Pull to refresh
51
0
Георгий Ситников @GAS_85

Пользователь

Send message

Тогда я вообще запутался, user1 (злоумышленник) крадёт логин/почту user2.

Злоумышленнику достаточно будет ввести адрес электронной почты и пароль пользователя (например, украденные в результате утечки паролей или фишинговой атаки)

user1 не вводит свои данные, а только данные user2.

Теперь, как user2 я обхожу авторизацию и ввожу "свой" код от user1... Как тут они вообще поняли что этот код от user1?

Или они принимали рандомные 6 цифр и вообще не проверяли никак, или (ещё лучше) у всех юзеров один хэш для генерации кодов и, соотвественно коды user1 и user2 просто совпадут...

Приложение Box не проверяло, выбирал ли пострадавший пользователь аутентификацию через TOTP и принадлежало ли используемое приложение-аутентификатор пользователю

Я правильно понял, что можно ввести любые 6 цифр?

и код из своей учетной записи Box

Или нужно иметь "свой" аккаунт с 2х факторной авторизацией? Как они тогда вообще сопастовляют что это валидный код, если не могут определить юзера?

А это не "перевод"? Что-то тут половина абзацев странно схожа со вчерашней статьёй на големе.

Нашел на хабре человеческий LAMP: https://habr.com/ru/post/409915/

Тут все расписано почему так, не едак, так ещё и работать будет в конце статьи.

Ну и никто же не мешал им с предыдущим обновлением выпустить предупреждение о глобальных изменениях.

Насколько я помню оно было. Я видел сообщение на главной что-то типа "мы готовим что-то совершенно новое для вас" за несколько недель до обновления. Быстрогугл не помог найти скрин.

А для тестов вы брали "чистый" firefox, или тот, что

очень часто зависал, глючил

Вы публиковали где-то обзор? Очень интересно посмотреть.

Да скорее это "The Power of Defaults", хром установлен по умолчанию на подавляющем колисчестве мобильных устройств, юзеру хочется везде иметь одно приложение и ставится хром уже на десктопы. Чтоб узнать что хром не приватный, нужно реально покапаться, или иметь нужные знания. А хабр читают далко не все пользователи хрома...

Ну и что установено на работе тоже играет роль. Админы люди разные и часто не заморачиваются и ставят хром. На жену на работе очень странно посмотрели, когда она попросила ФФ, да ещё и KeePass установить на рабочий комп. Предложили сохранять пароли в табличке в Excel, но это быстро прошло после небольшой эскалации.

<VirtualHost *:81>

В третьей части статье будут описаны непосредственно виртуальные хосты

Позвольте, в чем смысл тогда этой статьи? Тут есть виртуальный хост на всех ендпойнтах на порту 81, а "рассматривать его будем в следущей части". Так не пойдёт, текст должен быть завершенным, с объяснениями почему именно так.

А когда вы протестируете конфигурацию Apache2? А когда вы его запустите? Простая связка могла бы помочь:

sudo apachectl configtest && sudo /bin/systemctl restart apache2 

По всему тексту и в первой статье тоже, гуляет "непонятный" гит (непонятный он, т.к. его тут никто не объяснил) и какие-то странные примеры кода. Вот взять эту часть:

Указываем кодировку СУБД по умолчанию, в нашем случае это UTF8, для этого вносим изменения в файл /etc/mysql/my.cnf:

diff --git a/mysql/my.cnf b/mysql/my.cnf
[mysqld]
+character-set-server = utf8
+collation-server = utf8_unicode_ci

Я, как "самый маленький пользователь" беру и копирую это замечательный кусочек кода себе в /etc/mysql/my.cnf, выполняю заветный

sudo service mysql restart

и ничего не работает больше... Почему? Проверьте сами, скопировав текст.

Так через всю статью, использование diff-ов гита, или просто коммитов очень помогает молодым пользователям без глубокого объяснения самого гита.

