К сожалению, вариант со списком доменных имен в некоторых случаях просто не работает.
Во-первых, RouterOS он не ресолвит все A- и АААА-записи, которые принадлежат домену. Может быть, не стоит так категорично утверждать, но я встречался с примером этого в моей практике.
Во-вторых, во времена приснопамятной веерной блокировки рунета Telegram весной прошлого года под раздачу РКН попало огромное количество подсетей так, что нормально не работал даже Гугл с его сервисами. В такой ситуации добавление google.com, google.com.ru, google.ru, да хоть вообще всех доменов гугла (которые, к слову перечислены в его SSL-сертификате) не решает проблему доступности отдельных адресов, не привязанных к доменам. Такие же проблемы возникают при блокировках, затрагивающих подсети CDN — был пример с Akamai. Как вариант, добавлять целые подсети в список.
Облака сами признаются, что у них всё также. И шлют по почте вот такое: blog.digitalocean.com/may-2019-intel-vulnerability. К слову, в заявлении Intel, ссылка на которое приводится в их блоге, говорится, что риск оценивается как маленький или средний, так как проведение такой атаки вне контролируемых условий, которыми располагали исследователи, является довольно сложной задачей.
В последнем вопросе забыли еще, судя по всему, одно из двух: или добавить case node(T), или в существующем case объявить List опциональным. Иначе не создать начальную/конечную ноду линкд листа, а enum по смыслу соответствует Never.
Использование в продакшене протоколов ExpressibleBy…Literal — это имхо крайне порочная практика. С их помощью Apple завернули те типы, которые кажутся примитивными (Int, Double, String и т.д.) в структуры. Но определять var t: Thermometer = 36.6… С точки зрения читаемости кода никак не выдаёт тип как отвечающий Expressible протоколу, кажется, что сам тип — это что-то типа числа с плавающей точкой.
ip link add eth10 type dummy
ip link set eth10 up
/bin/systemctl stop suricata
rm -rf /var/run/suricata.pid
trafr -s | tcpreplay --topspeed -i eth10 - &
/bin/systemctl start suricata
из-под рута. Я больше застрял на том, как сделать, чтобы при перезапуске всё начинало само работать нормально (Debian 9, systemd).
Синтаксический сахар — это конечно хорошо, но имхо, главное достижение пятой версии — Stable ABI. Это даёт заслуженную взрослость языку, который, как мне кажется, многие еще не воспринимают серьезно как раз из-за частых ломающих изменений.
Спасибо за ссылку. А можно вместо oneSignal воткнуть пуши Эппла со своего аккаунта разработчика (чтоб ключи не просить) или там что-то завязано именно на этот сервис?
Идея приложения выходит за рамки свиданий, ведь не обязательно Катя может позвонить, но скажем начальник, врач или следователь — ограничивается лишь фантазией и в некоторых ситуациях будет как раз кстати.
Да, к сожалению гайдлайны Apple, которые были направлены вроде как на защиту от мошеннических приложений и засорения AppStore всяким мусором, иногда ставят палки в колёса. Как и сам процесс публикации, кстати. У меня два своих приложения до сих пор висят без публикации, потому что лень седлать для них сайт и написать для одного из них положение о конфиденциальности, что опять же требует Apple :) Буду рад собрать ваше приложение себе на телефон с GitHub.
Мне тоже кажется, что ситуация надуманная, просто попытался ответить на вопрос выше :) Меня, как человека, использующего свой DNS в том числе для борьбы с рекламой и трекингом, больше волнует, что распространение DoH снизит эффективность такого подхода или вообще сведет его на нет, если каждое приложение и браузер будут лезть в свой DNS ресолвер через туннель
Тут надо разделять приватность и целостность. Обертки типа DoH и DoT обеспечивают исключительно приватность от клиента до сервера, к которому направляется запрос. Если же DNS-сервис, TLD и запрашиваемый домен поддерживают DNSSec и соответствующая информация возвращается в запросе (так делает, например, 1.1.1.1), записи DNSSec позволяют автоматически осуществить именно проверку целостности: не подменил ли кто-то ответ.
Допустим есть адрес внутренней сети организации server.my.net, которому соответствует адрес 192.168.0.111 из приватного диапазона внутри сети и 12.34.56.78 снаружи. По первому адресу доступны корпоративные ресурсы, по второму — только интерфейс для клиентов. Так как в DoH запрос пойдёт скорее всего напрямую до какого-нибудь гугла, он вернёт естественно публичный адрес. Но тут другой вопрос, если такие сложности с одной довольно редкой ситуацией, почему просто не добавить в закладки браузера нужный внутренний айпишник?
Ну Let’s Encrypt дает бесплатные сертификаты SSL. Если серьификат получается только на один домен, то его перевыпуск легко автоматизировать, достаточно настроить вебсервер (подроьное описание на сайте самого Let’s Encrypt). Если сертификат wildcard, то есть на домен и все поддомены, автоматизировать сложнее: аутентикация по TXT-записям в DNS, соответственно нужно иметь API или прямой доступ к DNS-хостингу.
