Pull to refresh
41
0
Александр Патраков @AEP

Пользователь

Send message

Эту статью можно было бы дополнить анализом того, насколько одинаково разные редакторы (как те, чьи правки вы приняли, так и остальные) выбирали абзацы, подлежащие правке, и как это соотносится с набором абзацев, в которые правки по факту были внесены.

В данном случае нарушением является передача информации не об IP-адресах, а о маршрутизации.

Банки правы. Передача информации о сетевой инфраструктуре третьим лицам по незащищенным каналам - это прямое нарушение требований пункта "1.4.5 The disclosure of internal IP addresses and routing information is limited to only authorized parties" PCI DSS v4.0.

Это они не умеют готовить. А у вас ошибка только одна, и поддающаяся исправлению: купили маршрутизатор с предустановленным OpenWrt вместо самостоятельной перепрошивки поддерживаемого на 100% устройства. Если хотите что-то предельно простое на поиграться - покупайте TP-Link Archer A7. Да, он медленный, но для 100-мегабитного канала все еще годится, даже в 2023 году. Из простого, быстрого и дальнобойного (но без WiFi6) есть Netgear XR500, но это не совсем бюджетное решение. Оба маршрутизатора продаются на AliExpress.

P.S. У меня сейчас в качестве основного роутера дома Linksys E8450 (клон Belkin RT3200), но там в два раза более сложная процедура прошивки. И люди, которые пробовали оба, утверждают, что Netgear XR500 производительнее и дальнобойнее. Так что это, похоже, была ошибка, но не серьезная.

Не существует. Сейчас идет работа по портированию OpenWrt на Zyxel PMG5617GA, но есть риск, что ничего не выйдет.

Некоторые нероссийские банки тоже грешат своими нестандартными аутентикаторами. Но причина проста: развелось много "небезопасных" или даже "вредоносных" TOTP-приложений, которые работают, но разрешают себя заскриншотить (и соответственно слить код налево, если на телефоне троян, который эти скриншоты делает), забекапить (с последующей утечкой), или другим образом потерять гарантию, что единственный человек, который может ввести код - это законный владелец.

Не обязательно упоротые, а заботящиеся о наличии ДВУХ методов 2FA. Если телефон с приложением потеряется, то человек восстановит симку на тот же номер и получит SMS-ку с кодом. По e-mail такой код высылать нельзя, поскольку этот способ доставки уже, как правило, занят для сброса пароля - т.е. получится 1FA.

В таких обзорах было бы неплохо перечислять отличия от предыдущей модели.

Не только в Египте. На Филиппинах та же мода. В итоге нашел и купил единственный имеющийся в розничных магазинах тип ламп с CRI 90+ - это Philips MyCare 8W Cool Daylight, ищется как "Philips 9290030073". Да, 6500K, но желтая краска на стенах это компенсирует.

Давным-давно на Linux Audio Conference был интересный доклад, в котором музыкальная шкала делалась двумерной или даже трехмерной, чтобы от любой ноты можно было точно построить гармонично звучащие рациональные интервалы. https://lac.linuxaudio.org/2014/video.php?id=7

В свое время воспользовался https://github.com/garex/nodejs-gost-crypto. Не уверен, что сейчас это работает.

Позволю себе не согласиться. Бумажка или файлик - это схема "как должно быть". Если опрашивать устройства, то получится схема "как оно есть на самом деле". Нужны обе, как минимум - чтобы находить устройства, которых быть не должно.

Вспомнил детство. У мамы на работе такая установка была - с медленно прокручивающейся проволокой, микроскопом (чтобы смотреть, где происходит резка), искрами и проточной дистиллированной водой. Использовали для нарезки образцов из вновь разработанных магнитных материалов, которые, в силу своей хрупкости, обычной механической обработке или не поддавались вовсе, или изменяли свойства.

Кажется, у NIST про это ничего не сказано, но я не очень понял, в чём практической смысл этой рекомендации. [интервал времени после смены пароля, когда его запрещается менять еще раз]

Смысл очень простой. Была когда-то рекомендация "пароль не должен совпадать с пятью предыдущими". Смена пароля шесть раз подряд без задержек (где шестой пароль совпадает с первоначальным) была способом обхода этой рекомендации. Введением задержки лазейку прикрыли. Иными словами, смысл - предотвратить саботаж политики обязательной смены пароля через год.

При наличии диплома о высшем образовании – нотариальная клятва о работе в Парагвае в сфере и по профессии, согласно диплому об образовании (declaracion jurada de profesion).

Ой. Диплом КФМН, но физикой заниматься не хочу. Что делать?

Сейчас еще есть zerossl.com с китайскими ушами, который в acme.sh даже поставили как default вместо Let's Encrypt. Так что тезис о большой централизации интернета за счет одного пригодного к использованию CA все равно опровергнут.

По поводу блокировки - спасибо за информацию. Меня это не касается, так как я переехал.

Представим ситуацию: погожий день, работа удалённая, почему бы не
потрудиться над задачами в кофейне? Пользователь подключается к
интернету через публичную незащищённую сеть Wi-Fi и в этот же момент
мошенник получает доступ ко всем документам на компьютере человека,
включая и рабочие — таблицы, базы данных, сканы.

А что, сейчас обычные компьютеры раздают содержимое своего жесткого диска направо и налево по сети без спроса? Мой Arch Linux этого точно не делает. Если подключение к незащищенному Wi-Fi действительно создает угрозу утечки документов, безопасника на кол, а жесткий диск переформатировать.

Таки советую, если хотите продолжать пользоваться этими сервисами, валить за границу по-честному. Причина: если обман, предлагаемый в статье, вскроется, то будет бан.

P.S. Филиппинский договор аренды жилья на Upwork'е зачелся. PayPal по факту адрес не проверяет, достаточно оказалось закрыть и переоткрыть счет и привязать prepaid-карту (для оформления которой адрес тоже не понадобился).

Думаю, что никакого взлома не было.

Некоторые HTTPS-серверы (типа Caddy с настройками по умолчанию, или Apache с mod_md) умеют сами себе на лету выписывать сертификат через Let's Encrypt, используя при этом домен из входящего заголовка Host. Если IP-адрес такого сервера привязать к wildcard-записи в DNS, то любой словарный перебор поддоменов (а таким занимаются, скажем, сервисы "безопасности" типа Security Scorecard) приведет к выписыванию кучи ненужных сертификатов.

Похоже, что автор наступил ровно на эти грабли.

В-четвертых, это упомянутые ограничения по мощности передатчика и чувствительности приёмника. Они актуальны для всех технологий связи. Если амплитуда пичков информационных импульсов в месте приёма будет ниже порога чувствительности приёмника (определяемой видом антенны, качеством приемного тракта), складывать будет попросту нечего.

Ну это неправда. Если шум сопоставим с порогом чувствительности, то складывать как раз будет что: шум с наложенным сигналом. А далее смотри тему про dithering и как он помогает обнаруживать "долгоиграющие" сигналы с амплитудой менее одного LSB - как раз наш случай.

1
23 ...

Information

Rating
Does not participate
Location
Екатеринбург, Свердловская обл., Россия
Date of birth
Registered
Activity