Ну так и сказал бы сразу, что плохо разбираешься и потому предпочитаешь готовое. И не придумывал бы псевдоаргументов.
Какие то надуманные сложности. Высота кулера указывается в характеристиках, в описании корпуса пишут макс высоту кулера. Мощность бп рекомендованная указывается в характеристиках видюхи.
Из тезиса про нюансы слотов понял, что ты шаришь слабо. Видюхе требуется один псие слот, сколько видюха занимает места (слотов на корпусе) указано в хараткеристиках.
Считаю, тот, кому нужен комп для работы, должен собирать его сам или заказывать «кустарную» сборку. Любой мужик с руками может собрать комп по гайду коих полно в ютюбе.
Готовые «брендовые» пк - это несбалансированный оверпрайс: дорого и бестолково, про одноканал уже рассказали, а еще сочетание видюхи и проца сомнительное, либо мать непонятная и на чипсете не том - часто урезанном, допустим, с псие 3, а видюхя и ссд с псие 4. Либо память хреновая, допустим если о ддр4 говорить то на 2666.
А мне нужно допустим как минимум два 4тб ссд , но таких готовых редко встретишь.
Возможности апгрейда есть - доставить более производительную видюху, поменять проц, добавить памяти.
С ноутами все сложно - приходится так же изучать а не распаяна ли память (в большинстве случаев да) можно ли поставить второй ссд и насколько легко, и какой псие 3 или 4 и т. п.
Геморроя больше. Производительность хуже. «Игровой» ноут это вообще развод - дорого, некомпатно, горячо и шумно. По такой цене комп плюс моник будет в разы лучше. А для мобильности нужен легкий компактный ноут в меру производительный
Сериалы на даче смотрю с тв 65 дюймов, а не держа на пузе греющийся ноут в развернутом виде. Или с айпада. И на дачу собрал комп и два моника. Так как для работы моник нужен. Ноут тоже есть, но компактный, его вожу для несложной работы. Я прекрасно понимаю, что ноут с видюхой и мощным процом будет дорогим, горячим и менее производительным , чем декстоп и его для сериальчиков не поюзать особо
Блокировать будут те карты, на которых оказалось меньше совершённых поездок, чем в БД турникета.
Да, и можно получить кучу ложных блокировок, если вдруг не вся информация о поездках с турникетов попала в систему (например, по причине его физической поломки, или поломки роутера и .т п.)
Фейковую карту можно использовать только на несинхронизированых терминалах, при этом после такой поездки и её синхронизации блокируется оригинальная карта, поэтому при залоговой стоимости больше стоимости поездки финансовую выгоду мошеннику получить проблематично.
Нет, вы заблокируете только после того, как данные попадут в систему, а они могут идти и несколько часов, и несколько дней, в зависимости от обстоятельств. А за это время можно наездить больше, чем одну поездку.
Собственно, потому на наземном транспорте это более всего актуально. с метро и физической связью по проводу проще, но тоже не особо - надо тогда на серверах обрабатывать большие массивы информации, быстро их рассылать на турникеты и т. п. Тоже нетривиальная задача.
именно такие системы и проектируют многие поставщики. я когда потом с этим разбираюсь, просто о.... удивляюсь, короче. Им даже до уровня бостонских школьников расти и расти.
Вы мне зачем рассказываете очевидное? Вы же про это не подумали, когда писали, что помимо метро есть и наземный транспорт.
В таком случае отсутствие связи с сервером - штатная ситуация.
Да, и поэтому можно ездить бесплатно, но вы считаете почему-то, что таких немного. Смотря с чем сравнивать
К которым можно подвести кабель и для которых отсутствие связи - как раз аварийная ситуация.
И что будете делать при отсутствии связи (при "аварийной ситуации")? Пропала связь (а еще бывает, и сервера падают) - аттракцион невиданной щедрости наступает?
Не находите такой систему порочной саму по себе, "бай дизайн".
Нет, я предвижу аргументы "не бывает ничего надежного" и т. п.
Бывает. Если система спроектирована верно, то она не будет допускать финансовых потерь от отсутствия связи.
