Машины времени, увы, не имею и аудитором продуктов MS, к счастью, не являюсь. И какая из незакрытых уязвимостей, по наступлению EOS, (возможно) откроет дорогу очередному ботнету или WannaCry могу только гадать.
Про 2020 нужно спросить у @alexandr93. А так - все системы до 2017(18) года, все что было выпущено до Coffee Lake, Zen+ идет в утиль.
Согласен, что, по современным меркам, железо весьма устаревшее. Но, к примеру, у меня есть система с 4790k, её производительность сравнима с поддерживаемым 10100F. Сборка получается довольно скромная, но вполне рабочая. Для кино, браузера, игр (простых, или без погони за фпс) - вполне. А если сравнить 4790k с условным n100, то победитель будет очевиден. Но поддержкой одиннадцатой винды, увы, обладает только последний.
Ну и мотивация MS по отказу от старых процессоров довольно сомнительная. Кажется, что единственное значимое отличие, по функционалу, между этими поколениями — наличие Mode-Based Execution Control, который позволяет лучше изолировать ядро ОС от пользователя и зловредов. Но, если честно, я бы предпочел видеть доступные обновления ОС и ПО для старых систем, пусть и с дополнительным (теоретическим) вектором атаки, чем тысячи систем с необновляемой и дырявой десяткой.
Если покупка нового, подразумевает выбрасывание старого, тогда — вот
Recommended: New PC with Windows 11 - Windows 11 is the most current version of Windows. If you have an older PC, we recommend you move to Windows 11 by buying a new PC. Hardware and software have improved a lot, and today's computers are faster, more powerful, and more secure.
2 старое устройство без виндовс 11 внезапно перестаёт работать у вас или что?
Перестанет получать обновления, втч безопасности, что может создать определенные проблемы. Да и разное ПО, как известно, имеет тенденцию дропать поддержку забытых производителем систем.
Здесь стоит передать привет производителю заряжаемого устройства. Китайцы экономят на одном резисторе (по стандарту, в простейшем случае, обе линии CC должны иметь независимую подтяжку к земле на 5.1кОм, а некоторые производители просто ставят их в параллель) и устройство теряет совместимость с typec. А, соответствующая стандарту зарядка просто уходит в защиту. fin.
Yubico Authenticator и FreeOTP не распознают. Закодированный в QR код URI выглядит как otpauth://yaotp/.... При нормальном TOTP вместо yaotp должно быть просто totp. А yaotp это вышеназванный велосипед. Ваш генератор, по всей видимости, занимается поддержкой различных "ноу-хау".
вторым фактором будет PIN, которым я эту железку открываю.
Я знаю. Просто Яндекс, как уже было сказано, использует passkeys исключительно как облегченную альтернативу для входа, которая не заменяет вход по СМС или Я.Ключ.
А по поводу полного отключения входа по паролю - это вообще мало кто делает.
Я имел в виду не сколько отказ от пароля, сколько отказ от использования СМС и Ключа в пользу webauthn.
Тот же github, кажется. не дает полностью пароль выкинуть, если я правильно понимаю соответствующий диалог. Их оставляют на случай восстановления доступа.
У гитхаба сейчас два варианта использования webauthn.
(новый) Вход по одному passkeys. Не использую, не уверен как восстанавливается доступ при использовании только passkeys.
(старый) Вход по паролю + ключ(и). Для восстановления доступа требует использовать пароль + recovery code.
Я.Ключ тоже подразумевает, что кроме самого ключа я еще как-то устройство с ним открываю.
Увы, в видении Яндекса, 2FA не СМСкой - это только их приложение (которое нафиг не нужно). Есть конечно хак c обычным TOTP, но...
Любопытно, Яндекс нигде не упоминает что есть поддержка стандарта и при попытке отсканировать QR-код обычным приложением для TOTP я получаю ошибку. Но, если отказаться от сканирования кода и ввести его вручную - сгенерированный код успешно принимается. Мдя, специфичные у Яши технические решения. Да и пользоваться этим "хаком" весьма стремно, заявленной поддержки нет - делай что хочешь, навернут очередных велосипедов и все что не в Ключе отвалится. И резервных кодов нет, как так вообще?
В реализации Яндекса, passkeys не имеет отношения к безопасности. Это просто быстрый вход на доверенном устройстве, вход по паролю и смс (Я.Ключу) при этом не отключается. Под WebAuthn я имел в виду использование Fido2 ключа в качестве второго фактора, как это сделано у GitHub и других адекватных сервисов.
Господа из Я. до сих пор ни нормальный TOTP, ни WebAuthn не сделали. Только всра свой велосипед с преферансом и Алисой выкатили. Только СМС и остается. Безопасность пользователей у Яши, увы, не в приоритете.
