ещё умиляет, что оплата штрафа из онлайн банка — комиссия 20 руб, а того же штрафа их же картой, но через портал госуслуг — 10 руб. Ну да это меня понесло :)
PS а никто не знает, как можно отказаться от "зарплатного" банка и выбрать свой? Какие потери могут быть с моей стороны? Неудобство для бухгалтерии понятно.
Тут два варианта — по закону «легко и непринуждённо», по факту — зависит от конторы, некоторые только через заявление (со сменой банка вместе с конторой).
Около полутора лет приняли ФЗ и поправки к ТК, которые позволяют работнику слать все утверждения «а у нас зарплатный проект в ОткрытиеБанк, вот вам договор на их карточку». Вы можете принести работодателю реквизиты любого вашего счета, и он будет обязан перечислять зарплату на него. А многие, оказывается, не знают.
Вот: «5 ноября 2014 года вступил в силу Закон № 333-ФЗ, закрепивший право работника выбирать банк для начисления зарплаты (зафиксировано изменение в ч.3 ст. 136 ТК РФ). Сотрудник для этого должен в письменной форме сообщить работодателю об изменении своих банковских реквизитов не позднее, чем за пять рабочих дней до ее выплаты. Частота смены банка для проведения безналичного расчета не ограничена.»
Вот: «5 ноября 2014 года вступил в силу Закон № 333-ФЗ, закрепивший право работника выбирать банк для начисления зарплаты (зафиксировано изменение в ч.3 ст. 136 ТК РФ). Сотрудник для этого должен в письменной форме сообщить работодателю об изменении своих банковских реквизитов не позднее, чем за пять рабочих дней до ее выплаты. Частота смены банка для проведения безналичного расчета не ограничена.»
У CreditEurope банка тоже только цифры доступны для пароля.
Да, именно этот банк. Не знаю как в плане безопасности, а вот по «забавности», думаю, Сбер опередит ВТБ24.
Написать заявление в бухгалтерию, по закону не могут отказать. Но, поскольку перевод денег в другой банк платный, вы этим разоряете работодателя на несколько десятков рублей с каждой зарплаты. С его стороны будет логично уменьшить вашу зарплату на соответствующую сумму.
У ВТБ24-Онлайн 2 пароля на вход — первый постоянный цифровой для идентификации пользователя, после идентификации (ввода первого пароля) на этой же страничке выбор на вход по одноразовому смс паролю или через генератор одноразовых паролей (отдельное устройство получаемое в банке). Правда второй пароль тоже цифровой и так же как и первый 6-ти символьный.
Да, но я не думаю, что наличие 2FA авторизации должно снижать безопасность первого шага.
Вас никто не ограничивает 6 символами в первом пароле…
А если это мобилка, то второй фактор бесполезен. Сбер вон до пальца додумался, а так всего 5 цифр на вход.
А если это мобилка, то второй фактор бесполезен. Сбер вон до пальца додумался, а так всего 5 цифр на вход.
Спасибо. Честно говоря не знал об этом. Действительно у ВТБ-24.Онлайн через приложение можно сменить пароль и ограничения на количество символов не обнаружено — 16-ти символьный пароль проглотили без проблем. Палец кстати тем более не панацея — как раз наоборот у датчика пальцев больше векторов атаки.
Если я не ошибаюсь, то у всей Европейской BNP Paribas Group — тоже только цифровые пароли
Давайте называть имена героев.
Окей. В тему о безопасности: Сбербанк в этом году убрал из двухфакторной авторизации возможность входа по одноразовым паролям, печатаемым банкоматом. Оставили лишь вход по одноразовому паролю, присылаемому в SMS. Если раньше злоумышленнику нужно было кроме основного логина-пароля украсть ещё и мою карту, чтобы распечатать себе пароли, то теперь ему достаточно уболтать девочку в салоне оператора на перевыпуск SIM-карты. В последние годы масштаб таких атак набирает обороты, поскольку по липовым доверенностям симку перевыпускают без проблем, а иногда и вовсе без всяких документов (помню случай, когда сам сотрудник оператора был «в доле»).
