Хм, а Вы могли бы рассказать (или дать ссылочку где почитать), как может Касперский прозрачно подменять сертификат, чтобы пользователь (= браузер) этого не заметили?
Как раз этот факт (длительный жизненный цикл) и обеспечивает, мне кажется, консолям хорошие продажи и популярность.
Я вот поймал себя на мысли, что сейчас с удовольствием играю в игры на PS4, которую купил в день релиза в 2013 году. При этом компьютер, собранный на полгода раньше в том же 2013 году, до сих пор отлично справляется с научными вычислениями в MATLAB или где-нибудь еще (но при этом современные игры уже не тянет в достойном качестве).
И я чрезвычайно доволен таким положением вещей — до этого приходилось постоянно каким-либо образом обновлять комплектующие компьютера, чтобы продолжать играть, а сейчас я не утружден этим — и это круто! И еще один чисто психологический плюс — работа у меня за компьютером, а когда хочу отдохнуть за игрой — переключаюсь в совершенно иной мир, а не продолжаю сидеть перед монитором компьютера и находиться в той же среде…
За всю мою историю, уже более 16 лет с МТС, смс от МЧС не получал ни разу. У знакомых при этом видел, бывало. А вот мне просто ни единого разу не приходили такие сообщения)
Да, подобной опасности подвергается даже не только машина-роутер, но и любая другая, к которой подключен «внешний» линк (например, кто-нибудь у себя дома воткнул кабель провайдера прямо в сетевуху).
Поэтому, имхо, от подобного вектора атаки с автоматическим распространением вируса, маршрутизатор — отличная преграда.
У меня Win 10 Pro и домашняя группа также отключена (сеть «общедоступная») — сейчас попробовал расшарить директорию, с другого компьютера к ней без проблем доступ получил. Как в варианте с авторизацией, так и без.
К тому же, у меня NAS создает сетевые папки через SMB2 (это явно выбрано его в настройках) и они тоже работают без проблем.
Так по умолчанию никаких запрещающих правил и не требуется — все входящие соединения по портам, для которых явно не настроено перенаправление (forwarding), итак заканчиваются на маршрутизаторе, во внутреннюю сеть (inside NAT) ничего не проходит само собой — ибо банально неизвестно, куда идти пакетам дальше.
Хм, у вас вероятно папки работают на CIFS (старый вариант протокола, который SMB1).
Через SMB2 (появилась, начиная с Win Vista) должно все работать без каких-либо проблем.
3G модем, по умолчанию, ни у одного сотового оператора не выдает внешний IP абоненту, там все за NAT спрятано — реальный адрес подключит только тот, кому это действительно надо… Тоже и с режимом моста — такое настроят только те, кто разбираются.
По поводу начинающих админов — неужели те же пострадавшие сети МВД администрируют новички? В голове такое не укладывается при всем желании. У меня на предприятии внутренняя сеть, ответственная за рабочие процессы, физически отделена от внешнего мира, и никаких модемов и прочего подключить также никому никак не удастся. Для доступа в Интернет есть отдельные машины (это к тому же еще и дисциплинирует).
Я хоть и работаю с VPS только на Linux, но в первые же моменты их настройки, с помощью iptables открываю 22 порт для своего IP адреса и закрываю абсолютно все другие входящие порты, делая открытыми по мере необходимости… Как-то это уже само собой прижилось.
С настройкой серверных Windows не особо знаком, но вроде как есть же оснастка Windows Firewall?
Есть, конечно, вариант, что кабель провайдера напрямую втыкается в такой ноутбук… Но ведь, чтобы настроить в таком случае доступ в Интернет, надо как минимум обладать такими навыками, которые и дадут понять, что это небезопасно? Хотя, возможно, я смотрю на мир идеально...
При этом в подавляющем числе случаев такой абстрактный ноутбук был бы подключен к WiFi сети через маршрутизатор, на котором по умолчанию абсолютно никакие порты не проброшены на пользовательские устройства, все внешние запросы кончаются на самом роутере.
Мне чрезвычайно интересно, каким же, извините за мой литературный французский, раком настраивается в таком случае администратором сеть, если «наружу» оказываются проброшены подобные порты?
Или на кто-то где-то на интерфейсы машин вешает сразу внешние линки, без маршрутизатора?!
Возможно, это действительно общая практика, но для меня это совершенная ересь и дикость, чтобы из локальной сети во внешнюю было проброшено что-то кроме действительно нужного и относительно безопасного (а уж во внешнюю сеть открывать SMB/AFP/NFS — вообще непозволительно, на мой взгляд, с точки зрения безопасности — к подобным сервисам мои клиенты имеют доступ только через зашифрованный VPN, а для доступа из вне и к неответственным файлам есть HTTP(S) или FTP).
P.S.: Мне серьезно интересно, с таким поведением впервые сталкиваюсь, честно признаюсь.
У меня этот функционал сейчас реализован в самой прошивке (AdvancedTomato).
До того момента, пока это добавили в прошивку, все работало таким образом (вкратце и по памяти, надеюсь не напутал ничего):
1) Поднимался OpenVPN клиент, создающий свой интерфейс (aka tun0).