Пользуясь случаем, хочу напомнить о существовании в grub-install флага --removable. И настоятельно рекомендовать его к использованию. Как минимум, это избавляет от записи в NVRAM и от взаимодействия с убогим efibootmgr, ну и переносимость установленной системы — бонусом.
С одной стороны - я только за, с другой - самодеятельность, (емнип) даже крупные почтовики не реджектят письма без подписи, только вероятность попадания в спам увеличивается.
Ну и главное - GPG. Все коммиты в ядро сопровождаются личной ЭП автора/мейнтенера, доверять которой гораздо надежнее чем условному публичному почтовому серверу. Хотя "обычная" переписка, как мы видим, действительно может пострадать, увы.
UPD Проверил злосчастный файл MAINTAINERS, только у 68% доменов установлены политики DMARK, вот и да...
У меня тоже не работало. Но, я обнаружил, что systemd-resolved, по умолчанию - фильтрует a и aaaa для single-labled-names. Если поправить конфиг, то домен становиться доступен.
man systemd-resolved.service
Single-label names are not resolved for A and AAAA records using unicast DNS (unless overridden with ResolveUnicastSingleLabel=, see resolved.conf(5)). This is similar to the no-tld-query option being set in resolv.conf(5).
dig @127.0.0.53 ai.
Hidden text
; <<>> DiG 9.20.2 <<>> @127.0.0.53 ai.
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 9762
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;ai. IN A
;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Sat Oct 12 00:40:26 MSK 2024
;; MSG SIZE rcvd: 31
dig @192.168.1.1 ai.
Hidden text
; <<>> DiG 9.20.2 <<>> @192.168.1.1 ai.
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60544
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 0
;; QUESTION SECTION:
;ai. IN A
;; ANSWER SECTION:
ai. 3199 IN A 209.59.119.34
;; AUTHORITY SECTION:
ai. 2893 IN NS pch.whois.ai.
ai. 2893 IN NS anycastdns1-cz.nic.ai.
ai. 2893 IN NS anycastdns2-cz.nic.ai.
ai. 2893 IN NS a.lactld.org.
;; Query time: 0 msec
;; SERVER: 192.168.1.1#53(192.168.1.1) (UDP)
;; WHEN: Sat Oct 12 00:40:58 MSK 2024
;; MSG SIZE rcvd: 148
Но все же это не "сайт с подписями образов", а список открытых ключей от ЭЦП случайных людей. Ключи доверенных мейнтейнеров от конкретных дистрибутивов обычно распространяются иным путём. К примеру — archlinux-keyring.
Подписи конкретных распространяемых дистрибутивов/пакетов обычно живут в репозитории, рядом с бинарным пакетом. Рас и двас, файлы с расширением *.gpg или *.sig
Машины времени, увы, не имею и аудитором продуктов MS, к счастью, не являюсь. И какая из незакрытых уязвимостей, по наступлению EOS, (возможно) откроет дорогу очередному ботнету или WannaCry могу только гадать.
Про 2020 нужно спросить у @alexandr93. А так - все системы до 2017(18) года, все что было выпущено до Coffee Lake, Zen+ идет в утиль.
Согласен, что, по современным меркам, железо весьма устаревшее. Но, к примеру, у меня есть система с 4790k, её производительность сравнима с поддерживаемым 10100F. Сборка получается довольно скромная, но вполне рабочая. Для кино, браузера, игр (простых, или без погони за фпс) - вполне. А если сравнить 4790k с условным n100, то победитель будет очевиден. Но поддержкой одиннадцатой винды, увы, обладает только последний.
Ну и мотивация MS по отказу от старых процессоров довольно сомнительная. Кажется, что единственное значимое отличие, по функционалу, между этими поколениями — наличие Mode-Based Execution Control, который позволяет лучше изолировать ядро ОС от пользователя и зловредов. Но, если честно, я бы предпочел видеть доступные обновления ОС и ПО для старых систем, пусть и с дополнительным (теоретическим) вектором атаки, чем тысячи систем с необновляемой и дырявой десяткой.
Если покупка нового, подразумевает выбрасывание старого, тогда — вот
Перестанет получать обновления, втч безопасности, что может создать определенные проблемы. Да и разное ПО, как известно, имеет тенденцию дропать поддержку забытых производителем систем.
Здесь стоит передать привет производителю заряжаемого устройства. Китайцы экономят на одном резисторе (по стандарту, в простейшем случае, обе линии CC должны иметь независимую подтяжку к земле на 5.1кОм, а некоторые производители просто ставят их в параллель) и устройство теряет совместимость с typec. А, соответствующая стандарту зарядка просто уходит в защиту. fin.
