В целом нормальный подход, лишь бы в этих магазинах не было бы адреса доставки, последних 4 цифр номера карты или подобного, неприятно если это информация где-то будет опубликована или хуже - может быть использована для общения с саппортом при восстановлении аккаунта. Например как в упомянутой статье Wired 2012 года.
Контрольные вопросы - это зло, от которого должны избавиться все сервисы. Чаще всего это еще один фактор, как юзер может быть скомпроментирован.
Для себя, где нельзя пропустить их - генерирую рандомные строки и сохраняю их в парольном менеджере.
Наверняка, к этой проблеме уязвимы большие cloud провайдеры для видеонаблюдения и им можно было бы в потоке скормить этот кусок. И проблема DoS становится актуальной - если в цикле постоянно выводить ноды из строя (пусть даже у них будет рестарт).
Проводить CTF внутри компании — это круто, проводить между компаниями — вдвойне круто! Спасибо за опыт и и поздравляю с проведением. А SPbCTF уже надо сделать лендинг и с заказом CTF as a Service :)
По части — имхо, по делу. Кофе, wifi и т.п.
Ну по некоторым моментам :)
> если по факту через 10 минут у ведущего закончились идеи?
Ведущие на ZN — это не наемные артисты, это люди которые сидят ночами в консоли/IDA/Burp и т.п. и, ну да, не лучшие они ведущие. Как и многие спикеры на технических конференциях — в целом плохо выступают и это стресс. И я не предлагаю тут что-то менять, пусть на сцене будут люди которые сами варятся в сфере и пусть не умеют зажигать зал или иногда занимать паузы.
> Программки докладов в печатном виде разобрали почти сразу, и посмотреть её было негде.
Вообще я сам всегда делаю скрин программы с сайта на телефоне, чтобы не таскать бумагу с собой. Да и все уходит в диджитал, многие конференции вообще отказываются от печати и имхо — это верный вектор и такого будет больше
А самое главное — про доклады. Я вот работаю сам в сфере, но некоторые так круты и сложны, что я в целом могу понять лишь их часть и общую идею — «NUClear explotion», «From Graphic Mode To God Mode, Discovery Vulnerabilities of GPU Virtualization», «Researching Marvell Avastar Wi-Fi: from zero knowledge to over-the-air zero-touch RCE». Возможно это потому, что я почти не занимаюсь бинарными уязвимостями, но могу сказать, что разбираюсь в вебе и на WebVillage были отличные ресерчи, взять хотя бы BlackFan про Bug Bounty, который наконец-то выступил на ZN.
Именно так. И пока малварь на машине - да, проблем много, но ключ нельзя достать, если он в HSM.
В целом нормальный подход, лишь бы в этих магазинах не было бы адреса доставки, последних 4 цифр номера карты или подобного, неприятно если это информация где-то будет опубликована или хуже - может быть использована для общения с саппортом при восстановлении аккаунта. Например как в упомянутой статье Wired 2012 года.
Контрольные вопросы - это зло, от которого должны избавиться все сервисы. Чаще всего это еще один фактор, как юзер может быть скомпроментирован.
Для себя, где нельзя пропустить их - генерирую рандомные строки и сохраняю их в парольном менеджере.
К/с №: 30101810200000000700
БИК 044525700
ИНН 7744000302
КПП 770201001
Номер счета АО «Kaspi Bank» — 30111810000000000079
переводом на юр лицо в РФ с любого банка, в комменте
АО Kaspi Bank, Казахстан. Для клиента СВОЕ_ФИО, ИИН ИИН_В_КЗ. Счет клиента СЧЕТ_КАСПИ. Перевод между собственными счетами
идут 1-3 дня, сегодня курс был 7.3
Это работает не так. Если приносят за 20к и постоянно - значит баги столько и стоят. Перестанут - поднимут цены.
В VR играю в https://www.oculus.com/experiences/rift/1178419975552187/
На всякий случай про ihor - https://vc.ru/legal/57838-hosting-provayder-ayhor-soobshchil-o-popytke-reyderskogo-zahvata-biznesa
Я так лишился своего сервера) наверное под что-то мелкое можно
На днях включили поддержу в iOS 15.4, надо отсканировать QR код на экране декстоп сафари с коллбеком и закончить вход на телефоне :)
А намайнил бы в 2021 0.1 битка... в 2030 получил бы <допиши значение>
Круто! Похожая история была у @Bo0oM :) https://habr.com/ru/post/486492/
Наверняка, к этой проблеме уязвимы большие cloud провайдеры для видеонаблюдения и им можно было бы в потоке скормить этот кусок. И проблема DoS становится актуальной - если в цикле постоянно выводить ноды из строя (пусть даже у них будет рестарт).
Ну по некоторым моментам :)
> если по факту через 10 минут у ведущего закончились идеи?
Ведущие на ZN — это не наемные артисты, это люди которые сидят ночами в консоли/IDA/Burp и т.п. и, ну да, не лучшие они ведущие. Как и многие спикеры на технических конференциях — в целом плохо выступают и это стресс. И я не предлагаю тут что-то менять, пусть на сцене будут люди которые сами варятся в сфере и пусть не умеют зажигать зал или иногда занимать паузы.
> Программки докладов в печатном виде разобрали почти сразу, и посмотреть её было негде.
Вообще я сам всегда делаю скрин программы с сайта на телефоне, чтобы не таскать бумагу с собой. Да и все уходит в диджитал, многие конференции вообще отказываются от печати и имхо — это верный вектор и такого будет больше
А самое главное — про доклады. Я вот работаю сам в сфере, но некоторые так круты и сложны, что я в целом могу понять лишь их часть и общую идею — «NUClear explotion», «From Graphic Mode To God Mode, Discovery Vulnerabilities of GPU Virtualization», «Researching Marvell Avastar Wi-Fi: from zero knowledge to over-the-air zero-touch RCE». Возможно это потому, что я почти не занимаюсь бинарными уязвимостями, но могу сказать, что разбираюсь в вебе и на WebVillage были отличные ресерчи, взять хотя бы BlackFan про Bug Bounty, который наконец-то выступил на ZN.