Сеть тонкого клиента, она общая с толстым сервером. И если кто-то пролез на эту сеть, интереснее атаковать сервер, чем клиента.
Ну и даже если, чисто гипотетически, рассмотреть возможность атаки на сетевой стек тонкого клиента со стороны сетевого интерфейса, сейчас примерно на каждом первом сервере, подключённом и интернету, стоит Linux. Такого, чтоб его взломали, посылая вредоносные пакеты, ну можно, наверное, найти единичные случаи, если хорошо поискать, но если бы это было более-менее массовым явлением, вой бы стоял до небес.
Логично было бы предположить, на основании сложившейся практики, что линуксный сетевой стек - один из самых проверенных в плане устойчивости к сетевым атакам. Не думаю, что есть какой-то смысл искать ему альтернативу, если речь идет именно о безопасности.
Как ни печально, но массового потребителя не волнует качество программ. Это относится не только к ПО, но и к другим сферам жизни. Например, взять фотографию.
В отличии от фотографии, качество программ, нередко, это не про то, насколько изящно они выглядят и элегантно работают, а про то, доедут ли они вообще до финиша, или сломаются по дороге и всё наработанное с собой заберут.
При использовании ТК, приложения обычно запускаются на сервере, а ТК лишь - графический терминал к серверу. Непонятно, как можно атаковать сам тонкий клиент, на нём ведь не исполняется "внешнего" кода, только код самого терминала ну и чего ему самому надо для жизни (сеть там, меню настройки и т.п.).
Понимаю, что цена взлома ТК потенциально велика, но не понимаю, через какое место его можно атаковать.
Наш тонкий клиент работает на специальной версии микроядерной операционной системы KasperskyOS. Он кибериммунный — то есть защищен от киберугроз на уровне архитектуры и не требует установки антивирусов.
А мне вот интересно, что может быть взломано в тонком клиенте? Это ведь просто RDP-терминал. Внешние программы на него не устанавливаются и не запускаются на нём.
Какие там возможны вектора атаки, и что в принципе можно получить, если его взломать?
Для выпускаемых печатных устройств в компании Fplus разработаны собственные драйверы и иное программное обеспечение, обеспечивающие их совместимость с различными операционными системами (ОС), в том числе отечественными
Зачем?
Почему бы не поддержать стандартные протоколы (IPP 2.x, eSCL, IPP over USB), которые работают в любой ОС без необходимости устанавливать вендорские драйвера?
Но для статьи... сам понимаешь, пишу для тех, кто может и сервак снести случайной командой (сложность статьи Простой).
Разок снесут - навсегда запомнят.
Я один раз сносил из-за случайной опечатки :) И даже починил без переустановки системы. Механические диски, они медленные, процесс не успел далеко зайти...
Теперь мы можем выполнять команды от имени root, используя префикс sudo. Это гораздо безопаснее, так как система будет каждый раз спрашивать пароль вашего пользователя (admin), защищая от случайных деструктивных действий.
И чем это безопаснее? Только будет отвлекать каждый раз, увеличивая вероятность ошибок.
Я понимаю, когда человек использует компьютер в каких-то своих мирных целях и иногда переключается в привелегированный режим через sudo, чтобы в системе что-нибудь подкрутить. Это - разумный способ использования, и действительно, нет никакого смысла делать повседневную работу с правами рута.
Совсем другое дело, когда примерно всё, что делает человек с данным компьютером, это его администрирование (как в случае той же VPS-ки). Зачем ради каждой команды менять режим и вводить пароль, мне решительно непонятно.
SSH-ключи — наш стандарт де-факто. Это криптографическая пара: приватный ключ хранится у вас на компьютере, а публичный — на сервере. Подделать его практически невозможно.
Не забываем при этом, что ваш личный компьютер, на котором хранятся ключи, становится универсальной отмычкой для всех тех мест, на которые вы с него ходите. И все ваши ключи удобно и централизовано на нём собраны, с заботой о том, кто захочет ими поживиться.
UFW (Uncomplicated Firewall) — это простой интерфейс для управления файрволом. Наша задача — закрыть все порты, кроме тех, что нам нужны.
Зачем нужен firewall в системе, в которой контролируется набор программ, которые в принципе могут принимать входящие соединения? Чистый карго-культ.
Просто не запускайте лишних, ненужных вам, неизвестных и непонятных сервисов и следите за этим после каждого обновления системы и/или на какой-то еще периодической основе.
Если на каком-то порту никто не слушает, запрет/разрешение этого порта на уровне firewall-а не влияет вообще ни на что.