А вот оплата банковскими системами и "хранение денег не на карте", как предлагают школьники, как раз такое предполагает. Только про то, кто покрывает эти потери, скромно умалчивают, хотя догадаться совсем не сложно
Этот алгоритм был своеобразной пробой пера среди массово используемых карт в плане аутентификации включающей в себя криптографию, выработки сессии и дальнейшее шифрование всех передаваемых данных.
Для своего времени - 1997 год, это был прорыв, и основы, заложенные тогда, и сейчас работают, просто на современной криптографии (напр., трехходовая взаимная аутентификация).
Просто поставщикам плевать - впаривают заказчикам в втридорога устаревшие технологии. Заказчик не разбираются, да и многие поставщики тоже, на разработках мохнатых годов сидят.
но при этом уже имел стойкий ГПСЧ без вышеупомянутой уязвимости и дополнительные плюшки типа защиты от фаззинга команд и брутфорса ключа
да не, проблема в самом протоколе, если сниффернуть обмен реальными данными, то ключ можно достать.
Надо в SL3 или SL2 юзать - там хоть aes 128 применяется.
Но тоже есть оргпроблемы с применением в отечественных государственных системах
Например в московском транспорте отлично работает антифрод система, которая почти моментально заблокирует использование и оригинальной карты и дубликата
Я бы такое же хотел при оплате в магазинах. Но почему-то такой популизм работает только в транспорте, в итоге скидку дали (fare capping называется), а за что и какая выгода перевозчику - хз. В итоге, скидка и так закладывается в тариф (скидка с наценки)
нет, сохраняют хэш пана карта, считывают с валидатора, потом сравнивают с картой пассажира - если совпадение хэша есть - оплата была ,если нет - оплаты не было
но это аварийная ситуация и таких "умных" будет не слишком много.
Вы как раз описали, как работает оплата банковскими картами в транспорте и, внезапно, таких "умных" вроде как бы и немного, но за год набегают внушительные суммы
Как раз проблема оффлайна ни разу не решена, а перекладывается на перевозчика, то есть на пассажиров, в конечно итоге. Плюс оплата банковской картой - это отсутствие продуманной системы скидок. Это выше издержки и риски, за которые как раз и платит пассажир.
Сейчас такое насаждается во всем мире, пассажиру действительно кажется удобным, только он за все это, в итоге, и платит, а кроме быстрого расставания с деньгами ничего не получает взамен.
А платежные системы насаждают это потому, что получаются с каждой транзакции комиссию. Все радуются удобству и хлопают в ладоши, но как только потом садятся считать, и вдруг становится грустно и стыдно публиковать результаты
Исследователей пригласили на совещание в головной офис управления и выслушали их рекомендации. По сути они сводятся к следующему:
при реализации системы оплаты поездок не следует хранить деньги на карте;
стоит использовать готовые защищённые системы наподобие Apple и Google Pay;
данные о картах, транзакциях и пользователях желательно хранить в отдельной базе данных;
подобные системы необходимо поддерживать и регулярно модернизировать после развертывания.
Итак, студенты заюзали известную с 2008 г. уязвимость и всё, они теперь спеицалисты?
при реализации системы оплаты поездок не следует хранить деньги на карте;
Вы удивитесь, но на карте деньги не хранятся. Не верите - попробуйте их снять с банкомата или расплатиться деньгами на транспортной карте в магазине. Ой.
На транспорте, по сути, хранятся данные о купленных поездках. И сделано это потому, что студентам не пришло, естественно в голову, чтобы быстро проверять наличие поездок, а не лезть на сервер каждый раз, а в часы пик каждая миллисекунда буквально дорога.
И если нет связи - всё, коллапс, трнасопрт встал?
Поэтому начинают стыдливо применять периодическую синхронизацию и т. п. (потом, когда уже поняли, что облажались, "не храня деньги на карте") и вдруг выясняется, что надо перекачивать большие объемы, по сути, одонтипных данных (номера карт - то в стоп листе, то не в стоп листе), при чем, чем больше работает система, тем данных становится больше и вдруг выясняется, что они уже не влезают на устройства и приходится затевать обновление и покупку новых девайсов (может, ради этого всё и затевалось, начининают закрадываться подозрения).
