Вот там-то и 33 кг гвоздей всплывут в виде некорректной подписи при проверке.
Как, если для принятия решения используется бумажный документ?
Хочется увидеть это волшебное решение. Желательно на примере того же кладовщика с грязными которому нужно выдать сто наименований товара.
Мне это тоже стало понятно, после того как fpir разъяснил. Но почему это простое объяснение не в статье, а в комментариях? Стоило дать пояснения к переводу, раз не хочется искажать оригинал.
если жертва поймет, что его система скомпрометирована, и изменит регистрационные данные для подключения к удаленному рабочему столу, то все, что потребуется сделать хакеру, — это нажать клавишу SHIFT пять раз
Я один не понял, где и как хакер нажмёт SHIFT, если его уже отключили от RDP?
Принесли бумажку, сверили с файликом все нормально.
Практически не возможно сверить документ из 10000 знаков в котором умышлено переставлена одна запятая, учитывая что таких документов много и о подлоге не предупреждают заранее.
А потом сиди и думай, куда делись 33 кг гвоздей.
Это работает до тех пор пока не влияет на принятие решений.
К примеру, у кладовщика руки часто оказываются то в ржавчине, то в мазуте. Поэтому он просит распечатать и принести ему документ.
По «заверенной» накладной он выдаёт 100 наименований товара, в том числе 36,5 килограмм гвоздей. В конце рабочего дня он отмывает руки и нажимает кнопку «выдано». В электронной системе списывается 3,65 килограмм гвоздей. Расхождение в количестве будет замечено при следующей ревизии, но будет ли замечен подлог — большой вопрос, так как для этого нужно будет сверить все бумажные документы с их электронными аналогами. Вручную!
Поэтому хэш-сумма на бумажном документе бесполезна, она не выполняет ту работу, которую делает в документе электронном. Штрих-код эффективен, только если каждое рабочее место оборудовано сканером штрих-кода. А со сверкой бумажной и электронной версий легко справляется старый, добрый номер документа.
Люди работают с бумажными документами. Во многих случаях это быстрее и проще. Штрих-код бывает полезен, чтобы найти бумажный документ в электронной системе с помощью того же смартфона. Но главная причина конечно психологическая, всегда можно определить по штрихкоду, что документ подписан. Это удобно, когда распечатываешь документ для себя.
Но для этой цели подходит абсолютно любой код (числовой или штриховой) и желательно, чтобы в нём НЕ был «зашит ЭЦП», т.к. теоретически при большом документообороте возможны коллизии.
В любом случае, вы правы, рассматривать такой код как инструмент защиты нельзя. Можно долго сверять бумажный вариант с электронным и не заметить, что в сумме появился лишний нолик, которого в электронном варианте не было.
Я сделал липовый сайт (abibas.ru или adidas.pro) по продаже товаров не программистам. На весь липовый товар я леплю свой QR, по которому весь товар валиден, потому что проверяется на моём же официальном сайте.
PROFIT.
Хорошо, что в статью внесли необходимые изменения, но думаю не будет лишним объяснить почему было важно рассказать о Ревит с самого начала.
Я подписан на хаб CAD/CAM, потому что меня интересует Open Source решения в этой области, а ещё проектирование радио-схем, а ещё на предприятии имеются закупленные SolidWorks, NanoCAD, Компас и в ближайшее время не планируется ни чего другого покупать, поэтому другие варианты даже не рассматриваются. Но при этом, я не имею ни какого отношения к архитектуре.
Число хабов на которые я подписан больше полусотни. Поэтому увидев заголовок «MVC и что-то там» я в последнюю очередь смотрю на хаб, так как тема MVC мне интересна. А расположение в хабе «CAD/CAM» ни как не поможет мне от потери времени, которое я потрачу на то чтобы понять, что Ревит ни как не пересекается ни с одной областей которые мне интересны, в отличии от абзаца, которое теперь есть в начале статьи.
[sarcasm on]
Как хорошо, что хоть кто-то рассказал, что такое MVC. Ведь этого же никто не знает!
Совсем другое дело Revit, про него знают абсолютно все, ведь это же как фотошоп или ворд.
Если, не дай бог, упомянуть что это такое и зачем это нужно и тем более до ката, то это всё равно, что сообщить о невежестве и дремучести читателя через громкоговоритель переполненного стадиона.
[sarcasm off]
Ну не ужели так трудно добавить пару слов до ката о том, что такое ревит. Сэкономьте десяток минут читателю, чтобы он мог сразу знать, что в этой статье для него нет ни чего интересного.
А вообще, mvc здесь притянут за уши, хотя бы потому, что контроллер недоступен. В этом смысле ревит не отличается от любой админки cms. Хватило бы инструкции: «если нажимать сюда и сюда, то получится то-то»
Мне кажется, что какой-нибудь онлайн-сервис проверяющий проекты по ссылке на github, был бы не плохой альтернативой для тех, чей проект хобби.
Естественно с ограничениями. Например, лимит на количество кода в проекте, символические $5 (или $1) за проверку, не чаще двух проверок в месяц.
