По поводу «родной» прошивки я не спорил. Но согласитесь, заносить официальную команду разработчиков MIUI в список «любителей поизвращаться» — это забавно. 8-)
В случае работающего набора «белого списка» на выход в интернет ни один посторонний процесс через нормально работающий Netfilter/Iptables не вылезет. Связка Linux/IPtables проверена годами эксплуатации.
Касательно ответственности конкретного вендора — изложу свои соображения.
У вас стоит Linux сервер. На нем настроен Netfilter/Iptables. Вы этому сочетанию ( Linux/Iptables) доверяете? Скорее всего, Вы скажете, «ну я же исходников не видел», но ничто не мешает Вам их посмотреть. правильно?
Аналогично, исходники демона netd и Iptables из Android могут посмотреть все желающие.
Да, конечно, конкретный производитель телефона может модифицировать исходники, и вложить программную закладку (сделать дыру в firewall), но зачем? рано или поздно это вылезет и репутационные издержки и последующее падение продаж могут оказать неприемлемыми, согласитесь. Вывод — скорее всего никто из серьёзных производителей специально делать дыру не будет.
А кому доверять, простите? Посудите сами. Юридически Xiaomi передо мной ответственности никакой ни за за утрату, ни за утечку этих данных не несёт. А если я не собираюсь пользоваться их сервисами — то почему мой телефон должен сливать непонятную информацию на их серверы?
Касательно блокировки — Вы здесь правы, уверенность на 100% здесь может быть только если сам написал код.всей прошивки.
Но давайте будем логичны. Если, на протяжении нескольких суток, ни на маршрутизаторе, через который телефон ходит в интернет, ни в логах самого телефона, не зарегистровано никакой подозрительной активности, то, зная механизм выхода процессов в интернет, можно предположить с достаточной долей вероятности, что все «левые» процессы заблокированы? Я полагаю что да.
А вы замените, слово MIUI на любую другую Android-based прошивку, a слово Xiaomi на Sony, Samsung да кто угодно. Речь идёт о решении, которое можно реализовать на любой другой прошивке. Неужели я так плохо владею русским языком, что из текста статьи это не очевидно?
Касательно поставить любую другую — вы видели (сами, лично) прошивки от коммьюнити, которые бы работали гарантированно хорошо на модели телефона анонсированой менее года назад? Если нет, то зачем менять прошивку и бороться с глюками, если можно штатными средствами ограничить сетевой трафик от «левых» процессов/приложений?
Выскажу предположение, что это ещё может быть связано и с очень строгой политикой MIUI в плане энергосбережения при дефолтных нстройках. Я однажды попробовал поставить антивирус DrWeb на телефон (и даже администратором его назначил), но MIUI при любом раскладе прибивала его не позже чем через 10 минут нахождения в фоне. 8-)
С «неродными» приложениями/нотификаторами и т.п. может быть тоже самое.
Простите, а зачем? Зачем тратить время на исследование поведения всех этих десятков и сотен процессов (которые совсем даже не одновременно все ломятся наружу. некоторые просыпались раз в сутки), когда можно составить «белый» список и выпускать в интернет программы/процессы только из него, а все остальные банить?
Если после этого бана перестанет работать что-то важное и нужное, то можно анализировать сетевое поведение именно этого процесса/приложения и открывать доступ именно для него. Описанная мной методика это вполне позволяет, IMHO.
Если Вы всеми перечисленными сервисами пользуетесь — пользуйтесь на здоровье. Согласитесь, что это вопрос доверия производителю телефона.
Моя статья адресована тем, кто сервисами Xiaomi не пользуется и не хочет делится с Xiaomi своими данными и оплачивать трафик на их передачу.
P.S. Программ(процессов) в списке предустановленных — больше 200. Имён серверов — чуть меньше восьмидесяти. Это отдельная и очень объёмная работа выяснение, кто из них куда ходит. Насколько это нужно?