Прикрутить возможность входа через пароли, генерируемые FreeOTP/Google Authentificator? Не, не слышали, да и вообще, «клиентам это не нужно, слишком сложно».
Как писал выше, у сбера есть палец, но всё-равно не надёжно. А вот от перевыпуска СИМ сбер защищён. Мне пришла СМС, что симка заменена и фиг тебе, а не пароль. Неси анализы, будем сверять.
Вот насчёт защиты от перевыпуска это вопрос. В комментариях люди отписывались, что даже у тех банков, у которых эта защита есть, она почему-то работает не для всех. У Сбера её, на тот момент, не было, хорошо, если они подтянулись.
У банка Открытие в пароле могут быть только цифры, при чем ровно 6 символов (ни больше и ни меньше).
При этом безопасность они повышают таким кейсом: Если кто-то ввел 3 раза неправильный пароль от аккаунта, то аккаунт блокируется. Чтобы разблокировать, надо ехать в офис с паспортом.
При этом безопасность они повышают таким кейсом: Если кто-то ввел 3 раза неправильный пароль от аккаунта, то аккаунт блокируется. Чтобы разблокировать, надо ехать в офис с паспортом.
В YaFF старых версий было такое, пришёл в ужас, обновили версию — стали нормальные, но взвыли пользователи «пароль не подходит». Половина вводила при регистрации sLoZnIjPaRoL123, а набирали на входе уже давно без учёта регистра. Пришлось патчить, чтобы дыра была в безопасности (начальство настояло на хождении на поводу у пользователей).
*чайник*
Этот баг работает для всех операционных систем и/или независимо от них? В логах видны различные варинты винды, а что с линуксом/юниксом? Тоже самое?
*/чайник*
Этот баг работает для всех операционных систем и/или независимо от них? В логах видны различные варинты винды, а что с линуксом/юниксом? Тоже самое?
*/чайник*
UFO just landed and posted this here
UFO just landed and posted this here
Именно по этому после покупки надо ставить linux :)
А asus вообще странный. Сам являюсь обладателем их бука с родной 7-кой. В один прекрасный момент система накрылась (не помню уже что там было).
Ок, нет проблем, у нас есть раздел восстановления. А вот фиг. С него она ставиться отказалась намертво. Грузится и ничего не делает.
Долго пробовал разные мануалы, копирование раздела, распаковку, разную форму бубнов, но в итоге забил и установил другую 7-ку.
Так после установки комплекта дров некоторые софтины асуса (которые идут в общем комплекте) не грузятся обосновывая это тем, что работают только на асусе. Не то, чтобы они были необходимы (скорее всё равно их удалять бы пришлось), но сам факт повеселил.
А asus вообще странный. Сам являюсь обладателем их бука с родной 7-кой. В один прекрасный момент система накрылась (не помню уже что там было).
Ок, нет проблем, у нас есть раздел восстановления. А вот фиг. С него она ставиться отказалась намертво. Грузится и ничего не делает.
Долго пробовал разные мануалы, копирование раздела, распаковку, разную форму бубнов, но в итоге забил и установил другую 7-ку.
Так после установки комплекта дров некоторые софтины асуса (которые идут в общем комплекте) не грузятся обосновывая это тем, что работают только на асусе. Не то, чтобы они были необходимы (скорее всё равно их удалять бы пришлось), но сам факт повеселил.
А вы со своим серийником и OEM-сертификатом активировали? Вполне возможно, что софт проверяет платформу по версии винды.
Про ОЕМ сертификат не в курсе, разве серийника недостаточно?
Серийник с наклейки, вроде, подошел. Хотя врать не буду, не помню, это давно было. Версию поставил ту же. Вообще проверять железо по версии системы — странное решение. Система обновилась и всё, каюк? Вроде из биоса можно получить название модель материнки, что вында и делает. Почему нельзя просто его проверить?