Так отсекаем большие проекты, лишние мусорные запросы на проверку, которые могут положить онлайн сервис, и делаем себе рекламу, выдавая плашку о хорошем качестве кода для README при второй проверке.
Это только в качестве примера, который я придумал (но не продумывал) за 2 минуты. Правильный вариант может быть совсем иным.
YouTube не включает видео на фоновой вкладке специально, чтобы такие как я могли прокликать десяток ссылок на видеоролики средней кнопкой мыши без риска, что все видео начнут проигрываться одновременно. Ролик запускается лишь после открытия его вкладки.
Работодатели тоже подвержены хайпу, а когда текущие специалисты перестают справляться с новыми технологиями, то приходится искать новых со знаниями модных технологий.
Проблема на стороне всех, кто подвержен хайпу.
Как, если для принятия решения используется бумажный документ?
Хочется увидеть это волшебное решение. Желательно на примере того же кладовщика с грязными которому нужно выдать сто наименований товара.
Я один не понял, где и как хакер нажмёт SHIFT, если его уже отключили от RDP?
Практически не возможно сверить документ из 10000 знаков в котором умышлено переставлена одна запятая, учитывая что таких документов много и о подлоге не предупреждают заранее.
А потом сиди и думай, куда делись 33 кг гвоздей.
К примеру, у кладовщика руки часто оказываются то в ржавчине, то в мазуте. Поэтому он просит распечатать и принести ему документ.
По «заверенной» накладной он выдаёт 100 наименований товара, в том числе 36,5 килограмм гвоздей. В конце рабочего дня он отмывает руки и нажимает кнопку «выдано». В электронной системе списывается 3,65 килограмм гвоздей. Расхождение в количестве будет замечено при следующей ревизии, но будет ли замечен подлог — большой вопрос, так как для этого нужно будет сверить все бумажные документы с их электронными аналогами. Вручную!
Поэтому хэш-сумма на бумажном документе бесполезна, она не выполняет ту работу, которую делает в документе электронном. Штрих-код эффективен, только если каждое рабочее место оборудовано сканером штрих-кода. А со сверкой бумажной и электронной версий легко справляется старый, добрый номер документа.
Но для этой цели подходит абсолютно любой код (числовой или штриховой) и желательно, чтобы в нём НЕ был «зашит ЭЦП», т.к. теоретически при большом документообороте возможны коллизии.
В любом случае, вы правы, рассматривать такой код как инструмент защиты нельзя. Можно долго сверять бумажный вариант с электронным и не заметить, что в сумме появился лишний нолик, которого в электронном варианте не было.
PROFIT.
Я подписан на хаб CAD/CAM, потому что меня интересует Open Source решения в этой области, а ещё проектирование радио-схем, а ещё на предприятии имеются закупленные SolidWorks, NanoCAD, Компас и в ближайшее время не планируется ни чего другого покупать, поэтому другие варианты даже не рассматриваются. Но при этом, я не имею ни какого отношения к архитектуре.
Число хабов на которые я подписан больше полусотни. Поэтому увидев заголовок «MVC и что-то там» я в последнюю очередь смотрю на хаб, так как тема MVC мне интересна. А расположение в хабе «CAD/CAM» ни как не поможет мне от потери времени, которое я потрачу на то чтобы понять, что Ревит ни как не пересекается ни с одной областей которые мне интересны, в отличии от абзаца, которое теперь есть в начале статьи.
Как хорошо, что хоть кто-то рассказал, что такое MVC. Ведь этого же никто не знает!
Совсем другое дело Revit, про него знают абсолютно все, ведь это же как фотошоп или ворд.
Если, не дай бог, упомянуть что это такое и зачем это нужно и тем более до ката, то это всё равно, что сообщить о невежестве и дремучести читателя через громкоговоритель переполненного стадиона.
[sarcasm off]
Ну не ужели так трудно добавить пару слов до ката о том, что такое ревит. Сэкономьте десяток минут читателю, чтобы он мог сразу знать, что в этой статье для него нет ни чего интересного.
А вообще, mvc здесь притянут за уши, хотя бы потому, что контроллер недоступен. В этом смысле ревит не отличается от любой админки cms. Хватило бы инструкции: «если нажимать сюда и сюда, то получится то-то»
А если серьёзно, когда встречаешь слово «отличный» в каждом предложении, то оно начинает восприниматься как словесный шум.
Естественно с ограничениями. Например, лимит на количество кода в проекте, символические $5 (или $1) за проверку, не чаще двух проверок в месяц.
Так отсекаем большие проекты, лишние мусорные запросы на проверку, которые могут положить онлайн сервис, и делаем себе рекламу, выдавая плашку о хорошем качестве кода для README при второй проверке.
Это только в качестве примера, который я придумал (но не продумывал) за 2 минуты. Правильный вариант может быть совсем иным.
Веб 2.0, Bootstrap и, конечно же, JQuery.
Проблема на стороне всех, кто подвержен хайпу.
Оффтоп: эту фразу надо на уроках русского языка разбирать, как отличный пример того, как…
Извините за рекурсию
Я не очень понял, 0day был на момент проведения атак, или на момент публикации архива?