Но дело даже не в этом, а в том, что стоп-лист формируется ПОСЛЕ совершенной поездки с картой с недостаточным балансом. То есть стоп-лист - это попытка минимизировать потери, но не убирает их полностью.
Собственно, рекомендация
стоит использовать готовые защищённые системы наподобие Apple и Google Pay;
того же порядка, граничащего с некомпететностью.
Вдруг выясняется, что эти системы тоже не безопасны, потому что принцип тот же - работать в онлайн, либо периодически пускать без онлайна и потом проверять и синхранизировать.
В общем, как обычно - гордо предлагается решение, которое проблемы-то не решает, но создает новые.
Что же на самом деле нужно было сделать:
1. перейти хотя бы на новое поколение Mifare Classic с true RNG - их сложнее взломать (но все равно можно).
2. Юзать карты с 7-байтными уидами.
3. Закрыть все сектора нестандартными ключами, потому что mfoc юзает уязвимость, когда известен хотя бы один ключ.
4. Использовать диверсифицированные ключи, и тогда приходилось бы взламывать КАЖДУЮ карту, а не взломав одну, получаешь взлом ВСЕХ.
5. Данные на карте макировать серьезным алгоритмом, тоже завязанным на uid и другие параметры карты.
Ну и, конечно же, перейти надо на современные карты, тот же Mifare Plus но не в режиме Classic, а SL3 где ключи aes-ные.
Тут кто-то хвалился, какой он молодец, данные на классике шифровал aes - так это никакой проблемы не решает, раз можно сделать 100500 клонов и ст. з. системы они будут такими же ,как оригинал.
Я делал так, что можно вообще без ключей или на откртых ключах размещать данные, только склонировать нельзя - максимум можно попортить данные, но тогда эта карта просто не сработает.
Хотя мне пришлось разрабатывать проездные на их базе, и могу с гордостью сказать что наш вариант школьники бы не взломали ? достаточно добавить шифрование каким нибуть aes-256 данных в блоке - и удачи это ломануть. Максимум можно сделать клон карты, но это лечится блеклистами и их периодическими обновлениями.
Хочу Вас расстроить - если карту можно легко клонировать (а mifare classic клонируется на раза два), то используйте вы хоть 512-битное шифрование, вас взломали.
И никакими блэклистами это не лечится, потому что блокировка идет уже после того, как по клонированной карте проехали, при этом вы еще и блокируете оригинал, который может быть не виноват ни в чем. Во-вторых - после сложных вычислений, формирования блок-листов, рассылки их на устройства и других сложных операций все, что нужно "кулхацкеру", это сделать клон еще одной карты, а ваши усилия - насмарку.
Всё для нашего удобства!
Ну так и сказал бы сразу, что плохо разбираешься и потому предпочитаешь готовое. И не придумывал бы псевдоаргументов.
Какие то надуманные сложности. Высота кулера указывается в характеристиках, в описании корпуса пишут макс высоту кулера. Мощность бп рекомендованная указывается в характеристиках видюхи.
Из тезиса про нюансы слотов понял, что ты шаришь слабо. Видюхе требуется один псие слот, сколько видюха занимает места (слотов на корпусе) указано в хараткеристиках.
Считаю, тот, кому нужен комп для работы, должен собирать его сам или заказывать «кустарную» сборку. Любой мужик с руками может собрать комп по гайду коих полно в ютюбе.
Готовые «брендовые» пк - это несбалансированный оверпрайс: дорого и бестолково, про одноканал уже рассказали, а еще сочетание видюхи и проца сомнительное, либо мать непонятная и на чипсете не том - часто урезанном, допустим, с псие 3, а видюхя и ссд с псие 4. Либо память хреновая, допустим если о ддр4 говорить то на 2666.
А мне нужно допустим как минимум два 4тб ссд , но таких готовых редко встретишь.
Возможности апгрейда есть - доставить более производительную видюху, поменять проц, добавить памяти.
С ноутами все сложно - приходится так же изучать а не распаяна ли память (в большинстве случаев да) можно ли поставить второй ссд и насколько легко, и какой псие 3 или 4 и т. п.
