Пользуюсь Windows 11 уже неделю, выкрученной на почти максимальную безопасность (Device Guard, HVCI, Credentials Guard, Bitlocker, разные твики Powershell, чтобы скрипты левые не запускались и куча всего) - работает хорошо.
Правда выбешивает одна вещь. Вот на десятке берёшь ты файл удержанием мышкой, можешь перетащить его на ярлык проги на панели задач, прога открывается и можешь закинуть файл в прогу. К примеру, файл mp3 берёшь мышкой, перетаскиваешь на ярлык Телеги на панели задач, Телега открывается и ты кидаешь файл другу. Теперь на Windows 11 такую штуку не провернуть(
Хоть где-нибудь бы предупреждали, что если вы не измените настройки по умолчанию, то может произойти такая байда. Почти все тулзы облачных хранилищ просто создают либо виртуальный диск, либо папку, которая синхронизируется с хранилищем. И тут OneDrive, такой outlier, решает похерить мои же файлы с моими же личными и деловыми документами на моём же компе.
История-то была такая:
Установил и запустил OneDrive, в то же время начал отвечать на деловой звонок - надо было доделать презентацию, над которой я и моя команда работали несколько месяцев, подумавши, что сейчас Onedrive настроится и я кину на него свои доки. И вдруг я начал замечать, что документы и та самая презентация начали пропадать с моего рабочего стола!! Да даже индийцы в своей знаменитой книге бы не описали то, что со мной бы сделал менеджер и клиент. Потом когда в ход пошёл Task Manager, я понял, что, в приступе паники, зря закрыл процесс Onedrive.
Потом, удача была на моей стороне, восстановил всё, что мог. Однако позднее вкурил, что сохранения моих игр (в том числе Nioh 2) пропали!! Перепроходить Nioh 2, souls-like, с самого начала - ну-ну. Оказалось, что Nioh 2 сохраняет сейвы в папке Документы, которые и похерил OneDrive.
Если я, как клиент, установив прогу с настройками по умолчанию, тушу своим же потом своё полыхающее место, в котором спина теряет благородное название, то, конечно, эта прога пойдёт в лес с моего компа.
Да тут не только сисадмины. Я решил его включить, думая, что ну ещё один облачный диск - why not. Так это шайтан-приложение на дефолтных настройках взяло и загрузило все данные с раб. стола, папок Документы, Картинки и прочее, и к фигам на локальном компе все поудаляло с раб. стола и папок, оставив только чёртов ярлык типа "Ваши данные спёр OneDrive, теперь они все на облаке". Сказать, что у меня был сердечный приступ - ничего не сказать.
Для личного интранета, где сервера на nginx, достаточно сложно, если вообще возможно, выбрать шифры TLS 1.3. Но я просто включаю только TLS 1.3, а выбор шифров оставляю на предпочтениях клиентского устройства - ему лучше известно, есть аппаратная поддержка или нет.
Кстати, в жизни не видел вариантов использования CCMшифров, хотя бы узнал о них из статьи. :)
Как вариант, я вчера на свой старый IPad mini попробовал поставить обновлённую цепочку с офф. сайта Let's encrypt и, вроде, всё заработало. Попробуйте и вы Chain of Trust - Let's Encrypt (letsencrypt.org)
Xiaomi Redmi Note 9 Pro, ось - обрубленная и модифицировання MIUI с xda (android 11), запись звонков встроенная в родной звонилке. Там можно настроить на запись неизвестных номеров, качество прекрасное :)
Замену DANE можно скриптом автоматизировать, если используете Cloudflare. Блин, Cloudflare хоть и гигантская монополистическая машина, но такая, зараза, удобная. А, к сожалению, DANE сам не живой :( Ну только если в почте живёт, но и даже там некоторые почтовые серверы его не проверяют.
В ФСБ уже написал. Ответили, что информация будет использоваться в оперативной работе - мда, хз, что бы это значило. Попросил добавить ещё домен, который вы нашли, в некоторые чёрные листы доменов.
Будет реально круто, если кто-то сможет проверить в нынешних реалиях. Я этот кейс с ico заметил года 3-4 назад на браузерах FF и Chrome десктопных и FF мобильном.
Согласен с выводом. Я б сказал так, что векторность тут значения не имеет, а имеет значение сам дизайн. Дизайнер мог столько мелких деталей в лого забабахать, что при уменьшении до 16x16 действительно выйдет непонятная муть. Дизайнера работа сделать такую иконку, чтобы она была понятной и различимой при уменьшении до 16х16.
Значит добавим им головной боли) Я когда почитал эти доклады, а потом сам просканил несколько сайтов, то у меня волосы на голове дыбом встали.