Серийник с наклейки, вроде, подошел. Хотя врать не буду, не помню, это давно было. Версию поставил ту же. Вообще проверять железо по версии системы — странное решение. Система обновилась и всё, каюк? Вроде из биоса можно получить название модель материнки, что вында и делает. Почему нельзя просто его проверить?
Я не в курсе, как оно проверяется, просто предположил.
Для активации брэндированной OEM-версии семёрки нужен маркер в биосе, сертификат и серийник. Маркер, обычно, никуда не девается, а вот сертификат, если это не дистрибутив производителя, нужно ставить вручную после установки системы. Популярный eXtreme loader умеет определять наличие маркера и при автоматической активации ставит не загрузчик, а подходящие сертификат и ключ SLP.
Брэндированная — это когда на наклейке помимо редакции винды указан производитель комрьютера — ASUS, Dell, Ulmart…
Для активации брэндированной OEM-версии семёрки нужен маркер в биосе, сертификат и серийник. Маркер, обычно, никуда не девается, а вот сертификат, если это не дистрибутив производителя, нужно ставить вручную после установки системы. Популярный eXtreme loader умеет определять наличие маркера и при автоматической активации ставит не загрузчик, а подходящие сертификат и ключ SLP.
Брэндированная — это когда на наклейке помимо редакции винды указан производитель комрьютера — ASUS, Dell, Ulmart…
Нафига сертификат если маркер уже есть? Странные люди. Если кто-то сумел подделать маркер, то чем сертификат поможет?
На наклейке, вроде, даже модель была указана (нет сейчас его под рукой).
Т.е. если сети на нём нет — достать этот сертификат уже никак? Странная система.
На наклейке, вроде, даже модель была указана (нет сейчас его под рукой).
Т.е. если сети на нём нет — достать этот сертификат уже никак? Странная система.
Маркер привязан к конкретному сертификату. Иначе пришлось бы либо запихнуть все возможные образцы маркера в стандартный дистрибутив (что сложно, учитывая количество производителей техники), либо делать маркер универсальным для всех (что смысла не имеет).
Предполагается, что у вас есть раздел восстановления или диск с образом восстановления или просто дистрибутивом производителя. Если нет, то придётся обращаться к производителю — да, поддержку OEM-дистрибутивов MS делегирует вендору. Сертификат отдельно от дистрибутива официально не распространяется. Но можно достать неофициально и принести на флешке — семёрка-то не требует активацию непосредственно при установке.
Вообще, MS намудрили тут изрядно, но по мне вполне изящный способ:
— можно поставить винду без активации, потом уже выбрать, использовать OEM, коробочную лицензию, корпоративную или что-то другое :)
— можно переактивировать винду без переустановки (привет, Windows XP). Также можно повышать редакцию (про понижение не уверен) заменой серийника.
— можно активировать полностью оффлайн с SLP-ключом (собственно, активатор это и делает, либо найдя валидный маркер в биосе, либо подсунув свой загрузчик, который его эмулирует). AFAIK использование SLP-ключа вполне легально (при наличии наклейки, полученной вместе с компом, само собой).
Предполагается, что у вас есть раздел восстановления или диск с образом восстановления или просто дистрибутивом производителя. Если нет, то придётся обращаться к производителю — да, поддержку OEM-дистрибутивов MS делегирует вендору. Сертификат отдельно от дистрибутива официально не распространяется. Но можно достать неофициально и принести на флешке — семёрка-то не требует активацию непосредственно при установке.
Вообще, MS намудрили тут изрядно, но по мне вполне изящный способ:
— можно поставить винду без активации, потом уже выбрать, использовать OEM, коробочную лицензию, корпоративную или что-то другое :)
— можно переактивировать винду без переустановки (привет, Windows XP). Также можно повышать редакцию (про понижение не уверен) заменой серийника.
