Спору нет, что работает. Вопрос масштабов. Условные десять лет назад такое было куда проще провернуть. В международных сценариях (случай CF) и через десять лет всегда найдётся вариант влить поддельные src IP. Но я вижу что риск атак, например, с ломаных IoT устройств куда более весом и реален, а в перспективе станет ещё больше. Просто не будет иметь смысла искать оператора, через которого можно лить подозрительный трафик, когда можно устроить настоящий DDoS со "стопитсот" легитимных адресов, которые ещё фиг зафильтруешь.
Нет, это не так. Современные смартфоны по умолчанию при подключении по Wi-FI генерируют случайный MAC-адрес. Кроме того, Госуслуги если и полагаются на MAC-адрес, то в последнюю очередь - можете попробовать сами зайти с авторизованного устройства в другом браузере или режиме "Инконгнито".
IP адреса источника можно подделать на стороне отправителя. Если вы баните по IP источника SYN сегмента то у скрипткидди появляется отличная возможность, ну например, сделать ваш сервер недоступным для поисковиков или даже для вас самих.
Справедливости ради, это не такая уж тривиальная задача, ибо на старте такие пакеты будут порезаны оператором. Конечно, у кого-то uRPF может и не настроен, но в целом, кажется, это очень ограниченная в реализации атака.
Не зная ситуации, не могу ничего утверждать наверняка, но, учитывая защиту банковских приложений, упомянутый в статье SSL-pinning, требования банка подтверждать ощутимые по суммам транзакции, могу предположить что Wi-Fi тут оказался одним из, если вообще имеющим хоть какое-то значение фактором.
Если, например, у людей очень старый смартфон, если там используется резолвер, что прилетел по DHCP вместо DoH/DoT, наконец, если оплата была с помощью номера карты и CVV кода, то всё может быть. Но объективно, смартфон в сети Wi-Fi - это просто хост, который не слушает никаких портов (не должен, во всяком случае). И в былые-то годы основной атакой было именно снифать трафик, подменять шлюз (ARP-poisoning), красть cookie, то сейчас всё это просто не работает. Единственный сколько-то рабочий сценарий, кажется, это упомянутый тут в комментариях вариант с вредоносным резолвером, когда человеку отдаётся фишинговый узел вместо оригинального.
В статье всё верно озвучено. Публичный Wi-Fi плох не этим всем, а более банальной вещью: законодательство требует обязательной аутентификации пользователей, а значит вы попадёте на captive portal где вас спросят телефон и пришлют SMS. Кто и куда запишет ваш номер, додумайте сами.
Спору нет, переходить просто ради новой версии смысла нет. Но вы зачем-то же с 3 на 7 перешли :) И потом, а если там уязвимости найдутся? Кроме того, вот вы обновляете ОС на хостах. В какой-то момент времени старые пакеты могут перестать работать. Что делать?
Учитывая, что Perforce прикрыли развитие open source версии, смысла брать ванильный Puppet в качестве SCM уже нет. Собственно, потому OpenVox и появился. Теперь, кажется, либо его, либо уходить на другую систему.
Eee PC 900 — почти брат, но… У меня есть и 900-я модель — с экраном побольше, чуть мощнее железом, и даже с двумя SSD. Но… он уже не тот. Он и внешне не так цепляет, и состояние у него куда хуже. Царапины, потёртости, в петлях есть люфт. Чувствуется, что пожил. Но главное — уже нет той "искры", которая была в 701. 701 — это как первый альбом культовой группы. Чистый, дерзкий, без коммерческой огранки.
Как бывший счастливый обладатель Eee PC 900, не могу не сказать пару слов в защиту своего "любимца". Семисотую серию пропустил, приобрёл свою "еешку" лишь в 2009 году. Самый главный плюс - большой экран. К тому же, у меня была "linux-версия", так что 4+16ГБ SSD обеспечивали вполне комфортный объём для хранения своих файлов. А 2ГБ RAM позволяло запускать довольно "тяжелые" приложения. В довершение всего, ёмкий аккумулятор на 5800 mAh давал несколько часов автономной работы, что по тем временам было очень хорошим показателем. Правда, тогда же вышел Intel Atom, по сравнению с которым мой Celeron 900 уже выглядел блекло.. Тем не менее, этот нетбучек годы был моим верным спутником в поездках и на работе, с его помощью я сидел в Интернете, читал, смотрел фильмы, даже видеозвонки в Skype проводил! Кроме того, малый вес и полноценный ethernet-адаптер делали его идеальным компьютером для работы "в полевых условиях", так что ноутбучек не раз выручал когда надо было что-то настраивать в серверной или в ЦОДе.
Думаю, тут стоило бы рассказать, почему нужно экранировать %. Сам в своё время был неприятно удивлён, когда исправно работающая команда при запуске вручную, напрочь ломалась при запуске по крону. А причина вот в чём:
A "%" character in the command, unless escaped with a backslash (\), will be changed into newline characters, and all data after the first % will be sent to the command as standard input.
Тот случай, когда не сразу сообразишь, что надо почитать man :)
Это откуда? А то в России, например, всё больше отечественные усердствуют. Даже импортозамещения никакого не надо - превосходят все существующие мировые аналоги...
Судя по потоку новостей про то, как РКН снова что-то заблокировал, по регулярным отключениям мобильного интернета, по "странным" проблемам с доступностью разных сервисов, которые удивительным образом решаются стоит включить какое-нибудь анти-DPI решение, "лекарство" выглядит сильно хуже "болезни". Так что лично я ставлю, что да - ущерб от действий РКН превосходит таковой от АНБ.