2) С помощью dnsmasq создавался ipset (aka VPNSET), в который добавлялись нужные домены. Dnsmasq резолвил все IP для домена и добавлял их в соответствующий ipset (помогает на тот случай, если у домена много сопоставляемых IP адресов и/или они динамически меняются, например, vk.com). Конфиг dnsmasq вроде такого:
ipset=/domain.com/VPNSET
3) В iptables пакеты, чей destination соответствует VPNSET, маркируются:
iptables -t mangle -A PREROUTING -i br0 -j MARK --set-mark 0
iptables -t mangle -A PREROUTING -i br0 --match-set VPNSET dst -j MARK --set-mark 10
4) В ip создавалось правило, которое пакеты с нужной меткой отправляло на нужный интерфейс:
ip route add table 300 default via [IP_интерфейса] dev tun0
ip rule add fwmark 10 table 300
5) PROFIT!
Аналогичным образом, кстати, можно, при необходимости, заблокировать доступ к нужным доменам:
Может быть расскажите тогда, чем теплое от мягкого двухфакторная от двухэтапной отличается?
«Двухэтапная» аутентификация с подтверждением по смс или по коду из приложения проверяет два фактора: фактор знания (пара логин-пароль) и фактор владения (наличие в момент аутентификации у пользователя токена, способного тем или иным образом предоставить аутентификационную комбинацию).
На самом деле достаточно хорошо все защищено — номер мобильного телефона нигде в Сбер-Онлайн не фигурирует, поэтому взлом возможен разве что заказной и адресный, когда злоумышленник действительно знает 1) номер телефона 2) логин-пароль в системе или 3) момент, когда пользователь входит в систему.
Или я не вижу какую-то очевидную иную брешь в защите.
Я вот поймал себя на мысли, что сейчас с удовольствием играю в игры на PS4, которую купил в день релиза в 2013 году. При этом компьютер, собранный на полгода раньше в том же 2013 году, до сих пор отлично справляется с научными вычислениями в MATLAB или где-нибудь еще (но при этом современные игры уже не тянет в достойном качестве).
И я чрезвычайно доволен таким положением вещей — до этого приходилось постоянно каким-либо образом обновлять комплектующие компьютера, чтобы продолжать играть, а сейчас я не утружден этим — и это круто! И еще один чисто психологический плюс — работа у меня за компьютером, а когда хочу отдохнуть за игрой — переключаюсь в совершенно иной мир, а не продолжаю сидеть перед монитором компьютера и находиться в той же среде…
Поэтому, имхо, от подобного вектора атаки с автоматическим распространением вируса, маршрутизатор — отличная преграда.
К тому же, у меня NAS создает сетевые папки через SMB2 (это явно выбрано его в настройках) и они тоже работают без проблем.
Через SMB2 (появилась, начиная с Win Vista) должно все работать без каких-либо проблем.
По поводу начинающих админов — неужели те же пострадавшие сети МВД администрируют новички? В голове такое не укладывается при всем желании. У меня на предприятии внутренняя сеть, ответственная за рабочие процессы, физически отделена от внешнего мира, и никаких модемов и прочего подключить также никому никак не удастся. Для доступа в Интернет есть отдельные машины (это к тому же еще и дисциплинирует).
С настройкой серверных Windows не особо знаком, но вроде как есть же оснастка Windows Firewall?
Хотя, возможно, я смотрю на мир идеально...При этом в подавляющем числе случаев такой абстрактный ноутбук был бы подключен к WiFi сети через маршрутизатор, на котором по умолчанию абсолютно никакие порты не проброшены на пользовательские устройства, все внешние запросы кончаются на самом роутере.
Или на кто-то где-то на интерфейсы машин вешает сразу внешние линки, без маршрутизатора?!
Возможно, это действительно общая практика, но для меня это совершенная ересь и дикость, чтобы из локальной сети во внешнюю было проброшено что-то кроме действительно нужного и относительно безопасного (а уж во внешнюю сеть открывать SMB/AFP/NFS — вообще непозволительно, на мой взгляд, с точки зрения безопасности — к подобным сервисам мои клиенты имеют доступ только через зашифрованный VPN, а для доступа из вне и к неответственным файлам есть HTTP(S) или FTP).
P.S.: Мне серьезно интересно, с таким поведением впервые сталкиваюсь, честно признаюсь.
До того момента, пока это добавили в прошивку, все работало таким образом (вкратце и по памяти, надеюсь не напутал ничего):
1) Поднимался OpenVPN клиент, создающий свой интерфейс (aka tun0).
2) С помощью dnsmasq создавался ipset (aka VPNSET), в который добавлялись нужные домены. Dnsmasq резолвил все IP для домена и добавлял их в соответствующий ipset (помогает на тот случай, если у домена много сопоставляемых IP адресов и/или они динамически меняются, например, vk.com). Конфиг dnsmasq вроде такого:
3) В iptables пакеты, чей destination соответствует VPNSET, маркируются:
4) В ip создавалось правило, которое пакеты с нужной меткой отправляло на нужный интерфейс:
5) PROFIT!
Аналогичным образом, кстати, можно, при необходимости, заблокировать доступ к нужным доменам:
теплое от мягкогодвухфакторная от двухэтапной отличается?«Двухэтапная» аутентификация с подтверждением по смс или по коду из приложения проверяет два фактора: фактор знания (пара логин-пароль) и фактор владения (наличие в момент аутентификации у пользователя токена, способного тем или иным образом предоставить аутентификационную комбинацию).
Или я не вижу какую-то очевидную иную брешь в защите.