Геморроя больше. Производительность хуже. «Игровой» ноут это вообще развод - дорого, некомпатно, горячо и шумно. По такой цене комп плюс моник будет в разы лучше. А для мобильности нужен легкий компактный ноут в меру производительный
Сериалы на даче смотрю с тв 65 дюймов, а не держа на пузе греющийся ноут в развернутом виде. Или с айпада. И на дачу собрал комп и два моника. Так как для работы моник нужен. Ноут тоже есть, но компактный, его вожу для несложной работы. Я прекрасно понимаю, что ноут с видюхой и мощным процом будет дорогим, горячим и менее производительным , чем декстоп и его для сериальчиков не поюзать особо
к сожалению, ничего нового: пришли «эффективные манагеры» и стали «улучшать». Уверен, у них «еще столько хороших идей есть».
Походу, пора задуматься о переползании на freenginx
Да, и можно получить кучу ложных блокировок, если вдруг не вся информация о поездках с турникетов попала в систему (например, по причине его физической поломки, или поломки роутера и .т п.)
Нет, вы заблокируете только после того, как данные попадут в систему, а они могут идти и несколько часов, и несколько дней, в зависимости от обстоятельств. А за это время можно наездить больше, чем одну поездку.
Собственно, потому на наземном транспорте это более всего актуально. с метро и физической связью по проводу проще, но тоже не особо - надо тогда на серверах обрабатывать большие массивы информации, быстро их рассылать на турникеты и т. п. Тоже нетривиальная задача.
именно такие системы и проектируют многие поставщики. я когда потом с этим разбираюсь, просто о.... удивляюсь, короче. Им даже до уровня бостонских школьников расти и расти.
почитайте про аппаратные средства хранения ключей. Вы механически ничего не сможете посмотреть.
Вы мне зачем рассказываете очевидное? Вы же про это не подумали, когда писали, что помимо метро есть и наземный транспорт.
Да, и поэтому можно ездить бесплатно, но вы считаете почему-то, что таких немного. Смотря с чем сравнивать
И что будете делать при отсутствии связи (при "аварийной ситуации")? Пропала связь (а еще бывает, и сервера падают) - аттракцион невиданной щедрости наступает?
Не находите такой систему порочной саму по себе, "бай дизайн".
Нет, я предвижу аргументы "не бывает ничего надежного" и т. п.
Бывает. Если система спроектирована верно, то она не будет допускать финансовых потерь от отсутствия связи.
А вот оплата банковскими системами и "хранение денег не на карте", как предлагают школьники, как раз такое предполагает. Только про то, кто покрывает эти потери, скромно умалчивают, хотя догадаться совсем не сложно
Для своего времени - 1997 год, это был прорыв, и основы, заложенные тогда, и сейчас работают, просто на современной криптографии (напр., трехходовая взаимная аутентификация).
Просто поставщикам плевать - впаривают заказчикам в втридорога устаревшие технологии. Заказчик не разбираются, да и многие поставщики тоже, на разработках мохнатых годов сидят.
да не, проблема в самом протоколе, если сниффернуть обмен реальными данными, то ключ можно достать.
Надо в SL3 или SL2 юзать - там хоть aes 128 применяется.
Но тоже есть оргпроблемы с применением в отечественных государственных системах
я бы не был столь категоричен...
В 1988 не было еще никаких пластиковых карт
Я бы такое же хотел при оплате в магазинах. Но почему-то такой популизм работает только в транспорте, в итоге скидку дали (fare capping называется), а за что и какая выгода перевозчику - хз. В итоге, скидка и так закладывается в тариф (скидка с наценки)
нет, сохраняют хэш пана карта, считывают с валидатора, потом сравнивают с картой пассажира - если совпадение хэша есть - оплата была ,если нет - оплаты не было
а как банк узнавал о резервировании? значит, до банка информация доезжала...
Вы как раз описали, как работает оплата банковскими картами в транспорте и, внезапно, таких "умных" вроде как бы и немного, но за год набегают внушительные суммы
Как раз проблема оффлайна ни разу не решена, а перекладывается на перевозчика, то есть на пассажиров, в конечно итоге. Плюс оплата банковской картой - это отсутствие продуманной системы скидок. Это выше издержки и риски, за которые как раз и платит пассажир.
Сейчас такое насаждается во всем мире, пассажиру действительно кажется удобным, только он за все это, в итоге, и платит, а кроме быстрого расставания с деньгами ничего не получает взамен.
