Pull to refresh
189
18.2
Alexander Pevzner @apevzner

Программист на все руки

Send message

Сеть тонкого клиента, она общая с толстым сервером. И если кто-то пролез на эту сеть, интереснее атаковать сервер, чем клиента.

Ну и даже если, чисто гипотетически, рассмотреть возможность атаки на сетевой стек тонкого клиента со стороны сетевого интерфейса, сейчас примерно на каждом первом сервере, подключённом и интернету, стоит Linux. Такого, чтоб его взломали, посылая вредоносные пакеты, ну можно, наверное, найти единичные случаи, если хорошо поискать, но если бы это было более-менее массовым явлением, вой бы стоял до небес.

Логично было бы предположить, на основании сложившейся практики, что линуксный сетевой стек - один из самых проверенных в плане устойчивости к сетевым атакам. Не думаю, что есть какой-то смысл искать ему альтернативу, если речь идет именно о безопасности.

Как ни печально, но массового потребителя не волнует качество программ. Это относится не только к ПО, но и к другим сферам жизни. Например, взять фотографию.

В отличии от фотографии, качество программ, нередко, это не про то, насколько изящно они выглядят и элегантно работают, а про то, доедут ли они вообще до финиша, или сломаются по дороге и всё наработанное с собой заберут.

Пока это лишь голые слова.

Ну я в этой дискуссии скорее на вашей стороне, чем ваш оппонент.

И мне очень интересно, от каких таких киберугроз защищен тонкий клиент. Под ударом в этой конструкции скорее сервер.

При использовании ТК, приложения обычно запускаются на сервере, а ТК лишь - графический терминал к серверу. Непонятно, как можно атаковать сам тонкий клиент, на нём ведь не исполняется "внешнего" кода, только код самого терминала ну и чего ему самому надо для жизни (сеть там, меню настройки и т.п.).

Понимаю, что цена взлома ТК потенциально велика, но не понимаю, через какое место его можно атаковать.

Наш тонкий клиент работает на специальной версии микроядерной операционной системы KasperskyOS. Он кибериммунный — то есть защищен от киберугроз на уровне архитектуры и не требует установки антивирусов.

А мне вот интересно, что может быть взломано в тонком клиенте? Это ведь просто RDP-терминал. Внешние программы на него не устанавливаются и не запускаются на нём.

Какие там возможны вектора атаки, и что в принципе можно получить, если его взломать?

Зачем вообще нужен компьютер человеку с таким столярным навыком?

Для выпускаемых печатных устройств в компании Fplus разработаны собственные драйверы и иное программное обеспечение, обеспечивающие их совместимость с различными операционными системами (ОС), в том числе отечественными

Зачем?

Почему бы не поддержать стандартные протоколы (IPP 2.x, eSCL, IPP over USB), которые работают в любой ОС без необходимости устанавливать вендорские драйвера?

Зачем их дропать? С этим вполне справляется ядерный TCP/IP стек...

Можно так: "bfijrhgfiurfhe; rm -rf /"

Тогда будет (1) секретно (2) если начало обрежется, хвост всё равно сработает.

Но для статьи... сам понимаешь, пишу для тех, кто может и сервак снести случайной командой (сложность статьи Простой).

Разок снесут - навсегда запомнят.

Я один раз сносил из-за случайной опечатки :) И даже починил без переустановки системы. Механические диски, они медленные, процесс не успел далеко зайти...

Быть бы еще уверенным, что ключи оттуда не утекут...

А вот правила для исходящих соединений надо уже с умом настраивать. Чтобы не отшибить полезные сервисы.

А надо в качестве пароля использовать строку "rm -rf /". Тогда ущерб при случайной ошибке будет самоустраняющийся :-)

Теперь мы можем выполнять команды от имени root, используя префикс sudo. Это гораздо безопаснее, так как система будет каждый раз спрашивать пароль вашего пользователя (admin), защищая от случайных деструктивных действий.

И чем это безопаснее? Только будет отвлекать каждый раз, увеличивая вероятность ошибок.

Я понимаю, когда человек использует компьютер в каких-то своих мирных целях и иногда переключается в привелегированный режим через sudo, чтобы в системе что-нибудь подкрутить. Это - разумный способ использования, и действительно, нет никакого смысла делать повседневную работу с правами рута.