Хром имеет ещё одну уникальную штуку, которая держит меня на нём - это удобный шаринг закладок/истории/куки

Я вам сейчас такую тайну открою, это было у ФФ, "когда ещё хрома не было" https://www.mozilla.org/de/firefox/sync/

Вторая причина: нет синхронизация с сервисами гугла

Это как раз первая причина его использовать.

Да, вот этой картинки из первой статьи не хватало. Но прочтя её у меня только больше вопросов появилось, так например где кофигурация прокси? Как разделяется статика и запросы к apache2, и т.д. Сделав как описано в статьях, я не получу соединеий с ngnix на apache2 ну и далее до ДБ.

Нет, если есть возможность использовать Nginx+Apache2, площадка будет работать быстрее.

Соглашусь для высоконагруженных приложений с распределением нагрузки, тут же у нас DevOps для самых маленьких, нет смысла разделять ngnix и Apache2.

Для образовательных целей я бы остался на одном из них и показал как лучше сконфигурировать всю цепочу. Не из-за библейских предпочтений, а просто потому, что это разные сервисы и конфигурации у них разные. Гораздо проще понять что-то одно, а там уже развиваться и совершенсвтоваться.

Этот момент подробно отражен в статье, но я поясню для вас. Nginx устанавливается первым и по умолчанию занимет 80 порт сервера. После устанавливается Apache2, и не может запуститься так как 80 порт уже занят Nginx.

Да я тут скорее рассуждал о надобности ngnix-а как такового для простого принятия http. Понято, что порт занят и не запустить сервер с таким же портом.

Пожалуйста искользуйте & в коммнадах типа apt-get update && apt-get install... иначе при падении первой команды (просто ошибка сети) вы себе таких пакетов с зависмиостями наставите...

Так вы LEMP стэк делали, или LAMP? Зачем связка ngnix+Apache2? Только чтоб из коробки читать .htaccess? Но можно из коробки и не брать ngnix, а обойтись Apache2, тем более что это будет проще, чем то что описано и апач уже настроен на http, а https тут и не пахнет. Или я что-то совсем не понял и Apache2 не может принимать соединения на 80 порту?

Я не в курсе, но что Ericsson сейчас имеет в запасе, какие-то крутые тулзы?

В данном случае они были получены из «открытых» источников.
У меня так и произошло, т.к. симки без платных звонков «сгорают» у разных операторов от 3х до 6и месяцев. И вот, я переехал за границу, оператор выключил номер. На госуслугах нельзя стереть этот номер, его можно только заменить на другой. Но номера не +7ххх не поддерживаются. Теперь уже несколько лет надеюсь, что скинуть пароль по смс нельзя (так меня саппорт уверял), а новый владелец номера не сможет использовать его для госуслуг.
Тут ещё хороший туториал www.smarthomebeginner.com/docker-home-media-server-2018-basic
Вместо HTPC мне очень Organizr нравится.
Ну это рука-лицо. В статье говориться не о том, что «любой может подойти», а о конкретной уязвимости с авторизацией по сетевым параметрам без сохранения паролей и ключей где-бы то ни было (ссылка выше).
SSH работает не так и не имеет отношения к вышеописанному.
Да неужели? habr.com/ru/post/454928

  • Пользователь подключается к системе Windows 10 или Server 2019 через RDS.
  • Пользователь блокирует удаленный сеанс и оставляет клиентское устройство без присмотра.
  • На этом этапе злоумышленник, имеющий доступ к клиентскому устройству, может прервать подключение к сети и получить доступ к удаленной системе без необходимости каких-либо учетных данных.
Тогда могу посоветовать E39 — легендарный дизайн, прекрасное руление и никаких соединений.
Вы и впрямь думаете, что бмв единственный в своем роде? БМВ просто предлагает дополнительные сервис в виде приложений и консьержа. Множество других, просто собирает данные, не давая сервисов взамен. Так что с Вашими запросами обратно в 1997ой, можно даже Quake 2 снова пройти.

Information

Rating
Does not participate
Location
Германия
Registered
Activity