А самые опасные порты, 22-й, 25-й, 80-й, 443-й вы в любом случае откроете, потому что ради них эту VPS-ку и покупали, и будете обеспечивать их безопасность какими-то другими методами.
Был такой интернет-провайдер, Точка.Ру. Они когда-то начинали с того, что предлагали домашним пользователям интентер по технологии ADSL, используя инфраструктуру, построенную телефонистами. Сейчас они вошли в структуру МТС.
Так вот, я помню времена, когда позвонив на ихнюю техподдержку, можно было пообщаться с людми, которые у них DNS-сервера своими руками настраивают и обсудить некоторые нюансы ихней настройки. Но я застал и те времена, когда позвонив к ним с проблемой, которая не решается перезагрузкой оборудования с их или с моей стороны, оказывался заперт в бесконечной цепочке девочек из службы по борьбе с клиентами ("уточните пожалуйста, сейчас у вас какие лампочки горят на роутере?"), и выбраться из этой цепочки к реальному техническому специалисту было никак невозможно.
Получается так, что когда количество клиентов резко растёт, количество реальных технических специалистов растёт отнюдь не в такой пропорции, и появляется прослойка, которая по задумке должна решать типовые проблемы самостоятельно, отсеивать неадекватных клиентов и допускать до технических специалистов только адекватных клиентов со сложной проблемой.
Но на практике так получается не всегда, и бывает, что служба по борьбе с клиентами становится совершенно непробиваемая. Собственно, добавление в эту конструкцию ИИ ничего не меняет. Там и раньше был персонал, обученный работать роботами, а сейчас работу робота будут делать настоящие роботы.
В целом, скатывается контора в это или нет, зависит от её руководства, а не от ИИ. И, хочу повториться, некоторым и до появления ИИ удавалось обучить работников из службы поддержки работать роботами.
Так что, как всегда, всё зависит в конечном итоге от людей, а не от технологий.
Мне кажется, смысловой диссонанс между русским и английским названиями заложен сознательно. Ну или иначе придется предположить, что авторы названия совсем уж плохо владеюр какм-то из этих языков.
Я так понимаю, брак 13-й серии заключается в том, что некоторые экземпляры слишком быстро деградируют, если всё время горячие.
Но тут я бы сказал, что 1) младшие модели, типа 13400, вероятно меньше страдают от этой проблемы 2) вентилятор должен быть хороший и надо следить, чтобы он пылью не забивался.
Сеть тонкого клиента, она общая с толстым сервером. И если кто-то пролез на эту сеть, интереснее атаковать сервер, чем клиента.
Ну и даже если, чисто гипотетически, рассмотреть возможность атаки на сетевой стек тонкого клиента со стороны сетевого интерфейса, сейчас примерно на каждом первом сервере, подключённом и интернету, стоит Linux. Такого, чтоб его взломали, посылая вредоносные пакеты, ну можно, наверное, найти единичные случаи, если хорошо поискать, но если бы это было более-менее массовым явлением, вой бы стоял до небес.
Логично было бы предположить, на основании сложившейся практики, что линуксный сетевой стек - один из самых проверенных в плане устойчивости к сетевым атакам. Не думаю, что есть какой-то смысл искать ему альтернативу, если речь идет именно о безопасности.
В отличии от фотографии, качество программ, нередко, это не про то, насколько изящно они выглядят и элегантно работают, а про то, доедут ли они вообще до финиша, или сломаются по дороге и всё наработанное с собой заберут.
Ну я в этой дискуссии скорее на вашей стороне, чем ваш оппонент.
И мне очень интересно, от каких таких киберугроз защищен тонкий клиент. Под ударом в этой конструкции скорее сервер.
При использовании ТК, приложения обычно запускаются на сервере, а ТК лишь - графический терминал к серверу. Непонятно, как можно атаковать сам тонкий клиент, на нём ведь не исполняется "внешнего" кода, только код самого терминала ну и чего ему самому надо для жизни (сеть там, меню настройки и т.п.).
Понимаю, что цена взлома ТК потенциально велика, но не понимаю, через какое место его можно атаковать.
А мне вот интересно, что может быть взломано в тонком клиенте? Это ведь просто RDP-терминал. Внешние программы на него не устанавливаются и не запускаются на нём.
Какие там возможны вектора атаки, и что в принципе можно получить, если его взломать?
Зачем вообще нужен компьютер человеку с таким столярным навыком?
Зачем?
Почему бы не поддержать стандартные протоколы (IPP 2.x, eSCL, IPP over USB), которые работают в любой ОС без необходимости устанавливать вендорские драйвера?
Зачем их дропать? С этим вполне справляется ядерный TCP/IP стек...
