Все рассуждения BugM в этой ветке исходят из допущения, что фаервол по умолчанию отключен или криво настроен (насколько такое допущение верно — сами разбирайтесь)
дропнутся ещё где-то на уровне интернет-провайдеров
А при отправке такого запроса напрямую на роутер его уже ничего не остановит, кроме фаервола. Проверял на кинетике, в котором фаервол включен по умолчанию — запросы не идут, выключаю фаервол — идут
Любая домохозяйка получает безопасную сеть дома просто так.
Как я уже пояснил в этом и предыдущем комментариях, данное утверждение ложно
То, что вы называете «безопасностью» — не безопасность, а череда случайностей, которые мешают напакостить (не сошлись дырки в швейцарском сыре)
NAT без фаервола не блокирует доступ к локальным устройствам: если извне прилетит запрос к локальному IP — роутер его без проблем отроутит (я проводил реальный эксперимент на практике — это действительно работает)
Вся ваша хвалёная «безопасность» держится лишь на той случайности, что такие запросы просто не дойдут до роутера — дропнутся ещё где-то на уровне интернет-провайдеров
При этом сам интернет-провайдер, имея прямое подключение к домашнему роутеру, сможет просканировать всю локальную сеть, если захочет и если его не остановит фаервол
Просто купить случайный роутер в магазине прокликать настройку далее-далее-готово и иметь гарантию что к вашей лампочке не будет доступа из интернета нельзя.
«В таких устройствах не должно быть. Печатать уникальные пароли Включать фаервол по умолчанию на каждом устройстве роутере давно научились.»
Если ваше устройство где вы запустили Докер доступно их интернета вы сами виноваты.
Почему виноват я, а не докер, без моего ведома перезаписывающий настройки настроенного мной фаервола?
И веронятно есть какая-то админка с доступом admin/admin.
А что, в IP-камерах с UPnP принципиально не бывает админок с доступом admin/admin?
Если бы я как простой пользователь не знал про UPnP, я бы мог решить не менять стандартный пароль, думая, что камера останется в пределах локальной сети и это не страшно
(к счастью, я не совсем простой и у меня есть привычка периодически прогонять себя через nmap с целью выявления каких-нибудь ошибок конфигурации)
(кстати здесь ещё можнно припомнить Docker, который в конфигурации по умолчанию !!!!!В ОБХОД ФАЕРВОЛА!!!!! выставляет себя голыми контейнерами в интернет — спасибо что хоть без UPnP)
Не лампочка, но мне попадалась IP-камера, которая автоматически без моего ведома выставила себя в интернет через UPnP. Непонятно, почему вы решили, что для этого нужно что-то заражать
Вот вроде статья про самые основы, описанные в растбуке, но почему-то тут плохо почти всё
4 самых частых вопросов
Даже заголовок не вычитали. И дальше по тексту навалом опечаток, упоминать которые не буду
Это предотвращает утечки памяти
Тем не менее, важно понимать, что Rust не предотвращает все утечки памяти
только одна изменяемая ссылка может существовать в данный момент времени.
Упущен крайне важный нюанс: в этот же момент времени не может существовать неизменяемых ссылок
// println!("r: {}", r); // ошибка: x не живёт достаточно долго
Чушь: если раскомментировать первый println (но не второй), то код успешно компилируется и запускается
// функция, которая ... возвращает ссылку с длиннейшей жизнью
Просто чушь, даже не знаю как прокомментировать
типы, реализующие трейт Drop, обязаны определить специальное поведение при удалении, так как они не могут быть скопированы автоматически.
Опять набор слов какой-то. Возможно, автор хотел сказать, что нельзя реализовать трейты Copy и Drop одновременно, но он почему-то не смог
Юзаем Option ... без использования нулевых указателей
Если речь про собеседование, то, вероятно, где-то тут стоит упомянуть null pointer optimization
Mutex в Rust гарантирует, что только один поток может получить доступ к защищаемым данным в любой момент времени.
А как расшарить-то мьютекс другим потокам, если в растовой системе владения владелец может быть только один, а ссылка не проживёт достаточно долго? Без упоминания хотя бы Arc пример является бессмысленным
Попробовал докинуть zram-своп перед установкой — вроде установилось
Кстати насчёт свопа — во время второй попытки установки обратил внимание, что версия ядра 6.8.0, а там были какие-то проблемы, из-за которых у меня зависал арч. Проблемы вроде пофиксили примерно к 6.8.3, но если вдруг разрабы убунты поленились портировать фиксы, то, может, проблемы тут так и остались (правда, у меня зависало именно сочетание шифрования + zswap, а в убунте из коробки ни того ни другого нет, но мало ли чего)
Пару недель назад ставил krfb на арче, и он крашился сразу же после попытки нажать Shift. Причём не просто крашился, а ещё и оставлял Shift зажатым, и после краха приходилось всю графику перезапускать, чтобы отжать его
(наверно надо забагрепортить, но мне пока что лень)
Я пытался пихать БД в restic, который тоже бьёт файлы на чанки. Но оказалось, что MariaDB любит поменять парочку байтов в разных местах (наверное счётчики-смещения-размеры какие-нибудь), и из-за этого целые чанки считались изменёнными и бэкапились заново, в итоге экономия на дедупликации не особо получилась
Не кажется ли вам, что эта задача бесконечно далека от банальной?