А платежные системы насаждают это потому, что получаются с каждой транзакции комиссию. Все радуются удобству и хлопают в ладоши, но как только потом садятся считать, и вдруг становится грустно и стыдно публиковать результаты
Совершенно верно. Сама формулировка забавная. Так как деньги не хранятся на карте и так, это просто обывательское выражение.
Итак, студенты заюзали известную с 2008 г. уязвимость и всё, они теперь спеицалисты?
при реализации системы оплаты поездок не следует хранить деньги на карте;Вы удивитесь, но на карте деньги не хранятся. Не верите - попробуйте их снять с банкомата или расплатиться деньгами на транспортной карте в магазине. Ой.
На транспорте, по сути, хранятся данные о купленных поездках. И сделано это потому, что студентам не пришло, естественно в голову, чтобы быстро проверять наличие поездок, а не лезть на сервер каждый раз, а в часы пик каждая миллисекунда буквально дорога.
И если нет связи - всё, коллапс, трнасопрт встал?
Поэтому начинают стыдливо применять периодическую синхронизацию и т. п. (потом, когда уже поняли, что облажались, "не храня деньги на карте") и вдруг выясняется, что надо перекачивать большие объемы, по сути, одонтипных данных (номера карт - то в стоп листе, то не в стоп листе), при чем, чем больше работает система, тем данных становится больше и вдруг выясняется, что они уже не влезают на устройства и приходится затевать обновление и покупку новых девайсов (может, ради этого всё и затевалось, начининают закрадываться подозрения).
Но дело даже не в этом, а в том, что стоп-лист формируется ПОСЛЕ совершенной поездки с картой с недостаточным балансом. То есть стоп-лист - это попытка минимизировать потери, но не убирает их полностью.
Собственно, рекомендация
стоит использовать готовые защищённые системы наподобие Apple и Google Pay;того же порядка, граничащего с некомпететностью.
Вдруг выясняется, что эти системы тоже не безопасны, потому что принцип тот же - работать в онлайн, либо периодически пускать без онлайна и потом проверять и синхранизировать.
В общем, как обычно - гордо предлагается решение, которое проблемы-то не решает, но создает новые.
Что же на самом деле нужно было сделать:
1. перейти хотя бы на новое поколение Mifare Classic с true RNG - их сложнее взломать (но все равно можно).
2. Юзать карты с 7-байтными уидами.
3. Закрыть все сектора нестандартными ключами, потому что mfoc юзает уязвимость, когда известен хотя бы один ключ.
4. Использовать диверсифицированные ключи, и тогда приходилось бы взламывать КАЖДУЮ карту, а не взломав одну, получаешь взлом ВСЕХ.
5. Данные на карте макировать серьезным алгоритмом, тоже завязанным на uid и другие параметры карты.
Ну и, конечно же, перейти надо на современные карты, тот же Mifare Plus но не в режиме Classic, а SL3 где ключи aes-ные.
Тут кто-то хвалился, какой он молодец, данные на классике шифровал aes - так это никакой проблемы не решает, раз можно сделать 100500 клонов и ст. з. системы они будут такими же ,как оригинал.
Я делал так, что можно вообще без ключей или на откртых ключах размещать данные, только склонировать нельзя - максимум можно попортить данные, но тогда эта карта просто не сработает.
Да нет, это Вы рассмешили своим комментом. Ведь чужие потери кажутся Вам такими смешными.
Хочу Вас расстроить - если карту можно легко клонировать (а mifare classic клонируется на раза два), то используйте вы хоть 512-битное шифрование, вас взломали.
И никакими блэклистами это не лечится, потому что блокировка идет уже после того, как по клонированной карте проехали, при этом вы еще и блокируете оригинал, который может быть не виноват ни в чем. Во-вторых - после сложных вычислений, формирования блок-листов, рассылки их на устройства и других сложных операций все, что нужно "кулхацкеру", это сделать клон еще одной карты, а ваши усилия - насмарку.
А вот, похоже, и комменты от сикама подъехали. Эти блохеры совсем страх потеряли, мешают серьезное бабло на перепродаже китайщины «зарабатывать»