— можно активировать полностью оффлайн с SLP-ключом (собственно, активатор это и делает, либо найдя валидный маркер в биосе, либо подсунув свой загрузчик, который его эмулирует). AFAIK использование SLP-ключа вполне легально (при наличии наклейки, полученной вместе с компом, само собой).
Не совсем понял. В чём проблема, если у нас есть, маркер и серийник, который вычисляется с участием например модели компа, серийника материнки или ещё какого идентификатора (не помню что там сейчас доступно) и этого маркера по некому алгоритму. Да, если распотрошат алгоритм — смогут подделывать серийники. Но многие ли будут так заморачиваться с этим если можно любую пиратку поставить просто по серийнику? Это, как сейчас принято, геморрой исключительно для законных пользователей.
Кстати что-то мне подсказывает, что даже если загнать все возможные варианты маркера для каждой модели (зачем? достаточно одного маркера — «разрешена установка вын7про») то в сжатом виде это будет меньше, чем огромное количество всякой хрени типа визуальных тем и звуков, примеров видео и т.д., которые идут с ней в комплекте.
Вот у меня есть (уже нет, но не суть) раздел восстановления и толку? Гарантия кончилась и за просто так мне его вряд-ли приведут в рабочее состояние (что с ним случилось — это вообще загадка)
Кстати что-то мне подсказывает, что даже если загнать все возможные варианты маркера для каждой модели (зачем? достаточно одного маркера — «разрешена установка вын7про») то в сжатом виде это будет меньше, чем огромное количество всякой хрени типа визуальных тем и звуков, примеров видео и т.д., которые идут с ней в комплекте.
Вот у меня есть (уже нет, но не суть) раздел восстановления и толку? Гарантия кончилась и за просто так мне его вряд-ли приведут в рабочее состояние (что с ним случилось — это вообще загадка)
Маркер не зависит от модели компа, как и сертификат. Ну, точнее, может и зависит, у HP, вроде, для Compaq один набор, для других линеек другой, но вообще стандартно один вендор — один набор. Далее на основе сертификата выпускается дистрибутив, с которым идёт серийник — единственная уникальная штука. В результате:
Маркер (SLIC, в случае Windows 7 версии 2.1) — чтобы ограничить установку куда попало (сгорел комп, купил новый, взял наклейку со старого; сфоткал в конторе наклейку со своего, пришёл домой, установил себе). По задумке самый серьезный элемент защиты, в реальности легко прошивается, на mydigitallife вообще полуавтоматический патчер для образов биосов видел.
Сертификат — без него винда не опознает вендорский серийник, а сам сертификат валиден только при наличии SLIC. Легко устанавливается (slmgr чтототам сертификат.xrm-ms), ещё проще вынимается из недр %windir%.
Серийный номер — он и в 98-й серийный номер. Вынимается с помощью ProduKey или чего-то аналогичного. Вместо него прокатит и SLP (универсальный вендорский ключ, которым часто активируют предустановленных систему на заводе; в интернетах есть полное собрание, как и подходящих к ним сертификатов с образами SLIC), можно даже на десятку с ним проапгрейдиться.
С тем, что раздел восстановления в большинстве случаев это бесполезная хрень, я согласен. Просто у него и у диска восстановления by design разные области применения, точнее, у него она ограниченая: восстановить работу системы на исправном жестком диске.
Геморрой для законных пользователей это не изобретение MS.
Маркер (SLIC, в случае Windows 7 версии 2.1) — чтобы ограничить установку куда попало (сгорел комп, купил новый, взял наклейку со старого; сфоткал в конторе наклейку со своего, пришёл домой, установил себе). По задумке самый серьезный элемент защиты, в реальности легко прошивается, на mydigitallife вообще полуавтоматический патчер для образов биосов видел.