Вот мой самый большой concern - это банковские приложения для смартфонов. И всё руки не доходят врубить Wireshark и посмотреть, куда именно подключаются приложения и насколько безопасно само их подключение.
В общем, спасибо вам за мониторинг, вы делаете реально нужную работу! :)
Кстати, из личного опыта, даже современные браузеры, при наличии всех крутых svg и png иконок, по умолчанию, при наличии ico иконки, грузят именно ico иконку. Я когда настраивал иконку у себя на сайте, заметив это, нехило удивился.
Я тут задумываю пнуть прокуратуру по этому поводу. Не подскажите, какие законы, госты и прочие плоды усиленной законотворческой деятельности нашего гос-ва могли бы помочь убедить прокуратуру взять лупу и посмотреть на предмет лажовой защищённости важных сайтов? В идеале, если прокуратура потом эту лупу запихнёт провинившимся, но это уже в идеале.
Печально это( Кстати, а вы не планируете ещё сделать рейтинг сайтов крупных банков, в том числе на тех субдоменах, куда входят через ЛК клиенты? Там тот ещё трындец творится: https://www.ptsecurity.com/ru-ru/research/analytics/vulnerabilities-rbo-2019/
Даже лидер рейтинга, Тульская областная Дума, выглядит так себе в плане защищённости https://www.hardenize.com/report/tulaoblduma.ru/1631728097
Хотя, по сравнению с другими, у них хоть более-менее нормально подобраны шифронаборы в TLS 1.2, да и я удивился, что они настроили в email инфраструктуре SPF и DMARC - респект за это.
Спасибо за наводку! Правда немного начинают надоедать потуги РКН. Больше всего он мне под*л, когда заблочил Protonmail, Startmail, Mailbox.org, Tutanota - только я переходил с одного на другого, так начинал понимать, что не могу зайти на сайт (легко решается VPN), но некоторые письма с российских почтовых сервисов до меня не доходили, а это уже вообще печально.
Плюс в карму! Спасибо!
Раз пошла такая пьянка, то вот тоже интересное чтиво. Для окон 11 тоже актуально, проверял:
Configuration Recommendations for Hardening of Windows 10 Using Built-in Functionalities (bund.de)
Пользуюсь Windows 11 уже неделю, выкрученной на почти максимальную безопасность (Device Guard, HVCI, Credentials Guard, Bitlocker, разные твики Powershell, чтобы скрипты левые не запускались и куча всего) - работает хорошо.
Правда выбешивает одна вещь. Вот на десятке берёшь ты файл удержанием мышкой, можешь перетащить его на ярлык проги на панели задач, прога открывается и можешь закинуть файл в прогу. К примеру, файл mp3 берёшь мышкой, перетаскиваешь на ярлык Телеги на панели задач, Телега открывается и ты кидаешь файл другу. Теперь на Windows 11 такую штуку не провернуть(
Блин, жаль потерянного времени :(
Удачи вам! И надеюсь, что нам не придётся ещё раз так мучиться!
Хоть где-нибудь бы предупреждали, что если вы не измените настройки по умолчанию, то может произойти такая байда. Почти все тулзы облачных хранилищ просто создают либо виртуальный диск, либо папку, которая синхронизируется с хранилищем. И тут OneDrive, такой outlier, решает похерить мои же файлы с моими же личными и деловыми документами на моём же компе.
История-то была такая:
Установил и запустил OneDrive, в то же время начал отвечать на деловой звонок - надо было доделать презентацию, над которой я и моя команда работали несколько месяцев, подумавши, что сейчас Onedrive настроится и я кину на него свои доки. И вдруг я начал замечать, что документы и та самая презентация начали пропадать с моего рабочего стола!! Да даже индийцы в своей знаменитой книге бы не описали то, что со мной бы сделал менеджер и клиент. Потом когда в ход пошёл Task Manager, я понял, что, в приступе паники, зря закрыл процесс Onedrive.
Потом, удача была на моей стороне, восстановил всё, что мог. Однако позднее вкурил, что сохранения моих игр (в том числе Nioh 2) пропали!! Перепроходить Nioh 2, souls-like, с самого начала - ну-ну. Оказалось, что Nioh 2 сохраняет сейвы в папке Документы, которые и похерил OneDrive.
Если я, как клиент, установив прогу с настройками по умолчанию, тушу своим же потом своё полыхающее место, в котором спина теряет благородное название, то, конечно, эта прога пойдёт в лес с моего компа.