В статье есть название прошивки. Самая что ни на есть официальная глобальная прошивка.
«MIUI Global 8.1 Стабильная 8.1.1.0 (MALMIDI)» С левой я бы принципиально не стал возиться.
Там тонкость есть с СМСками при регистрации. Мне на перенесённый номер (MNP) не прилетали совсем. А так в течение трёх суток одобрили, если память не изменяет.
Соглашусь с коллегами — свободные прошивки для новых устройств достаточно сырые.
Поэтому статья писалась как раз с прицелом на минимальную модификацию родного ПО телефона.
Можно вообще ничего не удалять и не замораживать из приложений. Главное — не дать всем «левым» процессам ходить в интернет, если хозяин телефона этого не хочет.
Телефоны других вендоров не исследовал — просто не попадались в руки. Вы можете попробовать это сделать сами, если есть роутер с возможностью перехвата трафика. Я для просмотра использовал обычный Wireshark, он неплохо всё декодирует и вся активность телефона видна как на ладони.
Простите, поправлю Вас.
Самое вкусное для боевых систем в Enterprise c SA — Failover (один бесплатный Standby сервер) и License Mobility. Годовая подписка на SA — половина стоимости лицензии. Закончилась подписка — закончились права на дополнительные плюшки. Мило, не находите?
Я сделал что смог — авторизовался через госуслуги и написал отрицательный отзыв разработчикам законопроекта с подробными пояснениями, что данный законопроект помимо технической нереализуемости не принесёт никакой пользы, а ещё и навредит там, где этого разработчки просто не ожидают.
Нормальному пользователю антивирус не нужен, потому что у него хватает ума, чтобы не ходить на сомнительные сайты
А как быть в случае, когда невинные сайты взламываются и на них подсаживается живность для заливки приходящим?
У меня такой случай был несколько недель назад с давним и проверенным сайтом. Полагаю, что в таких случаях только антивирус может хоть как-то помочь не заразить телефон.
В статье, как и в остальных пресс-релизах, нигде не сказано про ограничения длины кабеля
(что странно. Согласитесь, незачем делать скорость 2,5 гбит, если 5Гбит прекрасно бегают).
Суть.
Витая пара категории 5e — до 55м должна тянуть и 2,5 и 5Гбит, дальше до 100м — как повезёт.
Витая пара категории 6 и 6а — 2,5 и 5Гбит до 100 метров должна тянуть.
Есть, правда, у той же Cisco ещё один документ (стр 2 и примечание на странице 3), где указано странное ограничение в 30 — 50м.
"*Watch for cross-talk issues in bundles or when cables are in same pipe. Keep lengths of CAT-5e between
30-50m or below when using dense cable bundles; for example, cables in a dense area like a pipe or places
where five or more cables are tied in a bundle".
строчка «Redmi 3S/Prime Latest Global Stable Version Fastboot File Download»
Вы по прежнему считаете, что я взял не ту прошивку?
В случае работающего набора «белого списка» на выход в интернет ни один посторонний процесс через нормально работающий Netfilter/Iptables не вылезет. Связка Linux/IPtables проверена годами эксплуатации.
Касательно ответственности конкретного вендора — изложу свои соображения.
У вас стоит Linux сервер. На нем настроен Netfilter/Iptables. Вы этому сочетанию ( Linux/Iptables) доверяете? Скорее всего, Вы скажете, «ну я же исходников не видел», но ничто не мешает Вам их посмотреть. правильно?
Аналогично, исходники демона netd и Iptables из Android могут посмотреть все желающие.
Да, конечно, конкретный производитель телефона может модифицировать исходники, и вложить программную закладку (сделать дыру в firewall), но зачем? рано или поздно это вылезет и репутационные издержки и последующее падение продаж могут оказать неприемлемыми, согласитесь. Вывод — скорее всего никто из серьёзных производителей специально делать дыру не будет.