Сертификат — без него винда не опознает вендорский серийник, а сам сертификат валиден только при наличии SLIC. Легко устанавливается (slmgr чтототам сертификат.xrm-ms), ещё проще вынимается из недр %windir%.
Серийный номер — он и в 98-й серийный номер. Вынимается с помощью ProduKey или чего-то аналогичного. Вместо него прокатит и SLP (универсальный вендорский ключ, которым часто активируют предустановленных систему на заводе; в интернетах есть полное собрание, как и подходящих к ним сертификатов с образами SLIC), можно даже на десятку с ним проапгрейдиться.
С тем, что раздел восстановления в большинстве случаев это бесполезная хрень, я согласен. Просто у него и у диска восстановления by design разные области применения, точнее, у него она ограниченая: восстановить работу системы на исправном жестком диске.
Геморрой для законных пользователей это не изобретение MS.
Угу, картинка очень жизненная.
А диск — хрень вполне логичная и по своему даже удобная (если не жалко места на винте). Особенно учитывая отсутсвие CD|DVD на современных буках — так почти безальтернативная. Разве что в комплекте каждому флешку с дистрибутивом давать. Вопрос тут лишь в том, что он тупо не работал. И, судя найденным в процессе отзывам — очень у многих не работал. Причём без объяснения причин. Ни ошибок, ничего. Диск вполне исправен, кстати, до сих пор вполне пашет.
А диск — хрень вполне логичная и по своему даже удобная (если не жалко места на винте). Особенно учитывая отсутсвие CD|DVD на современных буках — так почти безальтернативная. Разве что в комплекте каждому флешку с дистрибутивом давать. Вопрос тут лишь в том, что он тупо не работал. И, судя найденным в процессе отзывам — очень у многих не работал. Причём без объяснения причин. Ни ошибок, ничего. Диск вполне исправен, кстати, до сих пор вполне пашет.
UFO just landed and posted this here
Почитал про драйвер. Вроде никаких проблем с управлением питанием не заметил, всё нормально работает. Ставил инстяляшкой с родного диска, так что вряд-ли она что-то пропустила. Скорее лишнего наставила. Да и вында видит, что это asus. Разве что криво встал и работает не полностью, хотя и не представляю, как это может быть
И платить за это ещё 8 тыщь? Я вообще-то уже купил винду вместе с ноутом.
Неужели так сложно вытащить ОЕМ ключ и произвести чистую установку?
Наверно, сложно. В техподдержке Asus мне сказали, что это вообще невозможно и установить можно только ту винду, которая шла в комплекте. Причём, её даже скачать нельзя — только с заранее сделанного образа восстановления либо в сервисном центре.
Мне всегда нравилось железо от ASUS.
А софт от ASUS всегда заставлял меня плакать.
А софт от ASUS всегда заставлял меня плакать.
У меня такая привычка:
Покупаю ноут делаю бекап разделов, проверяю доступность дров на офф сайте, сайтах производителей оборудования и сношу все разделы, разбиваю как надо и ставлю чистую систему.
Стараюсь ставить дрова от производителей оборудования если нет от асус.
минимум только чтобы работало всё оборудование функциональные клавиши, тачпад, картридер.
Поставил дрова настроил систему и сделал бекап положил на скрытый раздел (акронис).
Биос шью только из-под биос. (качаю с офф сайта). Никаких утилит автообновления.
Покупаю ноут делаю бекап разделов, проверяю доступность дров на офф сайте, сайтах производителей оборудования и сношу все разделы, разбиваю как надо и ставлю чистую систему.
Стараюсь ставить дрова от производителей оборудования если нет от асус.
минимум только чтобы работало всё оборудование функциональные клавиши, тачпад, картридер.
Поставил дрова настроил систему и сделал бекап положил на скрытый раздел (акронис).
Биос шью только из-под биос. (качаю с офф сайта). Никаких утилит автообновления.
Sign up to leave a comment.
Asus автоматически обновляет BIOS/UEFI по HTTP без верификации