Да тут не только сисадмины. Я решил его включить, думая, что ну ещё один облачный диск - why not. Так это шайтан-приложение на дефолтных настройках взяло и загрузило все данные с раб. стола, папок Документы, Картинки и прочее, и к фигам на локальном компе все поудаляло с раб. стола и папок, оставив только чёртов ярлык типа "Ваши данные спёр OneDrive, теперь они все на облаке". Сказать, что у меня был сердечный приступ - ничего не сказать.
Для личного интранета, где сервера на nginx, достаточно сложно, если вообще возможно, выбрать шифры TLS 1.3. Но я просто включаю только TLS 1.3, а выбор шифров оставляю на предпочтениях клиентского устройства - ему лучше известно, есть аппаратная поддержка или нет.
Кстати, в жизни не видел вариантов использования CCM шифров, хотя бы узнал о них из статьи. :)
Как вариант, я вчера на свой старый IPad mini попробовал поставить обновлённую цепочку с офф. сайта Let's encrypt и, вроде, всё заработало. Попробуйте и вы Chain of Trust - Let's Encrypt (letsencrypt.org)
Xiaomi Redmi Note 9 Pro, ось - обрубленная и модифицировання MIUI с xda (android 11), запись звонков встроенная в родной звонилке. Там можно настроить на запись неизвестных номеров, качество прекрасное :)
Автор, спасибо за труд! Я сохранил брошурку, отключил антиспам и включил запись звонков - потираю ручки ;)
По большому счёту ерунда, но есть индустрии с низкой рентабельностью (авиа, самокаты), где каждая копейка на счету.
Замену DANE можно скриптом автоматизировать, если используете Cloudflare. Блин, Cloudflare хоть и гигантская монополистическая машина, но такая, зараза, удобная. А, к сожалению, DANE сам не живой :( Ну только если в почте живёт, но и даже там некоторые почтовые серверы его не проверяют.
В ФСБ уже написал. Ответили, что информация будет использоваться в оперативной работе - мда, хз, что бы это значило. Попросил добавить ещё домен, который вы нашли, в некоторые чёрные листы доменов.
Спасибо вам, что обнаружили и написали про это!!
Будет реально круто, если кто-то сможет проверить в нынешних реалиях. Я этот кейс с ico заметил года 3-4 назад на браузерах FF и Chrome десктопных и FF мобильном.
Согласен с выводом. Я б сказал так, что векторность тут значения не имеет, а имеет значение сам дизайн. Дизайнер мог столько мелких деталей в лого забабахать, что при уменьшении до 16x16 действительно выйдет непонятная муть. Дизайнера работа сделать такую иконку, чтобы она была понятной и различимой при уменьшении до 16х16.
Значит добавим им головной боли) Я когда почитал эти доклады, а потом сам просканил несколько сайтов, то у меня волосы на голове дыбом встали.
Вот мой самый большой concern - это банковские приложения для смартфонов. И всё руки не доходят врубить Wireshark и посмотреть, куда именно подключаются приложения и насколько безопасно само их подключение.
В общем, спасибо вам за мониторинг, вы делаете реально нужную работу! :)
Кстати, из личного опыта, даже современные браузеры, при наличии всех крутых svg и png иконок, по умолчанию, при наличии ico иконки, грузят именно ico иконку. Я когда настраивал иконку у себя на сайте, заметив это, нехило удивился.
Я тут задумываю пнуть прокуратуру по этому поводу. Не подскажите, какие законы, госты и прочие плоды усиленной законотворческой деятельности нашего гос-ва могли бы помочь убедить прокуратуру взять лупу и посмотреть на предмет лажовой защищённости важных сайтов? В идеале, если прокуратура потом эту лупу запихнёт провинившимся, но это уже в идеале.
Печально это(
Кстати, а вы не планируете ещё сделать рейтинг сайтов крупных банков, в том числе на тех субдоменах, куда входят через ЛК клиенты? Там тот ещё трындец творится: https://www.ptsecurity.com/ru-ru/research/analytics/vulnerabilities-rbo-2019/
Даже лидер рейтинга, Тульская областная Дума, выглядит так себе в плане защищённости https://www.hardenize.com/report/tulaoblduma.ru/1631728097
Хотя, по сравнению с другими, у них хоть более-менее нормально подобраны шифронаборы в TLS 1.2, да и я удивился, что они настроили в email инфраструктуре SPF и DMARC - респект за это.
Спасибо за наводку! Правда немного начинают надоедать потуги РКН. Больше всего он мне под*л, когда заблочил Protonmail, Startmail, Mailbox.org, Tutanota - только я переходил с одного на другого, так начинал понимать, что не могу зайти на сайт (легко решается VPN), но некоторые письма с российских почтовых сервисов до меня не доходили, а это уже вообще печально.