Comments 62
братья тех сисадминов, что запрещают протокол ICMP. «Нас не смогут пинговать — значит и не взломают»…
Вообще-то ICMP это не только ping, но и куча других типов сообщений. Поэтому есть два подхода: аккуратно выключить все ненужные типы, а на оставшиеся повесить рейт. Либо вообще выключить ICMP.
Во-вторых, при отключенном ICMP сервер не тратит ресурсы на формирование ответа. Само по себе это не панацея, но в комплексе с другими мерами безопасности может сыграть роль.
В-третьих, позволяет избежать случайных атак, когда китаец просто пингует все адреса по очереди и с теми, которые ответили, уже начинает разбираться детальнее.
Может его отключение и не самый кошерный ход, но зато простой, быстрый и не требует от сисадмина серьезных навыков. Потому имеет право на жизнь.
Может его отключение и не самый кошерный ход, но зато простой, быстрый и не требует от сисадмина серьезных навыков.Простой быстрый способ доставить людям кучу гемора, да.
Потому имеет право на жизнь.Дык людче провод из розетки выдернуть и всё — куда как надёжнее. На выключенный компьютер ни одна DDOS-атака не действует!
Кое где, кстати, словил непонятный баг, из-за которого ввести пароль не могу в принципе. Скопировать можно, а ввести нет. Уже и по кодам символов проверял — так ничего и не понял.
Лучше ссылкой.
А услуга — получение прав. По факту там нужно заполнить только адрес (почему адрес!? почему с точностью до квартиры? почему нельзя выбрать из списка инспекцию?) инспекции, где собираешься получать права. При этом ещё, внезапно, становится обязательным номер телефона, который для гу не обязателен. Причём половину полей я заполнить даже не могу, поскольку документы эти уже находятся в гибдд и номеров их у меня просто нет.
Так что вся форма забивается просто мусором, подходящим по формату. Формат подбирается опытным путём по сообщениям об ошибке. Очень удобно, если вам нечем заняться…
Вообще есть некоторая вероятность, что сканы там просто не хранятся. С другой стороны то, что эта система вообще как-то работает вызывает уважение. Имею некоторое представление о том, как происходит взаимодействие разных систем у нас…
В моём случае для получения разрешения на ношение и хранение (да и лицензии на приобретение так же) в форму подачи заявления я загрузил все требуемые сканы справок и документов, а на следующий день меня пригласили в ЛРО для предъявления тех документов, чтобы в ЛРО сняли с них копии. Когда я пришёл, спросил сотрудника, зачем это делать, если сканы есть в госуслугах, на что мне показали распечатку моего заявления в котором ни о каких сканах нету и упоминаний, притом в истории поданных заявлений в госуслугах файлы есть и доступны для скачивания по сей день.
— в электронном виде: ты заполняешь на сайте все формы и приходишь только для получения уже готового документа (ну или приходишь, показываешь оригиналы документа, тебя фотографируют/ты отдаешь фотографию и тебе сразу или через пару часов отдают готовый документ)
— лично: ты идешь в организацию, там заполняешь в бумажном виде/через оператора все документы, потом через n дней приходишь за результатом…
Я так паспорт получал с женой — она — лично — сдала паспорт и ксерокопии всех документов в МФЦ, потом через 2 недели она пришла за новым паспортом.
Я в электронном виде заполнил все формочки, мне назначили время приема, я пришел, сдал фото, показал оригиналы документов и через два часа уже получил новый паспорт со всеми отметками…
Можно тут вставить. Тут всё не на символах, а на обработчике нажатия клавиши работает (keypress
, -down
, -up
). А на госуслугах просто используются очень хреновые jq формочки, да ещё вроде как своего производства.
А зачем на госуслугах пароли?
«здесь так принято»
Желаю им всем гореть в аду всем!
П.С.: Жаль, что ада нет :(
Вообще ни о чём. Запрещают же вставлять, а не копировать в буфер обмена.
Согласен на 100% со статьёй. Ужасно бесит, и доходило даже до того, что писал скрипты для GreaseMonkey включающие вставку в поля
В тот же котёл можно посадить разработчиков сайтов, которые запрещают выделять текст. Видимо, это бестолковая попытка бороться с воровством контента, но нормальному использованию это тоже мешает. Чтобы, например, загуглить неизвестный термин, приходится лезть в devtools.
обновляйте программное обеспечение — это IT-версия здорового питания и один из лучших способов защитить компьютер
Ну, это такое, весьма сомнительное заявление, между прочим. Из личных наблюдений: условная версия «1.0» условной программы, которая устанавливается с нуля, может быть «чистой» в плане вирусов, и нетребовательной в плане злоупотребления доступом к правам/системе/данным, а вот обновлённая версия «1.1», которая устанавливается поверх спустя некоторое время, может содержать в себе много всего лишнего, о чём сама система послушно и непременно сообщит, но что большинством даже относительно внимательных пользователей всё равно будет проигнорировано — скажется положительный опыт работы с «1.0» плюс нежелание отказываться от вполне работающей программы: "не паникуй, я же пользовался 1.0 до сегодняшнего дня нормально — всё ок, можно смело ставить и 1.1". Самим же автором программы её возросший аппетит к правам/системе/данным будет, как обычно, обоснован внедрением новых фич, технологий, и общим чувством заботы о своих пользователях.
Так что не всё так однозначно с обновлениями.
В твиттере нам часто присылают примеры сайтов, которые блокируют вставку пароля из буфера обмена.
Так зачем организации это делают? Часто они не дают никаких объяснений, но если всё-таки дают, то говорят о «безопасности».
Появилось это в начале нулевых. Лично я это встретил в корпоративных софтинках после 9/11. Возможно даже из-за этого. Американское правительство озаботилось защитой от терроризма в интернете и выделило деньги на создание отдела по защите своих сайтов от хакерских атак. Потом это стало модно и каждая корпорация озаботилась такими же отделами. Я лично спрашивал этих гайцев — зачем? Зачитали с бумажки своего циркуляра. Звучало приблизительно так — «Пользователю запрещается пользоваться буфером обмена для пароля, чтобы пользователь случайно не ввёл неправильный пароль и скопировал его не заметив ошибку». Потом добавили, что дальнейший логин с неправильным паролем просто лочит учётную запись после нескольких ретраев. Это создаёт головную боль всей иерархии по разблокированию юзера. (Представьте компанию в >100000 человек, где смена пароля обязательна после 30 дней и ошибаются 5%) Юзер с заблокированным акаунтом сидит и ничего не делает несколько часов пока не разблокируют учётку, при этом компания ему платит деньги за ожидание.
На совещаниях это преподносилось как защита от ошибок и как огромная экономия денег. Капиталисты одним словом…
К слову плюсов в этом и правда никаких, я бы никогда не вставлял пароль, который помню и знаю, а сгенерированный всегда вставляю. Как те кто это делал, не понял такие простые вещи остается загадкой.
Пусть они вставляют пароли