Проводочки, обрезки от ножек выводных компонентов, еще можно заклепки использовать.
A/B тестирование? Никогда Я.Ключ не использовал, а выдает всегда
yaotp.Yubico Authenticator и FreeOTP не распознают. Закодированный в QR код URI выглядит как
otpauth://yaotp/.... При нормальном TOTP вместоyaotpдолжно быть простоtotp. Аyaotpэто вышеназванный велосипед. Ваш генератор, по всей видимости, занимается поддержкой различных "ноу-хау".Я знаю. Просто Яндекс, как уже было сказано, использует passkeys исключительно как облегченную альтернативу для входа, которая не заменяет вход по СМС или Я.Ключ.
Я имел в виду не сколько отказ от пароля, сколько отказ от использования СМС и Ключа в пользу webauthn.
У гитхаба сейчас два варианта использования webauthn.
(новый) Вход по одному passkeys. Не использую, не уверен как восстанавливается доступ при использовании только passkeys.
(старый) Вход по паролю + ключ(и). Для восстановления доступа требует использовать пароль + recovery code.
Увы, в видении Яндекса, 2FA не СМСкой - это только их приложение (которое нафиг не нужно). Есть конечно хак c обычным TOTP, но...
Любопытно, Яндекс нигде не упоминает что есть поддержка стандарта и при попытке отсканировать QR-код обычным приложением для TOTP я получаю ошибку. Но, если отказаться от сканирования кода и ввести его вручную - сгенерированный код успешно принимается. Мдя, специфичные у Яши технические решения. Да и пользоваться этим "хаком" весьма стремно, заявленной поддержки нет - делай что хочешь, навернут очередных велосипедов и все что не в Ключе отвалится. И резервных кодов нет, как так вообще?
А Яшины passkeys, увы - профонация
В реализации Яндекса, passkeys не имеет отношения к безопасности. Это просто быстрый вход на доверенном устройстве, вход по паролю и смс (Я.Ключу) при этом не отключается. Под WebAuthn я имел в виду использование Fido2 ключа в качестве второго фактора, как это сделано у GitHub и других адекватных сервисов.
Увы, у RFC6238 есть фатальный недостаток... NIH
Господа из Я. до сих пор ни нормальный TOTP, ни WebAuthn не сделали. Только
всрасвой велосипед с преферансом и Алисой выкатили. Только СМС и остается. Безопасность пользователей у Яши, увы, не в приоритете.Пользуясь случаем, хочу напомнить о существовании в
grub-installфлага--removable. И настоятельно рекомендовать его к использованию. Как минимум, это избавляет от записи в NVRAM и от взаимодействия с убогимefibootmgr, ну и переносимость установленной системы — бонусом.С одной стороны - я только за, с другой - самодеятельность, (емнип) даже крупные почтовики не реджектят письма без подписи, только вероятность попадания в спам увеличивается.
Ну и главное - GPG. Все коммиты в ядро сопровождаются личной ЭП автора/мейнтенера, доверять которой гораздо надежнее чем условному публичному почтовому серверу. Хотя "обычная" переписка, как мы видим, действительно может пострадать, увы.
UPD
Проверил злосчастный файл MAINTAINERS, только у 68% доменов установлены политики DMARK, вот и да...
А что там проверять то?
dig txt _dmarc.kremlin.ru
Если политики DMARK не опубликованы...
У меня тоже не работало. Но, я обнаружил, что
systemd-resolved, по умолчанию - фильтрует a и aaaa для single-labled-names. Если поправить конфиг, то домен становиться доступен.man systemd-resolved.servicedig @127.0.0.53 ai.Hidden text
dig @192.168.1.1 ai.Hidden text
Если очень хочется, то можно таким "однострочником" попробовать. Только не забудьте ответ whois кэшировать, незачем сервис лишний раз насиловать...
Если верить вики, то рутуб - часть холдинга "Газпром медиа", который уже находится под санкциями.
Зависит от регистратора, мне еще десятого числа такую табличку прислали. С финальной ценой, как видно, они еще сами не вполне определились %)
Hidden text
sks-keyserver, как и некоторые иные, старые серверы — помер из-за GDPR.
Краткий список живых есть здесь https://wiki.archlinux.org/title/OpenPGP#Keyserver
Но все же это не "сайт с подписями образов", а список открытых ключей от ЭЦП случайных людей. Ключи доверенных мейнтейнеров от конкретных дистрибутивов обычно распространяются иным путём. К примеру — archlinux-keyring.
Подписи конкретных распространяемых дистрибутивов/пакетов обычно живут в репозитории, рядом с бинарным пакетом. Рас и двас, файлы с расширением *.gpg или *.sig