Поможет это тем, что можно будет сделать https и при истечении сессии, допустим как в примере, переспрашивать номер телефона, на который осуществлялась регистрация через captive-портал, при этом ответ нельзя будет засниффить, то есть получить ранее введенный телефон.
Не спорю, это не замена авторизации через SMS.
Но тогда уж надо отметить что и авторизация через SMS — тоже далеко не гарантия безопасности…
С этим я полностью согласен. И все же здесь опять ситуация, в которой сначала «вы взяли его mac» и мак, к сожалению, приравнивается к пользователю. Чего быть не должно, ведь спуфинг мака — вещь доступная. К тому же не является правонарушением сама по себе.
Тут две тонкости есть: во-первых, если для авторизации используется мак адрес, то отпечатки могут никого не интересовать. Во-вторых, фингерпринт можно также подделать. Ну или может быть вы к вайфаю подключились с помощью внешнего вайфай адаптера, который подключали сначала к андройду, в потом к ноутбуку с линуксом.
Мне кажется, это противоречит принципу географического разделения, в основе которого работают CDN и крупные сервисы.
Во-первых, RouterOS он не ресолвит все A- и АААА-записи, которые принадлежат домену. Может быть, не стоит так категорично утверждать, но я встречался с примером этого в моей практике.
Во-вторых, во времена приснопамятной веерной блокировки
рунетаTelegram весной прошлого года под раздачу РКН попало огромное количество подсетей так, что нормально не работал даже Гугл с его сервисами. В такой ситуации добавление google.com, google.com.ru, google.ru, да хоть вообще всех доменов гугла (которые, к слову перечислены в его SSL-сертификате) не решает проблему доступности отдельных адресов, не привязанных к доменам. Такие же проблемы возникают при блокировках, затрагивающих подсети CDN — был пример с Akamai. Как вариант, добавлять целые подсети в список.P.S. Пока писал, появился комментарий habr.com/ru/news/t/452014/#comment_20158750 :)
Можно тоже из С забриджить ;)
А что мешает «по-честному» декодировать таким же способом, но построчно или чанками из буфера?
Это если что-то ещё останется после
…
candidate_id=“1’); drop table *”case node(T), или в существующем case объявить List опциональным. Иначе не создать начальную/конечную ноду линкд листа, а enum по смыслу соответствует Never.Использование в продакшене протоколов ExpressibleBy…Literal — это имхо крайне порочная практика. С их помощью Apple завернули те типы, которые кажутся примитивными (Int, Double, String и т.д.) в структуры. Но определять
var t: Thermometer = 36.6… С точки зрения читаемости кода никак не выдаёт тип как отвечающий Expressible протоколу, кажется, что сам тип — это что-то типа числа с плавающей точкой.wget http://www.mikrotik.com/download/trafr.tgztar -xzf trafr.tgz
sudo dpkg --add-architecture i386
sudo apt-get update
sudo apt-get install libc6:i386
sudo mv trafr /usr/local/bin/
ip link add eth10 type dummyip link set eth10 up
/bin/systemctl stop suricata
rm -rf /var/run/suricata.pid
trafr -s | tcpreplay --topspeed -i eth10 - &
/bin/systemctl start suricata
Синтаксический сахар — это конечно хорошо, но имхо, главное достижение пятой версии — Stable ABI. Это даёт заслуженную взрослость языку, который, как мне кажется, многие еще не воспринимают серьезно как раз из-за частых ломающих изменений.
Спасибо за ссылку. А можно вместо oneSignal воткнуть пуши Эппла со своего аккаунта разработчика (чтоб ключи не просить) или там что-то завязано именно на этот сервис?
Идея приложения выходит за рамки свиданий, ведь не обязательно Катя может позвонить, но скажем начальник, врач или следователь — ограничивается лишь фантазией и в некоторых ситуациях будет как раз кстати.
Да, к сожалению гайдлайны Apple, которые были направлены вроде как на защиту от мошеннических приложений и засорения AppStore всяким мусором, иногда ставят палки в колёса. Как и сам процесс публикации, кстати. У меня два своих приложения до сих пор висят без публикации, потому что лень седлать для них сайт и написать для одного из них положение о конфиденциальности, что опять же требует Apple :) Буду рад собрать ваше приложение себе на телефон с GitHub.
Поможет это тем, что можно будет сделать https и при истечении сессии, допустим как в примере, переспрашивать номер телефона, на который осуществлялась регистрация через captive-портал, при этом ответ нельзя будет засниффить, то есть получить ранее введенный телефон.
Не спорю, это не замена авторизации через SMS.
Но тогда уж надо отметить что и авторизация через SMS — тоже далеко не гарантия безопасности…