У меня неподалёку есть комп на C2D E7500, вин10 на нём вполне бодренько работает (и вин11 скорее всего тоже, но из-за отсутствия UEFI не пробовал), офису норм, браузеру норм, фотошопу норм, даже OBS Studio стримит с него без запинок, а пытаться рисовать какие-то виртуальные фоны никто даже и не думал
Все рассуждения BugM в этой ветке исходят из допущения, что фаервол по умолчанию отключен или криво настроен (насколько такое допущение верно — сами разбирайтесь)
Потому что фаервол включен, очевидно
Ну так я то же самое и написал:
А при отправке такого запроса напрямую на роутер его уже ничего не остановит, кроме фаервола. Проверял на кинетике, в котором фаервол включен по умолчанию — запросы не идут, выключаю фаервол — идут
Как я уже пояснил в этом и предыдущем комментариях, данное утверждение ложно
То, что вы называете «безопасностью» — не безопасность, а череда случайностей, которые мешают напакостить (не сошлись дырки в швейцарском сыре)
NAT без фаервола не блокирует доступ к локальным устройствам: если извне прилетит запрос к локальному IP — роутер его без проблем отроутит (я проводил реальный эксперимент на практике — это действительно работает)
Вся ваша хвалёная «безопасность» держится лишь на той случайности, что такие запросы просто не дойдут до роутера — дропнутся ещё где-то на уровне интернет-провайдеров
При этом сам интернет-провайдер, имея прямое подключение к домашнему роутеру, сможет просканировать всю локальную сеть, если захочет и если его не остановит фаервол
Я тоже так могу:
«В таких устройствах не должно быть.
Печатать уникальные паролиВключать фаервол по умолчанию на каждомустройствероутере давно научились.»Почему виноват я, а не докер, без моего ведома перезаписывающий настройки настроенного мной фаервола?
И опять же:
А что, в IP-камерах с UPnP принципиально не бывает админок с доступом admin/admin?
Если бы я как простой пользователь не знал про UPnP, я бы мог решить не менять стандартный пароль, думая, что камера останется в пределах локальной сети и это не страшно
(к счастью, я не совсем простой и у меня есть привычка периодически прогонять себя через nmap с целью выявления каких-нибудь ошибок конфигурации)
(кстати здесь ещё можнно припомнить Docker, который в конфигурации по умолчанию !!!!!В ОБХОД ФАЕРВОЛА!!!!! выставляет себя голыми контейнерами в интернет — спасибо что хоть без UPnP)
А что, в IP-камерах с UPnP принципиально не может существовать RCE?
Ну например ровно в том же, в чём и причина вашей боязни доступа к лампочке?
Не лампочка, но мне попадалась IP-камера, которая автоматически без моего ведома выставила себя в интернет через UPnP. Непонятно, почему вы решили, что для этого нужно что-то заражать
Мне надо
Firefox, да
Что ещё раз подтверждает, что это сложнейшая проблема компьютерных наук ¯\_(ツ)_/¯
Хабр:
Вот вроде статья про самые основы, описанные в растбуке, но почему-то тут плохо почти всё
Даже заголовок не вычитали. И дальше по тексту навалом опечаток, упоминать которые не буду
Тем не менее, важно понимать, что Rust не предотвращает все утечки памяти
Упущен крайне важный нюанс: в этот же момент времени не может существовать неизменяемых ссылок
Чушь: если раскомментировать первый println (но не второй), то код успешно компилируется и запускается
Просто чушь, даже не знаю как прокомментировать
Опять набор слов какой-то. Возможно, автор хотел сказать, что нельзя реализовать трейты Copy и Drop одновременно, но он почему-то не смог
Если речь про собеседование, то, вероятно, где-то тут стоит упомянуть null pointer optimization
А как расшарить-то мьютекс другим потокам, если в растовой системе владения владелец может быть только один, а ссылка не проживёт достаточно долго? Без упоминания хотя бы Arc пример является бессмысленным
Попробовал докинуть zram-своп перед установкой — вроде установилось
Кстати насчёт свопа — во время второй попытки установки обратил внимание, что версия ядра 6.8.0, а там были какие-то проблемы, из-за которых у меня зависал арч. Проблемы вроде пофиксили примерно к 6.8.3, но если вдруг разрабы убунты поленились портировать фиксы, то, может, проблемы тут так и остались (правда, у меня зависало именно сочетание шифрования + zswap, а в убунте из коробки ни того ни другого нет, но мало ли чего)
Ну вообще в системых требованиях написано таки 4 гига
Попытка установки на 2 гига в виртуалбоксе зависла тут
Вы видимо не следили за новостями https://www.opennet.ru/opennews/art.shtml?num=60820
Пару недель назад ставил krfb на арче, и он крашился сразу же после попытки нажать Shift. Причём не просто крашился, а ещё и оставлял Shift зажатым, и после краха приходилось всю графику перезапускать, чтобы отжать его
(наверно надо забагрепортить, но мне пока что лень)
Пока что не стал заморачиваться, какая-то дедупликация всё-таки имеется и хранить в restic всё равно получается компактнее чем без него
Я пытался пихать БД в restic, который тоже бьёт файлы на чанки. Но оказалось, что MariaDB любит поменять парочку байтов в разных местах (наверное счётчики-смещения-размеры какие-нибудь), и из-за этого целые чанки считались изменёнными и бэкапились заново, в итоге экономия на дедупликации не особо получилась
Не кажется ли вам, что эта задача бесконечно далека от банальной?
У меня неподалёку есть комп на C2D E7500, вин10 на нём вполне бодренько работает (и вин11 скорее всего тоже, но из-за отсутствия UEFI не пробовал), офису норм, браузеру норм, фотошопу норм, даже OBS Studio стримит с него без запинок, а пытаться рисовать какие-то виртуальные фоны никто даже и не думал