Ну, кровати в борделе сами себя не переставят..
Думаю, уместо заметить, что уже была на Хабре неплохая статья статья на тему имитации сетевых проблем. Всем интересующимся темой - рекомендую!
А, значит я просто не понял вас. Да, такой сценарий выглядит вполне возможным.
Спору нет, что работает. Вопрос масштабов. Условные десять лет назад такое было куда проще провернуть. В международных сценариях (случай CF) и через десять лет всегда найдётся вариант влить поддельные src IP. Но я вижу что риск атак, например, с ломаных IoT устройств куда более весом и реален, а в перспективе станет ещё больше. Просто не будет иметь смысла искать оператора, через которого можно лить подозрительный трафик, когда можно устроить настоящий DDoS со "стопитсот" легитимных адресов, которые ещё фиг зафильтруешь.
Нет, это не так. Современные смартфоны по умолчанию при подключении по Wi-FI генерируют случайный MAC-адрес. Кроме того, Госуслуги если и полагаются на MAC-адрес, то в последнюю очередь - можете попробовать сами зайти с авторизованного устройства в другом браузере или режиме "Инконгнито".
Справедливости ради, это не такая уж тривиальная задача, ибо на старте такие пакеты будут порезаны оператором. Конечно, у кого-то uRPF может и не настроен, но в целом, кажется, это очень ограниченная в реализации атака.
Не зная ситуации, не могу ничего утверждать наверняка, но, учитывая защиту банковских приложений, упомянутый в статье SSL-pinning, требования банка подтверждать ощутимые по суммам транзакции, могу предположить что Wi-Fi тут оказался одним из, если вообще имеющим хоть какое-то значение фактором.
Если, например, у людей очень старый смартфон, если там используется резолвер, что прилетел по DHCP вместо DoH/DoT, наконец, если оплата была с помощью номера карты и CVV кода, то всё может быть. Но объективно, смартфон в сети Wi-Fi - это просто хост, который не слушает никаких портов (не должен, во всяком случае). И в былые-то годы основной атакой было именно снифать трафик, подменять шлюз (ARP-poisoning), красть cookie, то сейчас всё это просто не работает. Единственный сколько-то рабочий сценарий, кажется, это упомянутый тут в комментариях вариант с вредоносным резолвером, когда человеку отдаётся фишинговый узел вместо оригинального.
В статье всё верно озвучено. Публичный Wi-Fi плох не этим всем, а более банальной вещью: законодательство требует обязательной аутентификации пользователей, а значит вы попадёте на captive portal где вас спросят телефон и пришлют SMS. Кто и куда запишет ваш номер, додумайте сами.
Спору нет, переходить просто ради новой версии смысла нет. Но вы зачем-то же с 3 на 7 перешли :)
И потом, а если там уязвимости найдутся? Кроме того, вот вы обновляете ОС на хостах. В какой-то момент времени старые пакеты могут перестать работать. Что делать?
Учитывая, что Perforce прикрыли развитие open source версии, смысла брать ванильный Puppet в качестве SCM уже нет. Собственно, потому OpenVox и появился. Теперь, кажется, либо его, либо уходить на другую систему.
Как бывший счастливый обладатель Eee PC 900, не могу не сказать пару слов в защиту своего "любимца". Семисотую серию пропустил, приобрёл свою "еешку" лишь в 2009 году. Самый главный плюс - большой экран. К тому же, у меня была "linux-версия", так что 4+16ГБ SSD обеспечивали вполне комфортный объём для хранения своих файлов. А 2ГБ RAM позволяло запускать довольно "тяжелые" приложения. В довершение всего, ёмкий аккумулятор на 5800 mAh давал несколько часов автономной работы, что по тем временам было очень хорошим показателем. Правда, тогда же вышел Intel Atom, по сравнению с которым мой Celeron 900 уже выглядел блекло.. Тем не менее, этот нетбучек годы был моим верным спутником в поездках и на работе, с его помощью я сидел в Интернете, читал, смотрел фильмы, даже видеозвонки в Skype проводил! Кроме того, малый вес и полноценный ethernet-адаптер делали его идеальным компьютером для работы "в полевых условиях", так что ноутбучек не раз выручал когда надо было что-то настраивать в серверной или в ЦОДе.
Справедливости ради, ребят в OpenWrt уже не устраивает opkg, потому в перспективе хотят съехать на apk.
Думаю, тут стоило бы рассказать, почему нужно экранировать
%. Сам в своё время был неприятно удивлён, когда исправно работающая команда при запуске вручную, напрочь ломалась при запуске по крону. А причина вот в чём:Тот случай, когда не сразу сообразишь, что надо почитать man :)
На практике лучше воспользоваться
logrotateА VeraCrypt чем плох?
Это откуда? А то в России, например, всё больше отечественные усердствуют. Даже импортозамещения никакого не надо - превосходят все существующие мировые аналоги...
Да там из классика скорее:
А потом - как в известном "баяне":
Судя по потоку новостей про то, как РКН снова что-то заблокировал, по регулярным отключениям мобильного интернета, по "странным" проблемам с доступностью разных сервисов, которые удивительным образом решаются стоит включить какое-нибудь анти-DPI решение, "лекарство" выглядит сильно хуже "болезни". Так что лично я ставлю, что да - ущерб от действий РКН превосходит таковой от АНБ.
Тогда бы стоило делать из серебра.
Честно говоря, лично у меня "дизайн" вызвал ощущение что фото - как и "новость" - результат работы ИИ.