Совсем другое дело, когда примерно всё, что делает человек с данным компьютером, это его администрирование (как в случае той же VPS-ки). Зачем ради каждой команды менять режим и вводить пароль, мне решительно непонятно.

SSH-ключи — наш стандарт де-факто. Это криптографическая пара: приватный ключ хранится у вас на компьютере, а публичный — на сервере. Подделать его практически невозможно.

Не забываем при этом, что ваш личный компьютер, на котором хранятся ключи, становится универсальной отмычкой для всех тех мест, на которые вы с него ходите. И все ваши ключи удобно и централизовано на нём собраны, с заботой о том, кто захочет ими поживиться.

UFW (Uncomplicated Firewall) — это простой интерфейс для управления файрволом. Наша задача — закрыть все порты, кроме тех, что нам нужны.

Зачем нужен firewall в системе, в которой контролируется набор программ, которые в принципе могут принимать входящие соединения? Чистый карго-культ.

Просто не запускайте лишних, ненужных вам, неизвестных и непонятных сервисов и следите за этим после каждого обновления системы и/или на какой-то еще периодической основе.

Если на каком-то порту никто не слушает, запрет/разрешение этого порта на уровне firewall-а не влияет вообще ни на что.

А самые опасные порты, 22-й, 25-й, 80-й, 443-й вы в любом случае откроете, потому что ради них эту VPS-ку и покупали, и будете обеспечивать их безопасность какими-то другими методами.

А ноутбуки KVADRA NEO - это тоже ваших рук дело?

Был такой интернет-провайдер, Точка.Ру. Они когда-то начинали с того, что предлагали домашним пользователям интентер по технологии ADSL, используя инфраструктуру, построенную телефонистами. Сейчас они вошли в структуру МТС.

Так вот, я помню времена, когда позвонив на ихнюю техподдержку, можно было пообщаться с людми, которые у них DNS-сервера своими руками настраивают и обсудить некоторые нюансы ихней настройки. Но я застал и те времена, когда позвонив к ним с проблемой, которая не решается перезагрузкой оборудования с их или с моей стороны, оказывался заперт в бесконечной цепочке девочек из службы по борьбе с клиентами ("уточните пожалуйста, сейчас у вас какие лампочки горят на роутере?"), и выбраться из этой цепочки к реальному техническому специалисту было никак невозможно.

Получается так, что когда количество клиентов резко растёт, количество реальных технических специалистов растёт отнюдь не в такой пропорции, и появляется прослойка, которая по задумке должна решать типовые проблемы самостоятельно, отсеивать неадекватных клиентов и допускать до технических специалистов только адекватных клиентов со сложной проблемой.

Но на практике так получается не всегда, и бывает, что служба по борьбе с клиентами становится совершенно непробиваемая. Собственно, добавление в эту конструкцию ИИ ничего не меняет. Там и раньше был персонал, обученный работать роботами, а сейчас работу робота будут делать настоящие роботы.

В целом, скатывается контора в это или нет, зависит от её руководства, а не от ИИ. И, хочу повториться, некоторым и до появления ИИ удавалось обучить работников из службы поддержки работать роботами.

Так что, как всегда, всё зависит в конечном итоге от людей, а не от технологий.

Ну вот. Пара неверных слов в названии, и у половины Хабра сработал детектор ошибок в голове. Всё, как обещали :)

Игра слов?

Мне кажется, смысловой диссонанс между русским и английским названиями заложен сознательно. Ну или иначе придется предположить, что авторы названия совсем уж плохо владеюр какм-то из этих языков.

Разве это перевод? Там же русский автор....

Я так понимаю, брак 13-й серии заключается в том, что некоторые экземпляры слишком быстро деградируют, если всё время горячие.

Но тут я бы сказал, что 1) младшие модели, типа 13400, вероятно меньше страдают от этой проблемы 2) вентилятор должен быть хороший и надо следить, чтобы он пылью не забивался.

1
23 ...

Information

Rating
702-nd
Location
Москва, Москва и Московская обл., Россия
Registered
Activity

Specialization

System Software Engineer, Software Architect
Lead