Можно так: "bfijrhgfiurfhe; rm -rf /"
Тогда будет (1) секретно (2) если начало обрежется, хвост всё равно сработает.
Разок снесут - навсегда запомнят.
Я один раз сносил из-за случайной опечатки :) И даже починил без переустановки системы. Механические диски, они медленные, процесс не успел далеко зайти...
Быть бы еще уверенным, что ключи оттуда не утекут...
А вот правила для исходящих соединений надо уже с умом настраивать. Чтобы не отшибить полезные сервисы.
А надо в качестве пароля использовать строку "rm -rf /". Тогда ущерб при случайной ошибке будет самоустраняющийся :-)
И чем это безопаснее? Только будет отвлекать каждый раз, увеличивая вероятность ошибок.
Я понимаю, когда человек использует компьютер в каких-то своих мирных целях и иногда переключается в привелегированный режим через sudo, чтобы в системе что-нибудь подкрутить. Это - разумный способ использования, и действительно, нет никакого смысла делать повседневную работу с правами рута.
Совсем другое дело, когда примерно всё, что делает человек с данным компьютером, это его администрирование (как в случае той же VPS-ки). Зачем ради каждой команды менять режим и вводить пароль, мне решительно непонятно.
Не забываем при этом, что ваш личный компьютер, на котором хранятся ключи, становится универсальной отмычкой для всех тех мест, на которые вы с него ходите. И все ваши ключи удобно и централизовано на нём собраны, с заботой о том, кто захочет ими поживиться.
Зачем нужен firewall в системе, в которой контролируется набор программ, которые в принципе могут принимать входящие соединения? Чистый карго-культ.
Просто не запускайте лишних, ненужных вам, неизвестных и непонятных сервисов и следите за этим после каждого обновления системы и/или на какой-то еще периодической основе.
Если на каком-то порту никто не слушает, запрет/разрешение этого порта на уровне firewall-а не влияет вообще ни на что.
А самые опасные порты, 22-й, 25-й, 80-й, 443-й вы в любом случае откроете, потому что ради них эту VPS-ку и покупали, и будете обеспечивать их безопасность какими-то другими методами.
А ноутбуки KVADRA NEO - это тоже ваших рук дело?
Был такой интернет-провайдер, Точка.Ру. Они когда-то начинали с того, что предлагали домашним пользователям интентер по технологии ADSL, используя инфраструктуру, построенную телефонистами. Сейчас они вошли в структуру МТС.
Так вот, я помню времена, когда позвонив на ихнюю техподдержку, можно было пообщаться с людми, которые у них DNS-сервера своими руками настраивают и обсудить некоторые нюансы ихней настройки. Но я застал и те времена, когда позвонив к ним с проблемой, которая не решается перезагрузкой оборудования с их или с моей стороны, оказывался заперт в бесконечной цепочке девочек из службы по борьбе с клиентами ("уточните пожалуйста, сейчас у вас какие лампочки горят на роутере?"), и выбраться из этой цепочки к реальному техническому специалисту было никак невозможно.
Получается так, что когда количество клиентов резко растёт, количество реальных технических специалистов растёт отнюдь не в такой пропорции, и появляется прослойка, которая по задумке должна решать типовые проблемы самостоятельно, отсеивать неадекватных клиентов и допускать до технических специалистов только адекватных клиентов со сложной проблемой.
Но на практике так получается не всегда, и бывает, что служба по борьбе с клиентами становится совершенно непробиваемая. Собственно, добавление в эту конструкцию ИИ ничего не меняет. Там и раньше был персонал, обученный работать роботами, а сейчас работу робота будут делать настоящие роботы.
В целом, скатывается контора в это или нет, зависит от её руководства, а не от ИИ. И, хочу повториться, некоторым и до появления ИИ удавалось обучить работников из службы поддержки работать роботами.
Так что, как всегда, всё зависит в конечном итоге от людей, а не от технологий.
Ну вот. Пара неверных слов в названии, и у половины Хабра сработал детектор ошибок в голове. Всё, как обещали :)
Игра слов?
Мне кажется, смысловой диссонанс между русским и английским названиями заложен сознательно. Ну или иначе придется предположить, что авторы названия совсем уж плохо владеюр какм-то из этих языков.
Разве это перевод? Там же русский автор....
Я так понимаю, брак 13-й серии заключается в том, что некоторые экземпляры слишком быстро деградируют, если всё время горячие.
Но тут я бы сказал, что 1) младшие модели, типа 13400, вероятно меньше страдают от этой проблемы 2) вентилятор должен быть хороший и надо следить, чтобы он пылью не забивался.