Касательно блокировки — Вы здесь правы, уверенность на 100% здесь может быть только если сам написал код.всей прошивки.
Но давайте будем логичны. Если, на протяжении нескольких суток, ни на маршрутизаторе, через который телефон ходит в интернет, ни в логах самого телефона, не зарегистровано никакой подозрительной активности, то, зная механизм выхода процессов в интернет, можно предположить с достаточной долей вероятности, что все «левые» процессы заблокированы? Я полагаю что да.
Если Вы думаете иначе — приводите свои доводы.
Касательно поставить любую другую — вы видели (сами, лично) прошивки от коммьюнити, которые бы работали гарантированно хорошо на модели телефона анонсированой менее года назад? Если нет, то зачем менять прошивку и бороться с глюками, если можно штатными средствами ограничить сетевой трафик от «левых» процессов/приложений?
С «неродными» приложениями/нотификаторами и т.п. может быть тоже самое.
Если после этого бана перестанет работать что-то важное и нужное, то можно анализировать сетевое поведение именно этого процесса/приложения и открывать доступ именно для него. Описанная мной методика это вполне позволяет, IMHO.
В моём случае коннектов к сайтам Google тоже было более чем достаточно (просто я не стал об этом писать в статье), даже если телефон не зарегистрован в Google. Ну а после регистрации до смешного доходило, судя перехвату трафика. В одну из ночей телефеон многократно пытался выкачать с сайта https://redirector.gvt1.com библиотеку libAppDataSearchExt_arm64_v8a.v7.so, весом без малого 6Мб, внутри которой полным-полно строчек «Copyright © IBM Corp».
Телефон от Xiaomi, сайт от Google (судя по Whois), копирайт от IBM… Заговор? ;-)
Моя статья адресована тем, кто сервисами Xiaomi не пользуется и не хочет делится с Xiaomi своими данными и оплачивать трафик на их передачу.
P.S. Программ(процессов) в списке предустановленных — больше 200. Имён серверов — чуть меньше восьмидесяти. Это отдельная и очень объёмная работа выяснение, кто из них куда ходит. Насколько это нужно?
«MIUI Global 8.1 Стабильная 8.1.1.0 (MALMIDI)» С левой я бы принципиально не стал возиться.
Поэтому статья писалась как раз с прицелом на минимальную модификацию родного ПО телефона.
Можно вообще ничего не удалять и не замораживать из приложений. Главное — не дать всем «левым» процессам ходить в интернет, если хозяин телефона этого не хочет.
Самое вкусное для боевых систем в Enterprise c SA — Failover (один бесплатный Standby сервер) и License Mobility. Годовая подписка на SA — половина стоимости лицензии. Закончилась подписка — закончились права на дополнительные плюшки. Мило, не находите?
Надеюсь на правило, что капля камень точит…
А как быть в случае, когда невинные сайты взламываются и на них подсаживается живность для заливки приходящим?
У меня такой случай был несколько недель назад с давним и проверенным сайтом. Полагаю, что в таких случаях только антивирус может хоть как-то помочь не заразить телефон.
В статье, как и в остальных пресс-релизах, нигде не сказано про ограничения длины кабеля
(что странно. Согласитесь, незачем делать скорость 2,5 гбит, если 5Гбит прекрасно бегают).
Нашёл вот эту презентацию (стр.21).
Суть.
Витая пара категории 5e — до 55м должна тянуть и 2,5 и 5Гбит, дальше до 100м — как повезёт.
Витая пара категории 6 и 6а — 2,5 и 5Гбит до 100 метров должна тянуть.
Есть, правда, у той же Cisco ещё один документ (стр 2 и примечание на странице 3), где указано странное ограничение в 30 — 50м.
"*Watch for cross-talk issues in bundles or when cables are in same pipe. Keep lengths of CAT-5e between
30-50m or below when using dense cable bundles; for example, cables in a dense area like a pipe or places
where five or more cables are tied in a bundle".